THUYẾT MINH XÂY DỰNG DỰ THẢO TIÊU CHUẨN “CÔNG NGHỆ THỐNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ ANTOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ” 1 Tên gọi và ký hiệu tiêu chuẩn 1.1 Tên tiê
Trang 1Thuyết minh đề tài 14-15-KHKT-TC
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
CỤC AN TOÀN THÔNG TIN
Trang 2HÀ NỘI 2016
Trang 4M C L C ỤC LỤC ỤC LỤC
1 Tên gọi và ký hiệu tiêu chuẩn 4
1.1 Tên tiêu chuẩn 4
1.2 Ký hiệu của TCVN 4
2 Đặt vấn đề 4
3 Hệ thống tiêu chuẩn dự kiến xây dựng và mối quan hệ giữa các tiêu chuẩn .4 3.1 Nhóm tiêu chuẩn đưa ra yêu cầu bao gồm: 4
3.2 Nhóm tiêu chuẩn hướng dẫn triển khai: 5
4 Phạm vi tiêu chuẩn 5
5 Phương pháp xây dựng tiêu chuẩn 6
5.1 Phương pháp tiếp cận chung 6
5.2 Phương pháp tiếp cận xây dựng các yêu cầu về kỹ thuật 8
5.3 Phương pháp tiếp cận xây dựng các yêu cầu về quản lý 9
5.4 Tổng quan về tiêu chuẩn SP800-53 10
5.5 Tổng quan về tiêu chuẩn ISO/IEC 27001:2013 18
5.6 Bảng ánh xạ giữa với SP800-53 và Tiêu chuẩn ISO/IEC 27001:2013 20
5.7 Bảng ánh xạ giữa ISO/IEC 27001:2013 với dự thảo Tiêu chuẩn 22
6 Cấu trúc và nội dung chính của dự thảo Tiêu chuẩn 26
6.1 Cấu trúc dự thảo Tiêu chuẩn 26
6.2 Nội dung chính của dự thảo Tiêu chuẩn 28
6.2.1 Yêu cầu kỹ thuật 28
6.2.2 Yêu cầu quản lý 29
6.2.3 Bảng tương quan các yêu cầu giữa 05 cấp độ 31
PHỤ LỤC I: TIÊU CHÍ XÁC ĐỊNH CẤP ĐỘ 32
PHỤ LỤC II: BẢNG TƯƠNG QUAN YÊU CẦU AN TOÀN 34
Trang 5THUYẾT MINH XÂY DỰNG DỰ THẢO TIÊU CHUẨN “CÔNG NGHỆ THỐNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ AN
TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ”
1 Tên gọi và ký hiệu tiêu chuẩn
1.1 Tên tiêu chuẩn
Tên dự thảo tiêu chuẩn: Công nghệ thông tin – Các kỹ thuật an toàn - Yêu cầu
cơ bản về an toàn hệ thống thông tin theo cấp độ.
Để có những quy định chi tiết về việc bảo đảm an toàn hệ thống thông tin theo từng cấp độ, cơ quan, tổ chức căn cứ vào các quy định của Nghị định số 85/2016/NĐ-
CP ngày 01/7/2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ.
Theo quy định tại Điều 19, Nghị định 85, việc bảo đảm an toàn hệ thống thông tin phải đảm bảo các yêu cầu an toàn cơ bản theo tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin Nghị định cũng giao nhiệm vụ cho Bộ Thông tin và Truyền thông xây dựng dự thảo tiêu chuẩn và ban hành quy chuẩn kỹ thuật về an toàn thông tin.
Thực hiện nhiệm vụ được giao, Cục An toàn thông tin chủ trì xây dựng dự thảo Tiêu chuẩn về “Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ” Tiêu chuẩn này đưa ra các yêu cầu an toàn cơ bản cho hệ thống thông tin theo cấp độ Từ yêu cầu này, chủ quản hệ thống thông tin sẽ có cơ sở thiết kế an toàn hệ thống thông tin cũng như xây dựng và duy trì chính sách quản lý an toàn thông tin của mình.
3 Hệ thống tiêu chuẩn dự kiến xây dựng và mối quan hệ giữa các tiêu chuẩn
Hệ thuống các tiêu chuẩn dự kiến xây dựng để hướng dẫn Nghị định 85 được chia là 02 nhóm:
3.1 Nhóm tiêu chuẩn đưa ra yêu cầu bao gồm:
+ Tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu cơ bản về
an toàn hệ thống thông tin theo cấp độ” (Tiêu chuẩn 1) Tiêu chuẩn này đưa ra các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ Các yêu cầu này là cơ bản, tối thiểu cần phải đáp ứng theo từng cấp độ của hệ thống thông tin Yêu cầu an toàn cơ
Trang 6bản bao gồm hai nhóm yêu cầu: yêu cầu về kỹ thuật và yêu cầu về quản lý Nhóm yêu cầu về kỹ thuật giúp cơ quan, tổ chức có cơ sở thiết kế, thiết lập hệ thống thông tin của mình trong quá trình xây dựng hệ thống thông tin Nhóm các yêu cầu về quản lý giúp
cơ quan, tổ chức có cơ sở để xây dựng chính sách, quy trình quản lý an toàn thông tin cho hệ thống của mình trong quá trình vận hành, khai thác, sử dụng.
+ Tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu kiểm tra, đánh giá về an toàn hệ thống thông tin theo cấp độ” (Tiêu chuẩn 2) Tiêu chuẩn này đưa ra các yêu cầu, nội dung kiểm tra đánh giá một hệ thống thông tin có đáp ứng các yêu cầu an toàn cơ bản đưa ra trong Tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ”.
3.2 Nhóm tiêu chuẩn hướng dẫn triển khai:
+ Tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn quy trình kiểm tra, đánh giá an toàn hệ thống thông tin” (Tiêu chuẩn 3) Tiêu chuẩn này hướng dẫn quy trình kiểm tra, đánh giá một hệ thống thông tin có đáp ứng các yêu cầu
an toàn cơ bản theo cấp độ hay không? Căn cứ theo các yêu cầu cơ bản và yêu cầu kiểm tra đánh giá an toàn hệ thống thông tin trong hai tiêu chuẩn trên.
+ Tiêu chuẩn “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ” Tiêu chuẩn này đưa ra các hướng dẫn để triển khai các yêu cầu trong Tiêu chuẩn 1.
+ Các tiêu chuẩn hướng dẫn cụ thể nội dung kỹ thuật trong Tiêu chuẩn 1: Thiết
kế hệ thống, cấu hình cứng hóa, sao lưu dự phòng,…
+ Các tiêu chuẩn hướng dẫn cụ thể nội dung kỹ thuật trong Tiêu chuẩn 1: Hướng dẫn xây dựng chính sách an toàn thông tin, quản lý điểm yếu, quản lý sự cố an toàn thông tin…
Tiêu chuẩn này đưa ra các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp
độ Các yêu cầu này là cơ bản, tối thiểu cần phải đáp ứng theo từng cấp độ của hệ thống thông tin Khuyến khích cơ quan, tổ chức triển khai các biện pháp bảo đảm an toàn thông tin cho hệ thống thông tin của mình, đáp ứng các yêu cầu an toàn ở cấp độ cao hơn nhằm tăng cường bảo đảm an toàn thông tin cho hệ thống của mình.
Các yêu cầu đưa ra trong tiêu chuẩn này nhằm bảo vệ hệ thống thông tin ở mức độ
cơ bản Cơ quan, tổ chức căn cứ vào yêu cầu an toàn thực tế của mình, thực hiện đánh giá rủi ro an toàn hệ thống thông tin mình quản lý để xác định các yêu cầu an toàn bổ sung và có biện pháp quản lý rủi ro phù hợp.
Trang 7Yêu cầu an toàn cơ bản bao gồm hai nhóm yêu cầu: yêu cầu về kỹ thuật và yêu cầu về quản lý Nhóm yêu cầu về kỹ thuật giúp cơ quan, tổ chức có cơ sở thiết kế, thiết lập hệ thống thông tin của mình trong quá trình xây dựng hệ thống thông tin Nhóm các yêu cầu về quản lý giúp cơ quan, tổ chức có cơ sở để xây dựng chính sách, quy trình quản lý an toàn thông tin cho hệ thống của mình trong quá trình vận hành, khai thác, sử dụng.
Yêu cầu an toàn cơ bản đưa ra trong tiêu chuẩn này tập trung vào các yêu cầu bảo đảm an toàn thông tin trên mạng Các yêu cầu khác về an toàn thông tin, không liên quan trực tiếp đến bảo đảm an toàn thông tin trên mạng thì không thuộc phạm vi của tiêu chuẩn này.
Các yêu cầu cơ bản đưa ra trong tiêu chuẩn này cũng được sử dụng để đánh giá một hệ thống thông tin có đáp ứng các yêu cầu an toàn cơ bản theo cấp độ hay không.
5.1 Phương pháp tiếp cận chung
Dự thảo Tiêu chuẩn được xây dựng trên cơ sở tham khảo các tiêu chuẩn quốc tế, tiêu chuẩn của các nước phát triển về công nghệ thông tin và các tiêu chuẩn quốc gia
đã ban hành.
Các tiêu chuẩn tham chiếu được lựa chọn các nội dung cho phù hợp với cơ cầu tổ chức, công tác quản lý nhà nước về toàn toàn thông tin cũng như điều kiện thực tế tại Việt Nam hiện nay Đặc biệt đối tượng và phạm vi áp dụng tiêu chuẩn phải phù hợp với quy định tại Nghị định 85 là các hệ thống thông tin phục vụ ứng dụng công nghệ thông tin trong hoạt động của cơ quan, tổ chức nhà nước và cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp.
Về nguyên tắc (Điều 4 Nghị định 85), việc bảo đảm an toàn hệ thống thông tin theo cấp độ trong hoạt động của cơ quan, tổ chức được thực hiện thường xuyên, liên tục từ khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ Do đó, các yêu cầu đưa ra trong dự thảo Tiêu chuẩn được chia làm 02 nhóm: yêu cầu kỹ thuật và yêu cầu quản
lý Trong đó, yêu cầu kỹ thuật là cơ sở để cơ quan, tổ chức sử dụng để thiết kế, thiết lập cấu hình kỹ thuật an toàn cho hệ thống thông tin Yêu cầu quản lý sẽ được sử dụng
để xây dựng các chính sách, quy trình phục vụ việc quản lý, vận hành an toàn hệ thống thông tin trong quá trình khai thác, sử dụng.
Thêm nữa Khung kiến trúc Chính phủ điện tử Việt Nam phiên bản 1.0 (http://mic.gov.vn/Upload/Store/tintuc/vietnam/64/Khung-Kien-truc-CPDT-VN.pdf) nội dung Sơ đồ tổng thể Khung kiến trúc CPĐT Việt Nam trang 11 cũng chỉ rõ Công tác bảo đảm an toàn thông tin phải gắn liền với Hạ tầng Kỹ thuật và Quản lý, chỉ đạo.
Trang 8Hình 1 Sơ đồ tổng thể Khung Kiến trúc CPĐT Việt Nam
Trên cơ sở đó, dự thảo được xây dựng trên cơ sở tham chiếu 02 tiêu chuẩn, tiêu chuẩn SP800-53 của Mỹ để xây dựng các yêu cầu về kỹ thuật và tiêu chuẩn ISO/IEC 27001:2013 để xây dựng các yêu cầu về quản lý Các nội dung được lựa chọn đề xây dựng tiêu chuẩn tập trung vào nội dung bảo vệ hệ thống thông tin trên môi trường mạng và đảm bảo các yêu cầu này là cơ bản, khả thi và phù hợp với đối tượng áp dụng Những nội dung khác như an toàn vật lý, bảo vệ thông tin cá nhân… có trong các tiêu chuẩn tham chiếu sẽ được nghiên cứu xây dựng thành các tiêu chuẩn độc lập Việc phân là 02 nhóm trên cũng phù hợp với các nhóm khảo sát tình hình an toàn thông tin Việt Nam hàng năm như sau:
Hình 2 Chỉ số an toàn thông tin Việt Nam VNISA Index năm 2015
Trang 9Để phân chia các yêu cầu thành 05 cấp độ phù hợp, trước hết xây dựng các yêu cầu cho cấp độ 5 Đối với các yêu cầu cụ thể, các nội dung của mỗi yêu cầu được sắp xếp theo thứ tự từ cơ bản đến nâng cao Các yêu cầu cơ bản có các tiêu chí: cần thiết,
dễ triển khai và không phải chi phí đầu tư lớn Các yêu cầu mở trên mức cơ bản là các yêu cầu có mức triển khai phức tạp và đòi hỏi chuyên môn cao hơn Các mức yêu cầu
ở mức độ nâng cao là các yêu cầu phải nâng cấp, đầu tư để đáp ứng yêu cầu đặt ra Trên cơ sở cấp độ 5 đầy đủ các yêu cầu, các cấp độ còn lại được giản lược bớt các yêu cầu cho phù hợp với từng cấp độ theo tiêu chí xác định cấp độ quy định ở Nghị định 85.
5.2 Phương pháp tiếp cận xây dựng các yêu cầu về kỹ thuật
Dự thảo Tiêu chuẩn lựa chọn các yêu cầu an toàn về kỹ thuật đưa ra tại Tiêu chuẩn SP800-53 Các yêu cầu an toàn trong Tiêu chuẩn này đã chi tiết, cụ thể và đã được áp dụng trong các hệ thống thông tin của Chính phủ Mỹ nhiều năm
Tuy nhiên, các yêu cầu đưa ra trong Tiêu chuẩn này được nhóm lại theo từng nhóm để phù hợp với công tác quản lý nhà nước về an toàn thông tin tại Việt Nam Cụ
thể các yêu cầu được nhóm lại thành 04 nhóm: An toàn hạ tầng mạng, An toàn máy
chủ, An toàn ứng dụng, An toàn dữ liệu
Các phân nhóm như trên là phù hợp với Khung bảo đảm an toàn thông tin cho Chính phủ điện tử tại Khung Kiến trúc CPĐT, trong đó an toàn Mạng, Máy tính Ứng dụng và Cơ sở dữ liệu là các nội dung lớn được phân chia trong Khung kiến trúc Chính phủ điện tử như sau:
Hình 3 Khung Kiến trúc CPĐT cấp Bộ
Trang 10Bên cạnh đó, các phân nhóm như trên cũng phù hợp với bộ tiêu trí khảo sát an toàn thông tin Việt Nam mà Cục An toàn thông tin phối hợp với Hiệp hội an toàn thông tin đã thực hiện những năm vừa qua.
Các yêu cầu kỹ thuật đưa ra trong Tiêu chuẩn SP800-53 được phân chia làm 03 cấp độ (Low, Moderate và High) Trong khi việc quản lý và thực thi bảo đảm an toàn
hệ thống thông tin lại theo 05 cấp độ, do đó, các yêu cầu trong 02 Tiêu chuẩn này sẽ được tái cấu trúc lại để tuân thủ các quy định của Luật An toàn thông tin mạng và Nghị định 85 về bảo đảm an toàn hệ thống thông tin theo cấp độ, cũng như tình hình thực tế tại Việt Nam.
Thêm nữa, trong quá trình nghiên cứu kinh nghiệm của Trung Quốc, thì cách phân chia như trên cũng được Trung Quốc áp dụng cho hệ thống tiêu chuẩn của mình.
5.3 Phương pháp tiếp cận xây dựng các yêu cầu về quản lý
Về yêu cầu quản lý thì bộ Tiêu chuẩn ISO/IEC 27000 về bản chất đây là bộ Tiêu chuẩn cho hệ thống quản lý an toàn thông tin sau khi một hệ thống thông tin được thiết
kế, xây dựng và đưa vào khai thác vận hành.
Bộ tiêu chuẩn này đã được triển khai áp dụng tại nhiều cơ quan, tổ chức trong nước và trên thế giới Tuy nhiên, các yêu cầu an toàn đưa ra trong bộ tiêu chuẩn này lại không phân chia thành các cấp độ, mà các yêu cầu này hướng tới việc có thể áp dụng vào tất cả các loại hình cơ quan, tổ chức trên cơ sở đánh giá và quản lý rủi ro an toàn hệ thống thông tin để lựa chọn các yêu cầu an toàn phù hợp, theo yêu cầu thực tế của cơ quan tổ chức.
Do đó, các yêu cầu an toàn trong Tiêu chuẩn này được cấu trúc lại để phù hợp với công tác quản lý nhà nước về an toàn thông tin và phù hợp với tình hình thực tế tại Việt Nam.
Cụ thể, các yêu cầu về quản lý được chia ra làm 05 nhóm: Chính sách an toàn
thông tin, Tổ chức bảo đảm an toàn thông tin, Bảm đảm nguồn nhân lực, Quản lý thiết
kế, xây dựng hệ thống và Quản lý vận hành an toàn hệ thống thông Trong đó các
nhóm Chính sách an toàn thông tin, Tổ chức bảo đảm an toàn thông tin và Bảm đảm nguồn nhân lực được giữ lại theo cấp trúc cũ của tiêu chuẩn ISO/IEC 27001:2013 để đưa các các yêu cầu quản lý chung cho toàn hệ thống Để đưa ra các yêu cầu quản lý cho khâu thiết kế, xây dựng và quản lý, vận hành hệ thống thông tin thì dự thảo Tiêu chuẩn cấu trúc lại các yêu cầu liên quan trong tiêu chuẩn ISO/IEC 27001:2013 thành
02 nhóm: Quản lý thiết kế, xây dựng hệ thống và Quản lý vận hành an toàn hệ thống thông Đối với nhóm Quản lý thiết kế, xây dựng hệ thống có bổ sung các nội dung liên quan đến việc xác định cấp độ và thiết kế xây dựng hệ thống thông tin.
Trang 11Đối với các yêu cầu về quản lý tham chiếu từ tiêu chuẩn ISO/IEC 27001:2013 thì các yêu cầu được lựa chọn là các yêu cầu cơ bản và phù hợp với các hệ thống thông tin thuộc phạm vi điều chỉnh của Nghị định 85 (Hệ thống thông tin phục vụ trong các cơ quan, tổ chức nhà nước và hệ thống thông tin phục vụ người dân và doanh nghiệp) Các yêu cầu nâng cao yêu cầu việc triển khai áp dụng phức tạp, yêu cầu chi phí lớn và
áp dụng chính cho đối tượng là các doanh nghiệp thì được lựa chọn có chọn lọc các yêu cầu này Các nội dung mang tính tuân thủ, quy phạm đã cũng không được lựa chọn đưa vào vì đã có các quy định khác của pháp luật liên quan.
5.4 Tổng quan về tiêu chuẩn SP800-53
Tiêu chuẩn về an toàn thông tin và hệ thống thông tin của Mỹ do Viện Tiêu chuẩn và công nghệ quốc gia (the National Institute of Standards and Technology - NIST) xây dựng và ban hành Bộ tiêu chuẩn này được ban hành và thực thi trên cơ sở Điều khoản 5131 của Bộ Luật cải cách quản lý công nghệ thông tin năm 1996 (Public Law 104-106) và Bộ luật Quản lý an toàn thông tin Liên bang năm 2002 (Public Law 107-347).
FIPS 199 lập ra 3 mức ảnh hưởng là Thấp, Trung bình và Cao cho thông tin và các hệ thống thông tin Mỗi một mức đó phụ thuộc vào tính bí mật, tính nguyên vẹn và tính khả dụng của thông tin ở mức nào trong 3 mức Thấp, Trung bình và Cao dựa trên
cơ sở đánh giá tác động của hai loại thông tin có trong hệ thống thông tin là: một là loại thông tin mà hệ thống thông tin đó quản lý; hai là loại thông tin giúp cho hệ thống thông tin đó hoạt động theo tính năng được thiết kế Dựa trên cơ sở tổng hợp tác động, ảnh hưởng tiềm năng tới quan hệ xã hội được pháp luật bảo hộ (tổ chức, cá nhân, trật
tự xã hội, lợi ích công cộng và an ninh quốc gia) để định ra cấp độ an toàn của hệ thống thông tin.
Trong FIPS 200 yêu cầu phải xác định cấp độ ảnh hưởng trước khi cân nhắc yêu cầu an toàn thông tin tối thiểu và kiểm soát an toàn phù hợp với cấp độ hệ thống Các
hệ thống thông tin đã được phân loại an toàn phải áp dụng 17 nhóm yêu cầu an toàn tối thiểu với mức độ chi tiết khác nhau Chi tiết các yêu cầu bảo đảm an toàn của 17 nhóm
kể trên được quy định tại FIPS SP 800-53 Ở đây mức kiểm soát an toàn (Security Controls) được hiểu là: kiểm soát an toàn là quản lý, vận hành và bảo vệ kỹ thuật hoặc các biện pháp đối phó được sử dụng trong hệ thống thông tin của tổ chức để bảo vệ tính bí mật, tính nguyên vẹn và tính khả dụng của hệ thống thông tin và thông tin của nó.
Trang 12Hình 4 17 nhóm kiểm soát an toàn quy định tại FIPS 200
SP 800-60 “Appendices to Guide for Mapping Types of Information and Information Systems to Security Categories” hướng dẫn cách phân loại hệ thống thông tin theo lĩnh vực (26 lĩnh vực) dựa vào các tiêu chí đưa ra trong tiêu chuẩn FIPS 199 Tiêu chuẩn SP 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations” đưa ra các biện pháp thực hiện các yêu cầu an toàn cho hệ thống thông tin, bao gồm các biện pháp kiểm soát trong các bảng dưới đây:
Y INITIAL CONTROL BASELINES
Access Control
AC-1 Access Control Policy and Procedures P1 AC-1 AC-1 AC-1
AC-2 Account Management P1 AC-2 AC-2 (1) (2) (3) AC-2 (1) (2) (3)
(4) (4) (5) (11) (12)
(13)
AC-4 Information Flow Enforcement P1 Not Selected AC-4 AC-4
AC-6 Least Privilege P1 Not Selected AC-6 (1) (2) (5) AC-6 (1) (2) (3)
(9) (10) (5) (9) (10)
AC-9 Previous Logon (Access) Notification P0 Not Selected Not Selected Not Selected AC-10 Concurrent Session Control P3 Not Selected Not Selected AC-10
-AC-14 Permitted Actions without Identification or
-AC-16 Security Attributes P0 Not Selected Not Selected Not Selected
Trang 13AC-17 Remote Access P1 AC-17 AC-17 (1) (2) AC-17 (1) (2)
(3) (4) (3) (4)
(5) AC-19 Access Control for Mobile Devices P1 AC-19 AC-19 (5) AC-19 (5) AC-20 Use of External Information Systems P1 AC-20 AC-20 (1) (2) AC-20 (1) (2)
AC-23 Data Mining Protection P0 Not Selected Not Selected Not Selected AC-24 Access Control Decisions P0 Not Selected Not Selected Not Selected AC-25 Reference Monitor P0 Not Selected Not Selected Not Selected
Awareness and Training
AT-1 Security Awareness and Training Policy and
Procedures
AT-2 Security Awareness Training P1 AT-2 AT-2 (2) AT-2 (2)
-Audit and Accountability
AU-1 Audit and Accountability Policy and
Procedures
AU-3 Content of Audit Records P1 AU-3 AU-3 (1) AU-3 (1) (2)
AU-5 Response to Audit Processing Failures P1 AU-5 AU-5 AU-5 (1) (2) AU-6 Audit Review, Analysis, and Reporting P1 AU-6 AU-6 (1) (3) AU-6 (1) (3) (5)
(6) AU-7 Audit Reduction and Report Generation P2 Not Selected AU-7 (1) AU-7 (1)
AU-9 Protection of Audit Information P1 AU-9 AU-9 (4) AU-9 (2) (3) (4)
AU-13 Monitoring for Information Disclosure P0 Not Selected Not Selected Not Selected AU-14 Session Audit P0 Not Selected Not Selected Not Selected AU-15 Alternate Audit Capability P0 Not Selected Not Selected Not Selected AU-16 Cross-Organizational Auditing P0 Not Selected Not Selected Not Selected
Security Assessment and Authorization
CA-1 Security Assessment and Authorization
CA-8 Penetration Testing P2 Not Selected Not Selected CA-8
Trang 14CM-4 Security Impact Analysis P2 CM-4 CM-4 CM-4 (1) CM-5 Access Restrictions for Change P1 Not Selected CM-5 CM-5 (1) (2) (3)
CM-7 Least Functionality P1 CM-7 CM-7 (1) (2) (4) CM-7 (1) (2) (5) CM-8 Information System Component Inventory P1 CM-8 CM-8 (1) (3) (5) CM-8 (1) (2) (3)
(4) (5) CM-9 Configuration Management Plan P1 Not Selected CM-9 CM-9
(4) CP-9 Information System Backup P1 CP-9 CP-9 (1) CP-9 (1) (2) (3)
(5) CP-10 Information System Recovery and
Reconstitution
P1 CP-10 CP-10 (2) CP-10 (2) (4)
CP-11 Alternate Communications Protocols P0 Not Selected Not Selected Not Selected
CP-13 Alternative Security Mechanisms P0 Not Selected Not Selected Not Selected
Identification and Authentication
IA-1 Identification and Authentication Policy and
IA-2 Identification and Authentication P1 IA-2 (1) (12) IA-2 (1) (2) (3) IA-2 (1) (2) (3)
(12) IA-3 Device Identification and Authentication P1 Not Selected IA-3 IA-3
IA-5 Authenticator Management P1 IA-5 (1) (11) IA-5 (1) (2) (3) IA-5 (1) (2) (3)
IA-7 Cryptographic Module Authentication P1 IA-7 IA-7 IA-7 IA-8 Identification and Authentication (Non- P1 IA-8 (1) (2) (3) IA-8 (1) (2) (3) IA-8 (1) (2) (3)
IA-9 Service Identification and Authentication P0 Not Selected Not Selected Not Selected IA-10 Adaptive Identification and Authentication P0 Not Selected Not Selected Not Selected IA-11 Re-authentication P0 Not Selected Not Selected Not Selected
Incident Response
IR-1 Incident Response Policy and Procedures P1 IR-1 IR-1 IR-1
CM-7 Least Functionality P1 CM-7 CM-7 (1) (2) (4) CM-7 (1) (2) (5) CM-8 Information System Component Inventory P1 CM-8 CM-8 (1) (3) (5) CM-8 (1) (2) (3)
(4) (5) CM-9 Configuration Management Plan P1 Not Selected CM-9 CM-9
Trang 15(4) CP-9 Information System Backup P1 CP-9 CP-9 (1) CP-9 (1) (2) (3)
(5) CP-10 Information System Recovery and
Reconstitution
P1 CP-10 CP-10 (2) CP-10 (2) (4)
CP-11 Alternate Communications Protocols P0 Not Selected Not Selected Not Selected
CP-13 Alternative Security Mechanisms P0 Not Selected Not Selected Not Selected
Identification and Authentication
IA-1 Identification and Authentication Policy and
Procedures
IA-2 Identification and Authentication P1 IA-2 (1) (12) IA-2 (1) (2) (3) IA-2 (1) (2) (3)
(12) IA-3 Device Identification and Authentication P1 Not Selected IA-3 IA-3
IA-5 Authenticator Management P1 IA-5 (1) (11) IA-5 (1) (2) (3) IA-5 (1) (2) (3)
IA-7 Cryptographic Module Authentication P1 IA-7 IA-7 IA-7 IA-8 Identification and Authentication (Non- P1 IA-8 (1) (2) (3) IA-8 (1) (2) (3) IA-8 (1) (2) (3)
IA-9 Service Identification and Authentication P0 Not Selected Not Selected Not Selected IA-10 Adaptive Identification and Authentication P0 Not Selected Not Selected Not Selected IA-11 Re-authentication P0 Not Selected Not Selected Not Selected
Incident Response
IR-1 Incident Response Policy and Procedures P1 IR-1 IR-1 IR-1
IR-3 Incident Response Testing P2 Not Selected IR-3 (2) IR-3 (2)
IR-7 Incident Response Assistance P2 IR-7 IR-7 (1) IR-7 (1)
IR-9 Information Spillage Response P0 Not Selected Not Selected Not Selected IR-10 Integrated Information Security Analysis
Team
P0 Not Selected Not Selected Not Selected
Maintenance
MA-1 System Maintenance Policy and Procedures P1 MA-1 MA-1 MA-1
MA-3 Maintenance Tools P3 Not Selected MA-3 (1) (2) MA-3 (1) (2) (3)
Trang 16MA-5 Maintenance Personnel P2 MA-5 MA-5 MA-5 (1)
Media Protection
MP-1 Media Protection Policy and Procedures P1 MP-1 MP-1 MP-1
MP-8 Media Downgrading P0 Not Selected Not Selected Not Selected
Physical and Environmental Protection
PE-1 Physical and Environmental Protection
PE-4 Access Control for Transmission Medium P1 Not Selected PE-4 PE-4 PE-5 Access Control for Output Devices P2 Not Selected PE-5 PE-5 PE-6 Monitoring Physical Access P1 PE-6 PE-6 (1) PE-6 (1) (4)
PE-9 Power Equipment and Cabling P1 Not Selected PE-9 PE-9
(3) PE-14 Temperature and Humidity Controls P1 PE-14 PE-14 PE-14
PE-18 Location of Information System Components P3 Not Selected Not Selected PE-18 PE-19 Information Leakage P0 Not Selected Not Selected Not Selected PE-20 Asset Monitoring and Tracking P0 Not Selected Not Selected Not Selected
Planning
PL-1 Security Planning Policy and Procedures P1 PL-1 PL-1 PL-1
Personnel Security
PS-1 Personnel Security Policy and Procedures P1 PS-1 PS-1 PS-1
Trang 17PS-7 Third-Party Personnel Security P1 PS-7 PS-7 PS-7
Risk Assessment
RA-1 Risk Assessment Policy and Procedures P1 RA-1 RA-1 RA-1
-RA-5 Vulnerability Scanning P1 RA-5 RA-5 (1) (2) (5) RA-5 (1) (2) (4)
(5) RA-6 Technical Surveillance Countermeasures
Survey
P0 Not Selected Not Selected Not Selected
System and Services Acquisition
SA-1 System and Services Acquisition Policy and
SA-4 Acquisition Process P1 SA-4 (10) SA-4 (1) (2) (9)
(10)
SA-4 (1) (2) (9) (10)
-SA-8 Security Engineering Principles P1 Not Selected SA-8 SA-8 SA-9 External Information System Services P1 SA-9 SA-9 (2) SA-9 (2) SA-10 Developer Configuration Management P1 Not Selected SA-10 SA-10 SA-11 Developer Security Testing and Evaluation P1 Not Selected SA-11 SA-11 SA-12 Supply Chain Protection P1 Not Selected Not Selected SA-12 SA-13 Trustworthiness P0 Not Selected Not Selected Not Selected SA-14 Criticality Analysis P0 Not Selected Not Selected Not Selected SA-15 Development Process, Standards, and
SA-16 Developer-Provided Training P2 Not Selected Not Selected SA-16 SA-17 Developer Security Architecture and Design P1 Not Selected Not Selected SA-17 SA-18 Tamper Resistance and Detection P0 Not Selected Not Selected Not Selected SA-19 Component Authenticity P0 Not Selected Not Selected Not Selected SA-20 Customized Development of Critical
Components
P0 Not Selected Not Selected Not Selected
SA-21 Developer Screening P0 Not Selected Not Selected Not Selected SA-22 Unsupported System Components P0 Not Selected Not Selected Not Selected
System and Communications Protection
SC-1 System and Communications Protection
SC-3 Security Function Isolation P1 Not Selected Not Selected SC-3 SC-4 Information in Shared Resources P1 Not Selected SC-4 SC-4
SC-6 Resource Availability P0 Not Selected Not Selected Not Selected
(7)
SC-7 (3) (4) (5) (7) (8) (18) (21) SC-8 Transmission Confidentiality and Integrity P1 Not Selected SC-8 (1) SC-8 (1)
SC-11 Trusted Path P0 Not Selected Not Selected Not Selected SC-12 Cryptographic Key Establishment and
Management
Trang 18SC-14 Withdrawn - - - SC-15 Collaborative Computing Devices P1 SC-15 SC-15 SC-15 SC-16 Transmission of Security Attributes P0 Not Selected Not Selected Not Selected SC-17 Public Key Infrastructure Certificates P1 Not Selected SC-17 SC-17
SC-19 Voice Over Internet Protocol P1 Not Selected SC-19 SC-19 SC-20 Secure Name /Address Resolution Service
SC-21 Secure Name /Address Resolution Service
(Recursive or Caching Resolver)
SC-22 Architecture and Provisioning for
Name/Address Resolution Service
SC-24 Fail in Known State P1 Not Selected Not Selected SC-24
SC-27 Platform-Independent Applications P0 Not Selected Not Selected Not Selected SC-28 Protection of Information at Rest P1 Not Selected SC-28 SC-28 SC-29 Heterogeneity P0 Not Selected Not Selected Not Selected SC-30 Concealment and Misdirection P0 Not Selected Not Selected Not Selected SC-31 Covert Channel Analysis P0 Not Selected Not Selected Not Selected SC-32 Information System Partitioning P0 Not Selected Not Selected Not Selected
-SC-34 Non-Modifiable Executable Programs P0 Not Selected Not Selected Not Selected SC-35 Honeyclients P0 Not Selected Not Selected Not Selected SC-36 Distributed Processing and Storage P0 Not Selected Not Selected Not Selected SC-37 Out-of-Band Channels P0 Not Selected Not Selected Not Selected SC-38 Operations Security P0 Not Selected Not Selected Not Selected
SC-40 Wireless Link Protection P0 Not Selected Not Selected Not Selected SC-41 Port and I/O Device Access P0 Not Selected Not Selected Not Selected SC-42 Sensor Capability and Data P0 Not Selected Not Selected Not Selected SC-43 Usage Restrictions P0 Not Selected Not Selected Not Selected SC-44 Detonation Chambers P0 Not Selected Not Selected Not Selected
System and Information Integrity
SI-1 System and Information Integrity Policy and
SI-3 Malicious Code Protection P1 SI-3 SI-3 (1) (2) SI-3 (1) (2) SI-4 Information System Monitoring P1 SI-4 SI-4 (2) (4) (5) SI-4 (2) (4) (5) SI-5 Security Alerts, Advisories, and Directives P1 SI-5 SI-5 SI-5 (1) SI-6 Security Function Verification P1 Not Selected Not Selected SI-6 SI-7 Software, Firmware, and Information
Integrity
P1 Not Selected SI-7 (1) (7) SI-7 (1) (2) (5)
(7) (14) SI-8 Spam Protection P2 Not Selected SI-8 (1) (2) SI-8 (1) (2)
-SI-10 Information Input Validation P1 Not Selected SI-10 SI-10
SI-12 Information Handling and Retention P2 SI-12 SI-12 SI-12 SI-13 Predictable Failure Prevention P0 Not Selected Not Selected Not Selected SI-14 Non-Persistence P0 Not Selected Not Selected Not Selected SI-15 Information Output Filtering P0 Not Selected Not Selected Not Selected
SI-17 Fail-Safe Procedures P0 Not Selected Not Selected Not Selected
Trang 19Hình 5 Bảng các biện pháp quản lý trong Tiêu chuẩn SP800-53
5.5 Tổng quan về tiêu chuẩn ISO/IEC 27001:2013
Bộ tiêu chuẩn ISO/IEC 27000 được tổ chức tiêu chuẩn quốc tế (ISO) ban hành, đến nay, trong đó nhiều tiêu chuẩn được ban hành mới gần đây (năm 2013, 2014) như: ISO/IEC 27033-4:2014; IS/IEC 27033-5:2014; ISO/IEC 27037:2014 và một số tiêu chuẩn được cập nhật phiên bản mới: ISO/IEC 27001:2013; ISO/IEC 27002:2013, Tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC 27002:2005, những tiêu chuẩn của
hệ thống quản lý an toàn thông tin đã được Viện Tiêu Chuẩn Anh Quốc BSI cùng với
tổ chức tiêu chuẩn hoá quốc tế biên soạn và ban hành nhằm hỗ trợ các tổ chức thuộc mọi lĩnh vực, mọi quy mô, để áp dụng và vận hành hệ thống quản lý an toàn thông tin một cách hiệu quả.
Tháng 10/2013, các tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC 27002:2005 đã được nâng cấp sang phiên bản mới ISO/IEC 27001:2013, ISO/IEC 27002:2013 Các phiên bản mới thay thế cho các phiên bản đã ban hành trước đó Đến thời điểm hiện nay, tiêu chuẩn ISO/IEC 27002:2013 có thêm hai bản đính chính, một bản ban hành năm 2014 (ISO/IEC 27002:2013 Technical Corrigendum 1) và một bản ban hành năm
2015 (ISO/IEC 27002:2013 Technical Corrigendum 2) để sửa đổi một số nội dung trong tiêu chuẩn ISO/IEC 27002:2013.
ISO/IEC 27001 tiếp cận bảo đảm an toàn thông tin trên cơ sở đánh giá rủi ro đối với từng loại thông tin được xử lý trên hệ thống thông tin, qua đó, áp dụng các biện pháp xử lý rủi ro phù hợp (chấp nhận rủi ro; chuyển giao rủi ro ra bên thứ 3; xử lý rủi
ro bằng cách áp dụng các kiểm soát an toàn phù hợp nhằm giảm nhẹ hoặc loại bỏ);
Để bảo đảm an toàn một hệ thống thông tin (bao gồm nhiều thành phần, thực hiện chức năng xử lý thông tin của tổ chức), ISO/IEC 27001 yêu cầu xây dựng hệ thống quản lý an toàn thông tin (ISMS) bao gồm: chính sách, quy trình, hướng dẫn, biểu mẫu, giải pháp kỹ thuật, nhận thức, đào tạo,…);
Đối với mỗi loại rủi ro về an toàn thông tin (rủi ro về con người; về hạ tầng mạng; về cơ sở dữ liệu;…), ISO/IEC 27001 đều đưa ra nhóm các kiểm soát an toàn để
áp dụng nhằm kiểm soát rủi ro.
Cấu trúc của Tiêu chuẩn ISO/IEC 27001:2013:
Trang 203 Terms and defiitions 3 Thuật ngữ và định nghĩa
4.1 Understanding the organization and its
context
4.1 Hiểu được tổ chức và phạm vi của tổ chức
4.2 Understanding the needs and
expectations of interested parties
4.2 Hiểu được nhu cầu và mong muốn của các bên liên quan
4.3 Determining the scope of the information
security management system
4.3 Xác định phạm vi hệ thống quản lý an toàn thông tin
4.4 Information security management system 4.4 Hệ thống quản lý an toàn thông tin
5.1 Leadership and commitment 5.1 Lãnh đạo và cam kết
6.1.2 Information security risk assessment 6.1.2 Đánh giá rủi ro an toàn thông tin
6.1.3 Information security risk treatment 6.1.3 Xử lý rủi ro an toàn thông tin
6.2 Information security objectives and
planning to achieve them
6.2 Lập kế hoạch và mục tiêu để đạt được an toàn thông tin
7.5 Documented information 7.5 Thông tin dạng tài liệu hóa
8.1 Operational planning and control 8.1 Lập kế hoạch và kiểm soát hoạt động 8.2 Information security risk assessment 8.2 Đánh giá rủi ro an toàn thông tin
8.3 Information security risk treatment 8.3 Xử lý rủi ro an toàn thông tin
9.1 Monitoring, measurement, analysis and
evaluation
9.1 Giám sát, đo lường, phân tích và đánh giá
9.3 Management review 9.3 Soát xét của quản lý
10.1 Nonconformity and corrective action 10.1 Sự không phù hợp và hành động khắc
phục 10.2 Continual improvement 10.2 Cải tiến liên tục
5.6 Bảng ánh xạ các yêu cầu giữa dự thảo Tiêu chuẩn với SP800-53 và Tiêu chuẩn ISO/IEC 27001:2013
9.1 Yêu cầu kỹ thuật
Trang 219.1.1 Bảo đảm an toàn hạ tầng mạng
9.1.1.1 Thiết kế hệ thống (Bổ xung mới)
9.1.1.2 Kiểm soát truy nhập từ bên ngoài mạng (SP800-53 Access Control)
9.1.1.3 Kiểm soát truy nhập từ bên trong mạng (SP800-53 Access Control)
9.1.1.4 Nhật ký hệ thống (SP800-53 Audit and Accountability)
9.1.1.5 Phòng chống xâm nhập (SP800-53 System and Information Integrity)
9.1.1.6 Phòng chống phần mềm độc hại (SP800-53 System and Information Integrity) 9.1.1.7 Bảo vệ thiết bị hệ thống (SP800-53 Media Protection)
9.1.2 Bảo đảm an toàn máy chủ
9.1.2.1 Xác thực (SP800-53 - Identification and Authentication)
9.1.2.2 Kiểm soát truy nhập (SP800-53 Access Control)
9.1.2.3 Nhật ký hệ thống (SP800-53 Audit and Accountability)
9.1.2.4 Phòng chống xâm nhập (SP800-53 System and Information Integrity)
9.1.2.5 Phòng chống phần mềm độc hại (SP800-53 System and Information Integrity) 9.1.2.6 Xử lý máy chủ khi chuyển giao (SP800-53 Media Protection)
9.1.3 Bảo đảm an toàn ứng dụng
9.1.3.1 Xác thực (SP800-53 - Identification and Authentication)
9.1.3.2 Kiểm soát truy nhập (SP800-53 Access Control)
9.1.3.3 Nhật ký hệ thống (SP800-53 Audit and Accountability)
9.1.3.4 Bảo mật thông tin liên lạc (SP800-53 System and Communications Protection) 9.1.3.5 Chống chối bỏ (SP800-53 System and Information Integrity)
9.1.4 An toàn dữ liệu
9.1.4.1 Nguyên vẹn dữ liệu (SP800-53 System and Information Integrity)
9.1.4.2 Bảo mật dữ liệu (SP800-53 System and Information Integrity)
9.1.4.3 Sao lưu dự phòng (A5) (SP800-53 Contingency Planning )
9.2 Yêu cầu quản lý
9.2.1 Chính sách an toàn thông tin
9.2.1.1 Chính sách an toàn thông tin (27001….1.1.1)
9.2.1.2 Xây dựng và công bố (27001….A.5.1.1)
9.2.1.3 Rà soát, sửa đổi (27001….A.5.1.2)
9.2.2 Tổ chức bảo đảm an toàn thông tin
9.2.2.1 Đơn vị quản lý an toàn thông tin (27001….1.1.1)
9.2.2.2 Liên lạc với những cơ quan/tổ chức có thẩm quyền (27001….A.6.1.3)
Trang 229.2.2.3 Liên lạc với các nhóm chuyên gia (27001….A.6.1.4)
9.2.3 Bảo đảm nguồn nhân lực
9.2.3.1.Trước khi tuyển dụng (27001….A.7.1)
9.2.3.2 Trong quá trình làm việc (27001….A.7.2)
9.2.3.3 Chấm dứt hoặc thay đổi công việc (27001… A.7.3)
9.2.4 Quản lý xây dựng hệ thống thông tin
9.2.4.1 Xác định cấp độ an toàn hệ thống thông tin (bổ xung)
9.2.4.2 Thiết kế an toàn hệ thống thông tin (bổ xung)
9.2.4.3 Phát triển phần mềm thuê khoán (27001….A.14.2.7)
9.2.4.4 Thực hiện dự án (27001….A.14.2)
9.2.4.5 Thử nghiệm và bàn giao (27001….A.14.2.9) (27001….A.15.2)
9.2.4.6 Các mối liên hệ với bên cung cấp dịch vụ an toàn thông tin (27001….A.15.1)
9.2.5 Quản lý vận hành hệ thống
9.2.5.1 Quản lý an toàn mạng (27001…A.13.1)
9.2.5.2 Quản lý an toàn máy chủ và ứng dụng (27001…A.12.5)
9.2.5.3 Quản lý an toàn dữ liệu 27001….A12 3)
9.2.5.4 Quản lý thiết bị đầu cuối (27001…A.6.2)
9.2.5.5 Quản lý thiết bị hệ thống (27001….A11 2)
9.2.5.6 Quản lý phòng chống phần mềm độc hại (27001….A12 2)
9.2.5.7 Quản lý giám sát an toàn thông tin 27001….A12 4)
9.2.5.8 Quản lý điểm yếu an toàn thông tin 27001….A12 6)
9.2.5.9 Quản lý sự cố an toàn thông tin 27001….A16 1)
9.2.5.10 Quản lý phương án ứng cứu khẩn cấp 27001….A16.1.5)
9.2.5.11 Quản lý tài sản (27001….A.8)
9.2.5.12 Quản lý thay đổi hệ thống (27001….A.12.1.2)
5.7 Bảng ánh xạ các yêu cầu giữa Tiêu chuẩn ISO/IEC 27001:2013 với dự thảo Tiêu chuẩn
ISO/IEC27001 Dự thảo Tiêu chuẩn (cấp độ 5) A.5 Các chính sách an toàn thông tin 9.2.1 Chính sách an toàn thông tin A.5.1 Định hướng quản lý an toàn thông tin 9.2.1.1 Chính sách an toàn thông
tin (a,b,c) A.5.1.1 Các chính sách an toàn thông tin 9.2.1.1 Chính sách an toàn thông
Trang 23tin (d,đ)
A.5.1.2 Soát xét các chính sách an toàn thông tin 9.2.1.2 Xây dựng và công bố
9.2.1.3 Rà soát, sửa đổi
A.6.1 Tổ chức nội bộ 9.2.2 Tổ chức bảo đảm an toàn
thông tin A.6.1.1 Các vai trò và trách nhiệm đảm bảo an
thông tin A.6.1.2 Sự phân quyền
A.6.1.3 Liên lạc với những cơ quan/tổ chức có
thẩm quyền 9.2.2.2 Phối hợp với những cơ quan/tổ chức có thẩm quyền
A.6.1.4 Liên lạc với các nhóm chuyên gia 9.2.2.3 Phối hợp với các nhóm
chuyên gia A.6.1.5 An toàn thông tin trong quản lý dự án 9.2.4 Quản lý thiết kế, xây dựng hệ
thống thông tin A.6.2 Các thiết bị di động và làm việc từ xa 9.2.5.4 Quản lý thiết bị đầu cuối A.7 Đảm bảo an toàn tài nguyên con người 9.2.3 Bảo đảm nguồn nhân lực A.7.1 Trước khi tuyển dụng 9.2.3.1.Trước khi tuyển dụng A.7.2 Trong thời gian làm việc 9.2.3.2 Trong quá trình làm việc
A.8.1 Trách nhiệm đối với tài sản
9.2.5.11 Quản lý tài sản (a,b)
A.8.1.1 Kiểm kê tài sản
A.8.1.2 Quyền sở hữu tài sản
A.8.1.3 Sử dụng hợp lý tài sản
A.8.1.4 Bàn giao tài sản
A.8.2 Phân loại thông tin
A.8.2.1 Phân loại thông tin
A.8.2.2 Dán nhãn thông tin
A.8.2.3 Xử lý tài sản
A.8.3 Xử lý phương tiện truyền thông
A.8.3.1 Quản lý phương tiện truyền thông có thể di
Trang 249.2.5.11 Quản lý tài sản (c) A.8.3.2 Loại bỏ các phương tiện truyền thông
A.8.3.3 Chuyển giao phương tiện vật lý
A.9 Quản lý quyền truy cập
A.9.1 Các yêu cầu nhiệp vụ cho việc kiểm soát
9.2.5.2 Quản lý an toàn máy chủ và ứng dụng (a)
9.2.5.4 Quản lý an toàn thiết bị đầu cuối (a)
A.9.1.1 Chính sách quản lý truy cập
A.9.1.2 Truy cập vào hệ thống mạng và các dịch
vụ mạng
A.9.2 Quản lý truy cập người dùng
Các yêu cầu liên quan đến kỹ thuật tham chiếu theo tiêu chuẩn SP800- 53
A.9.3 Trách nhiệm của người sử dụng
A.9.4 Quản lý truy cập vào hệ thống và ứng dụng.
A.10 Mật mã hóa
9.2.5.3 Quản lý an toàn dữ liệu (a)
A.10.1 Biện pháp kiểm soát mật mã hóa
A.10.1.1 Chính sách sử dụng các biện pháp kiểm
soát mật mã hóa
A.10.1.2 Quản lý khóa
A.11 Đảm bảo an toàn vật lý và môi trường
Không đưa vào dự thảo vì nội dung liên quan đến an toàn vật lý sẽ được xây dựng ở Tiêu chuẩn khác
A.11.1 Khu vực an toàn
A.11.1.1 Vành đai an toàn vật lý
A.11.1.2 Kiểm soát lối vào vật lý
A.11.1.3 Bảo vệ các văn phòng, phòng làm việc và
vật dụng.
A.11.1.4 Bảo vệ chống lại các mối đe dọa từ môi
trường và bên ngoài
A.11.1.5 Làm việc trong các khu vực an toàn
A.11.1.16 Các khu vực phân phối và tập kết hàng.
9.2.5.4 Quản lý an toàn thiết bị đầu cuối
A.11.2.1 Bố trí và bảo vệ thiết bị
A.11.2.2 Các tiện ích hỗ trợ
Trang 25A.11.2.3 An toàn cho dây cáp
A.11.2.4 Bảo dưỡng thiết bị
A.11.2.5 Di dời tài sản
A.11.2.6 An toàn cho thiết bị và tài sản hoạt động
bên ngoài trụ sở của tổ chức
A.11.2.7 An toàn khi loại bỏ và tái sử dụng thiết bị
A.11.2.8 Thiết bị người dùng khi không sử dụng
A.12.1.2 Quản lý thay đổi 9.2.5.12 Quản lý thay đổi hệ thống (G5) A.12.1.3 Quản lý năng lực hệ thống
A.12.1.4 Phân tách các chức năng phát triển, kiểm
thử và vận hành.
9.2.4.4 Thử nghiệm và bàn giao hệ thống (G5)
A.12.2 Bảo vệ chống lại phần mềm độc hại 9.2.5.6 Quản lý phòng chống phần mềm độc hại
A.12.4 Giám sát và ghi nhật ký
9.2.5.7 Quản lý giám sát an toàn thông tin
A.12.4.1 Ghi nhật ký sự kiện
A.12.4.2 Bảo vệ thông tin nhật ký.
A.12.4.3 Nhật ký điều hành và quản trị
A.12.4.4 Đồng bộ thời gian
A.12.5 Quản lý các phần mềm vận hành 9.2.5.2 Quản lý an toàn máy chủ và
ứng dụng 9.2.5.4 Quản lý an toàn thiết bị đầu cuối (a,đ)
A.12.5.1 Cài đặt phầm mềm trên các hệ thống vận
hành
A.12.6 Quản lý lỗ hổng kỹ thuật.
A.12.6.1 Quản lý các lỗ hổng kỹ thuật
Trang 26A.12.6.2 Hạn chế việc cài đặt phần mềm
A.12.7 Xem xét việc đánh giá các hệ thống thông
A.14 Tiếp nhận, phát triển và duy trì các hệ thống
thông tin
9.2.4.4 Thử nghiệm và bàn giao hệ thống (G5)
A.15 Quan hệ với nhà cung cấp
9.2.4.5 Các mối liên hệ với bên cung cấp dịch vụ an toàn thông tin (G5)
A.16 Quản lý các sự cố an toàn thông tin 9.2.5.9 Quản lý sự cố an toàn thông
tin (G5) A.17 Các khía cạnh an toàn thông tin trong quản lý
sự liên tục của hoạt động nghiệp vụ
9.2.5.3 Quản lý an toàn dữ liệu (G5)
A.17.1 Đảm bảo an toàn thông tin liên tục
A.17.2 Dự phòng
6.1 Cấu trúc dự thảo Tiêu chuẩn
Nội dung chính của dự thảo Tiêu chuẩn bao gồm các yêu cầu kỹ thuật và yêu cầu quản lý cụ thể như sau:
Yêu cầu kỹ thuật chia làm 4 nhóm bao gồm 139 tiêu chí cụ thể Nội dung các nhóm bao gồm các tiêu chí như sau:
Nhóm 1: Bảo đảm an toàn hạ tầng mạng
Thiết kế hệ thống (3 tiêu chí, 28 tiêu chí cụ thể)
Kiểm soát truy nhập từ bên ngoài mạng (7 tiêu chí)
Trang 27 Kiểm soát truy nhập từ bên trong mạng (3 tiêu chí, 4 tiêu chí cụ thể)
Nhật ký hệ thống (8 tiêu chí, 7 tiêu chí cụ thể)
Phòng chống xâm nhập (5 tiêu chí)
Phòng chống phần mềm độc hại trên môi trường mạng (5 tiêu chí)
Bảo vệ thiết bị hệ thống (8 tiêu chí)
Nhóm 2: Bảo đảm an toàn máy chủ
Nguyên vẹn dữ liệu (2 tiêu chí)
Bảo mật dữ liệu (3 tiêu chí)
Sao lưu dự phòng (8 tiêu chí)
Yêu cầu quản lý chia làm 5 nhóm bao gồm 150 tiêu chí Nội dung các nhóm bao gồm các tiêu chí như sau:
Nhóm 1: Chính sách an toàn thông tin
Chính sách an toàn thông tin (5 tiêu chí, 21 tiêu chí cụ thể)
Xây dựng và công bố (6 tiêu chí)
Rà soát, sửa đổi (3 tiêu chí)