CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO CÁC TỔ CHỨC VIỄN THÔNG DỰA TRÊN ISO/IEC 27002

Bởi thế, việc quản lý an toàn thông tin trong các tổ chức viễn thông là có phụ thuộc lẫnnhau và có thể bao hàm bất cứ hoặc tất cả hạ tầng mạng, ứng dụng dịch vụ và các trang thiết bị khá

Trang 1

TCVN ISO/IEC 27011:201x ISO/IEC 27011:2008

Xuất bản lần 1

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –

HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO CÁC

TỔ CHỨC VIỄN THÔNG DỰA TRÊN ISO/IEC 27002

Information technology — Security techniques — Information security management

guidelines for telecommunications organizations based on ISO/IEC 27002

HÀ NỘI – 201x

TCVN

Trang 3

1 Phạm vi áp dụng 11

2 Tài liệu viện dẫn 11

3 Định nghĩa và danh mục từ viết tắt 11

4 Tổng quan 15

5 Chính sách an toàn thông tin 20

6 Tổ chức đảm bảo an toàn thông tin 20

6.1 Tổ chức nội bộ 20

6.1.1 Cam kết của ban quản lý về đảm bảo an toàn thông tin 20

6.1.2 Phối hợp đảm bảo an toàn thông tin 20

6.1.3 Phân định trách nhiệm đảm bảo an toàn thông tin 20

6.1.4 Quy trình cấp phép cho phương tiện xử lý thông tin 20

6.1.5 Các thỏa thuận về bảo mật 20

6.1.6 Liên lạc với cơ quan chức năng 22

6.1.7 Liên lạc với các nhóm chuyên gia 22

6.1.8 Soát xét độc lập về an toàn thông tin 22

6.2 Các bên tham gia bên ngoài 23

6.2.1 Xác định các rủi ro liên quan đến các bên tham gia bên ngoài 23

6.2.2 Chỉ rõ vấn đề an toàn khi làm việc với khách hàng 23

6.2.3 Chỉ rõ vấn đề an toàn trong các thỏa thuận với bên thứ ba 25

7 Quản lý tài sản 28

7.1 Trách nhiệm đối với tài sản 28

7.1.1 Kiểm kê tài sản 28

7.1.2 Quyền sở hữu tài sản 30

7.1.3 Sử dụng hợp lý tài sản 30

7.2 Phân loại thông tin 30

7.2.1 Hướng dẫn phân loại 31

7.2.2 Gắn nhãn và xử lý thông tin 32

Trang 4

8 Đảm bảo an toàn thông tin từ nguồn nhân lực 32

8.1 Trước khi sử dụng nhân sự 32

8.1.1 Các vai trò và trách nhiệm 32

8.1.2 Thẩm tra 33

8.1.3 Điều khoản và điều kiện sử dụng nhân sự 34

8.2 Trong thời gian làm việc 36

8.3 Chấm dứt hoặc thay đổi công việc 36

9 Đảm bảo an toàn vật lý và môi trường 36

9.1 Các khu vực an toàn 36

9.1.1 Vành đai an toàn vật lý 36

9.1.2 Kiểm soát ra vào 38

9.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng 39

9.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ môi trường 39

9.1.5 Làm việc trong các khu vực an toàn 39

9.1.6 Các khu vực truy nhập tự do, phân phối và tập kết hàng 39

9.2 Đảm bảo an toàn trang thiết bị 39

9.2.1 Bố trí và bảo vệ thiết bị 39

9.2.2 Các tiện ích hỗ trợ 40

9.2.3 An toàn cho dây cáp 42

9.2.4 Bảo dưỡng thiết bị 42

9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức 42

9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị 42

9.2.7 Di dời tài sản 42

10 Quản lý truyền thông và vận hành 42

10.1 Các quy trình và trách nhiệm vận hành 42

10.1.1 Văn bản hóa các thủ tục vận hành 42

10.1.2 Quản lý thay đổi 43

10.1.3 Phân tách nhiệm vụ 44

Trang 5

10.2 Quản lý chuyển giao dịch vụ của bên thứ ba 46

10.3 Lập kế hoạch và chấp nhận hệ thống 46

10.4 Bảo vệ chống lại mã độc và mã di động 46

10.4.1 Quản lý chống lại mã độc 46

10.4.2 Kiểm soát các mã di động 46

10.5 Sao lưu 47

10.6 Quản lý an toàn mạng 47

10.6.1 Kiểm soát mạng 47

10.6.2 An toàn cho các dịch vụ mạng 47

10.7 Xử lý phương tiện 48

10.8 Trao đổi thông tin 48

10.9 Các dịch vụ thương mại điện tử 48

10.10 Giám sát 49

10.10.1 Ghi nhật ký 49

10.10.2 Giám sát sử dụng hệ thống 50

10.10.3 Bảo vệ các thông tin nhật ký 50

10.10.4 Nhật ký của người điều hành và người quản trị 50

10.10.5 Ghi nhật ký lỗi 50

10.10.6 Đồng bộ thời gian 50

11 Kiểm soát truy nhập 50

11.1 Yêu cầu nghiệp vụ đối với kiểm soát truy nhập 50

11.1.1 Chính sách kiểm soát truy nhập 51

11.2 Quản lý truy nhập người dùng 52

11.3 Trách nhiệm của người dùng 52

11.4 Kiểm soát truy nhập mạng 52

11.5 Kiểm soát truy nhập hệ điều hành 52

11.6 Kiểm soát truy nhập thông tin và ứng dụng 52

Trang 6

11.7 Tính toán di động và làm việc từ xa 52

12 Tiếp nhận, phát triển và duy trì các hệ thống thông tin 53

12.1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin 53

12.2 Xử lý đúng trong các ứng dụng 53

12.3 Các biện pháp mật mã 53

12.4 Đảm bảo an toàn cho các tệp tin hệ thống 53

12.4.1 Kiểm soát các phần mềm điều hành 53

12.4.2 Bảo vệ dữ liệu kiểm tra hệ thống 54

12.4.3 Kiểm soát truy nhập đến mã nguồn chương trình 54

12.5 Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển 55

12.6 Quản lý các điểm yếu kỹ thuật 55

13 Quản lý các sự cố an toàn thông tin 55

13.1 Báo cáo các sự kiện an toàn thông tin và các điểm yếu 55

13.1.1 Báo cáo sự kiện an toàn thông tin 55

13.1.2 Báo cáo điểm yếu về bảo mật 57

13.2 Quản lý các sự cố an toàn thông tin và các cải tiến 57

13.2.1 Trách nhiệm và thủ tục 57

13.2.2 Rút kinh nghiệm từ các sự cố an toàn thông tin 60

13.2.3 Thu thập các chứng cứ 60

14 Quản lý tính liên tục của hoạt động nghiệp vụ 61

14.1 Khía cạnh an toàn thông tin của quản lý tính liên tục của hoạt động nghiệp vụ 61

14.1.1 An toàn thông tin trong quá trình quản lý tính liên tục của hoạt động nghiệp vụ 61

14.1.2 Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức 62

14.1.3 Xây dựng và thực hiện các kế hoạch về tính liên tục bao gồm cả vấn đề an toàn thông tin 62 14.1.4 Khung hoạch định sự liên tục trong hoạt động nghiệp vụ 64

14.1.5 Thử nghiệm, duy trì và đánh giá lại các kế hoạch đảm bảo liên tục nghiệp vụ 64

15 Sự phù hợp 64

Trang 7

PHỤ LỤC B (Tham khảo) Hướng dẫn thực hiện bổ sung 77

Thư mục tài liệu tham khảo 80

Trang 8

Lời nói đầu

TCVN ISO/IEC 27011:20xx hoàn toàn tương đương với ISO/IEC 27011:2008,

Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, được soạn thảo bởi Ủy ban Kỹ thuật Liên hiệp ISO/IEC JTC1, Công nghệ thông tin, Tiểu ban SC 27, Kỹ thuật an toàn phối hợp cùng ITU-T.

TCVN ISO/IEC 27011:20xx do Học viện Công nghệ Bưu chính Viễn thông biênsoạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lườngChất lượng thẩm định, Bộ Khoa học và Công nghệ công bố

Trang 9

T I Ê U C H U Ẩ N Q U Ố C G I A TCVN ISO/IEC 27011:201x

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO CÁC TỔ CHỨC VIỄN THÔNG DỰA TRÊN ISO/IEC 27002

Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

Tổ chức viễn thông phải đảm bảo rằng tính không tiết lộ truyền thông của các truyền thông mà

họ đang xử lý không bị xâm phạm Những người có liên quan tới tổ chức viễn thông cần giữ

bí mật bất cứ thông tin nào mà họ có thể đã biết trong quá trình làm việc

GHI CHÚ – Thuật ngữ “bí mật truyền thông” được sử dụng thay thế “tính không tiết lộ truyền thông” tại một số quốc gia.

2) Tính toàn vẹn

Việc lắp đặt và sử dụng các trang thiết bị viễn thông cần phải được kiểm soát, đảm bảo tínhxác thực, độ chính xác và hoàn thiện của thông tin được truyền đi, chuyển tiếp hoặc tiếp nhậnbởi hữu tuyến, vô tuyến hay bất cứ phương pháp nào khác

3) Tính sẵn sàng

Chỉ nên cấp quyền truy nhập tới các thông tin, trang thiết bị và phương tiện viễn thông dànhcho việc cung cấp các dịch vụ truyền thông khi cần thiết, cho dù đó là hữu tuyến, vô tuyến haybất cứ phương thức nào khác Để tăng cường tính sẵn sàng, các tổ chức viễn thông cần cấp

Trang 10

quyền ưu tiên cho các truyền thông trọng yếu trong trường hợp khẩn cấp, và phải tuân theocác yêu cầu pháp luật.

Tổ chức viễn thông cần phải thực hiện quản lý an toàn thông tin bất kể sử dụng công nghệ nào nhưhữu tuyến, vô tuyến hoặc công nghệ băng rộng Nếu việc quản lý an toàn thông tin không được thựchiện một cách thỏa đáng, mức độ ảnh hưởng của các nguy cơ đối với viễn thông về tính bảo mật, tínhtoàn vẹn và sẵn sàng có thể gia tăng

Các tổ chức viễn thông có chức năng cung cấp các dịch vụ viễn thông bằng cách cung cấp truyềnthông trung gian cho các bên khác thông qua trang thiết bị của mình Bởi thế, cần tính tới việc cáctrang thiết bị xử lý thông tin của tổ chức viễn thông không chỉ được truy nhập và sử dụng bởi nhân viên

và nhà thầu của chính họ mà còn bởi rất nhiều người dùng khác bên ngoài tổ chức

Nhằm cung cấp các dịch vụ viễn thông, các tổ chức viễn thông cần kết nối hoặc chia sẻ các dịch vụ vàtrang thiết bị viễn thông của họ, và/hoặc sử dụng các dịch vụ và trang thiết bị của các tổ chức viễnthông khác Bởi thế, việc quản lý an toàn thông tin trong các tổ chức viễn thông là có phụ thuộc lẫnnhau và có thể bao hàm bất cứ hoặc tất cả hạ tầng mạng, ứng dụng dịch vụ và các trang thiết bị khác.Các tổ chức viễn thông cần thực hiện các biện pháp phù hợp nhằm đảm bảo tính bí mật, tính toàn vẹn,tính sẵn sàng và bất cứ đặc tính an toàn nào khác của viễn thông, bất chấp quy mô hoạt động, vùngdịch vụ hay loại dịch vụ

Đối tượng

Tiêu chuẩn này cung cấp cho các tổ chức viễn thông, và những người có trách nhiệm đảm bảo an toànthông tin; cùng với các nhà cung cấp thiết bị an ninh, kiểm toán, các nhà cung cấp thiết bị đầu cuối viễnthông một bộ tổng quát các mục tiêu kiểm soát an toàn thông tin dựa trên TCVN ISO/IEC 27002:2011,các biện pháp đặc thù cho viễn thông, cùng với các hướng dẫn quản lý an toàn thông tin cho phép lựachọn và thực hiện những biện pháp như vậy

Trang 11

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này Đối với các tài liệu viện dẫn ghinăm công bố thì áp dụng phiên bản được nêu Đối với các tài liệu viện dẫn không ghi năm công bố thì

áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có)

TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu TCVN ISO/IEC 27002:2011, Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý

an toàn thông tin.

3 Định nghĩa và danh mục từ viết tắt

3.1 Định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong TCVN ISO/IEC 27002 Ngoài ra, cácđịnh nghĩa sau đây cũng được áp dụng:

3.1.1

Bản ghi viễn thông (telecommunication record)

Thông tin về các bên liên quan tới một liên lạc ngoại trừ nội dung của liên lạc đó, và thời gian, độ dàicủa liên lạc

3.1.2

Cuộc gọi ưu tiên (priority call)

Liên lạc viễn thông được khởi tạo từ những thiết bị đầu cuối nhất định trong các trường hợp khẩn cấp,cần được xử lý với mức ưu tiên bằng cách giới hạn các cuộc gọi công cộng Những thiết bị đầu cuối đó

có thể có trong các dịch vụ khác nhau (VoIP, thoại trên mạng PSTN, luồng dữ liệu IP, ) cả với cácmạng dây và mạng không dây

3.1.3

Dịch vụ viễn thông (telecommunications service)

Các truyền thông sử dụng trang thiết bị viễn thông, hoặc bất cứ phương tiện cung cấp truyền thônggiữa các người dùng dịch vụ viễn thông hoặc giữa các khách hàng dịch vụ viễn thông

Trang 12

Khách hàng dịch vụ viễn thông (telecommunications service customer)

Cá nhân hoặc tổ chức tham gia hợp đồng với tổ chức viễn thông để được cung cấp các dịch vụ viễnthông

3.1.5

Nghiệp vụ viễn thông (telecommunications business)

Nghiệp vụ để cung cấp các dịch vụ viễn thông nhằm đáp ứng nhu cầu của các bên khác

Người sử dụng dịch vụ viễn thông (telecommunications service user)

Người hoặc tổ chức sử dụng các dịch vụ viễn thông

3.1.8

Phối hợp địa điểm (collocation)

Việc lắp đặt các trang thiết bị viễn thông trong phạm vi quản lý của các tổ chức viễn thông khác

3.1.9

Phòng thiết bị viễn thông (telecommunications equipment room)

Một phần của tòa nhà chẳng hạn như một phòng nơi đặt các thiết bị phục vụ cho hoạt động viễn thông

3.1.10

Thông tin cá nhân (personal information)

Thông tin về một cá nhân có thể được dùng để xác định cá nhân đó Những thông tin cụ thể sẽ đượcquy định trong luật pháp của quốc gia

3.1.11

Tính không tiết lộ truyền thông (non-disclosure of communications)

Những người liên quan tới tổ chức viễn thông khi xử lý các truyền thông không được phép tiết lộ cácđặc tính của truyền thông đó như sự tồn tại, nội dung, nguồn, đích và ngày giờ của thông tin đượctruyền thông

3.1.12

Tổ chức viễn thông (telecommunications organization)

Trang 13

Tổ chức cung cấp các dịch vụ viễn thông nhằm đáp ứng đòi hỏi của các bên khác.

3.1.13

Trang thiết bị đầu cuối (terminal facilities)

Trang thiết bị viễn thông kết nối vào một đầu của đường truyền viễn thông và tất cả các phần củachúng được lắp đặt trong cùng một cơ sở (bao gồm các khu vực được xem như trong cùng một cơsở), hoặc trong cùng một tòa nhà

3.1.14

Trang thiết bị viễn thông (telecommunications facilities)

Máy móc, thiết bị, dây và cáp, tòa nhà và các trang thiết bị điện khác phục vụ cho hoạt động của hệthống viễn thông

3.1.15

Trung tâm truyền thông (communication centre)

Tòa nhà nơi đặt các trang thiết bị nhằm cung cấp dịch vụ viễn thông

3.1.16

Truyền thông trọng yếu (essential communications)

Truyền thông có nội dung cần thiết cho công tác phòng chống hoặc khắc phục thảm họa, cho duy trìvận tải, thông tin liên lạc hoặc cung cấp điện, hoặc cho việc duy trì trật tự xã hội

3.1.17

Ứng dụng viễn thông (telecommunications application)

Các ứng dụng như e-mail được truy nhập bởi người sử dụng đầu cuối và được xây dựng dựa trên cácdịch vụ hệ thống

Trang 14

3.2 Danh mục các từ viết tắt

ADSL Asymmetric Digital Subscriber Line Đường thuê bao số không đối xứng

ASP Application Service Provider Nhà cung cấp dịch vụ ứng dụng

CATV Community Antenna Television Truyền hình cáp hữu tuyến

CERT Computer Emergency Response Team Đội ứng cứu khẩn cấp máy tính

DDoS Distributed Denial of Service Từ chối dịch vụ phân tán

ISAC Information Sharing and Analysis Centre Trung tâm chia sẻ và phân tích thông tinISMS Information Security Management

System

Hệ thống quản lý an toàn thông tin

OAM&P Operations, Administration, Maintenance

and Provisioning

Vận hành, quản lý, bảo trì và dự phòng

PIN Personal Identification Number Mã số nhận dạng cá nhân

PSTN Public Switched Telephone Network Mạng điện thoại chuyển mạch công cộng

– Mạng PSTNSIP Session Initiation Protocol Giao thức khởi tạo phiên

URL Uniform Resource Locator Định vị tài nguyên thống nhất

VoIP Voice over Internet Protocol Thoại theo giao thức IP

Trang 15

4 Tổng quan

4.1 Cấu trúc của tài liệu

Tiêu chuẩn này được trình bày trong định dạng tương tự với TCVN ISO/IEC 27002 Trong nhữngtrường hợp khi mục tiêu và các biện pháp được định ra trong TCVN ISO/IEC 27002 có thể áp dụngvào tiêu chuẩn này mà không cần có thông tin gì thêm thì sẽ chỉ nêu các phần viện dẫn tương ứngtrong TCVN ISO/IEC 27002 Các biện pháp quản lý và hướng dẫn thực hiện mang tính đặc thù choviễn thông được trình bày trong phụ lục A (quy định)

Trong những trường hợp khi các biện pháp quản lý cần có thêm hướng dẫn bổ sung đặc thù cho viễnthông, mục tiêu và các biện pháp quản lý được định ra trong TCVN ISO/IEC 27002 sẽ được giữnguyên không sửa đổi, theo sau đó là những hướng dẫn đặc thù cho viễn thông liên quan đến biệnpháp quản lý đó Thông tin và các hướng dẫn đặc thù trong lĩnh vực viễn thông bao gồm các điều sauđây:

- Tổ chức an toàn thông tin (điều 6)

- Quản lý tài sản (điều 7)

- Đảm bảo an toàn thông tin từ nguồn nhân lực (điều 8)

- Đảm bảo an toàn vật lý và môi trường (điều 9)

- Quản lý truyền thông và vận hành (điều 10)

- Kiểm soát truy nhập (điều 11)

- Tiếp nhận, phát triển và duy trì các hệ thống thông tin (điều 12)

- Quản lý các sự cố an toàn thông tin (điều 13)

- Quản lý tính liên tục của hoạt động nghiệp vụ (điều 14)

4.2 Các hệ thống quản lý an toàn thông tin trong viễn thông

4.2.1 Mục tiêu

Thông tin, giống như các tài sản khác của tổ chức, là một thành tố quan trọng đóng góp vào việc kinhdoanh của tổ chức Thông tin có thể được in hoặc viết ra giấy, lưu trữ điện tử, vận chuyển bằng thư,liên lạc điện tử, trình chiếu trên phim, hoặc được nói ra trong các cuộc hội thoại Bất kể ở hình tháihoặc chức năng nào của thông tin, hoặc phương thức, phương tiện nào để chia sẻ hoặc lưu giữ, thôngtin luôn luôn cần phải được bảo vệ một cách phù hợp

Các tổ chức và hệ thống thông tin và mạng lưới của họ phải đối mặt với các nguy cơ an toàn thông tin

từ rất nhiều nguồn khác nhau, bao gồm lừa đảo có hỗ trợ của máy tính, gián điệp thông tin, phá hoại,

Trang 16

rò rỉ thông tin, động đất, hỏa hoạn, lũ lụt Những nguy cơ an toàn này có thể khởi phát từ bên trong haybên ngoài tổ chức viễn thông và làm tổn hại tới tổ chức.

Khi đã xảy ra vi phạm về an toàn thông tin, chẳng hạn khi có xâm nhập trái phép vào hệ thống xử lýthông tin của một hệ thống, tổ chức có thể sẽ bị tổn hại Chính vì thế, các tổ chức cần coi trọng đảmbảo an toàn thông tin bằng cách không ngừng cải thiện hệ thống quản lý an toàn thông tin (ISMS) của

tổ chức tuân thủ với TCVN ISO/IEC 27001

Hiệu quả an toàn thông tin sẽ đạt được bằng cách thực hiện tập hợp các biện pháp quản lý phù hợpdựa trên những biện pháp được đề cập tới trong tiêu chuẩn này Các biện pháp quản lý này cần đượcthiết lập, thực hiện, giám sát, xem xét đánh giá và cải tiến đối với các trang thiết bị, dịch vụ và ứngdụng viễn thông Việc triển khai thành công các biện pháp kiểm soát an toàn sẽ giúp đạt được các đòihỏi an toàn tốt hơn và đạt được các mục tiêu kinh doanh của tổ chức

Các tổ chức viễn thông có trang thiết bị được sử dụng bởi nhiều người dùng khác nhau để xử lý thôngtin như dữ liệu cá nhân, dữ liệu mật và dữ liệu kinh doanh cần coi trọng việc kiểm soát các thông tinnày và áp dụng các mức độ bảo vệ thích hợp

Tóm lại, các tổ chức viễn thông cần thiết lập và không ngừng cải thiện ISMS tổng thể nhằm đảm bảocác biện pháp an toàn thích hợp luôn được duy trì

4.2.2 Những điều cần chú ý về an toàn thông tin trong viễn thông

Yêu cầu cho các khung an toàn thông tin chung trong viễn thông nảy sinh từ những nguyên nhân khácnhau:

a) Khách hàng/thuê bao cần có sự tin tưởng vào hệ thống và các dịch vụ được cung cấp, baogồm cả tính sẵn sàng của dịch vụ (nhất là các dịch vụ khẩn) trong trường hợp có những thảmhọa lớn;

b) Các nhà chức trách yêu cầu đảm bảo an toàn thông tin bằng các chỉ thị, quy định và luật, nhằmđảm bảo tính sẵn sàng của dịch vụ, cạnh tranh công bằng và bảo vệ tính riêng tư;

c) Bản thân các nhà vận hành mạng và các nhà cung cấp dịch vụ cần an toàn thông tin để đảmbảo các lợi ích vận hành và kinh doanh của họ, và thực hiện nghĩa vụ của họ đối với kháchhàng và xã hội

Thêm vào đó, các tổ chức viễn thông cần cân nhắc những sự cố môi trường và vận hành sau đây:a) Các dịch vụ viễn thông phụ thuộc rất nhiều vào vô số trang thiết bị kết nối lẫn nhau, chẳng hạnnhư các bộ định tuyến, chuyển mạch, hệ thống máy chủ tên miền (DNS), các hệ thống tiếpphát, truyền dẫn và hệ thống quản lý mạng (NMS) Bởi vậy, các sự cố an toàn có thể xảy ra vớinhiều trang thiết bị và các sự cố đó có thể lan truyền rất nhanh chóng qua hệ thống vào cáctrang thiết bị khác;

Trang 17

b) Bên cạnh các trang thiết bị viễn thông, các lỗ hổng trong các giao thức và tôpô mạng có thể dẫntới các sự cố mạng nghiêm trọng Đặc biệt, sự hội tụ của các mạng dây và không dây có thểđặt ra các thách thức lớn đối với việc phát triển những giao thức có khả năng tương vận;

c) Một điểm quan ngại lớn của các tổ chức viễn thông là khả năng gián đoạn hệ thống khi an toànthông tin bị xâm phạm Việc gián đoạn hệ thống như thế sẽ gây ra tổn thất lớn trong mối quan

hệ với khách hàng, suy giảm doanh thu và tốn chi phí cho việc phục hồi Những cuộc tấn côngchủ đích nhằm vào tính sẵn sàng của hạ tầng viễn thông quốc gia có thể được xem là nguy cơ

an ninh quốc gia;

d) Các mạng và hệ thống quản lý viễn thông dễ có nguy cơ bị tin tặc thâm nhập Một động lực phổbiến cho các thâm nhập đó là việc ăn cắp các dịch vụ viễn thông Việc đánh cắp đó có thể đượcthực hiện theo rất nhiều cách thức, chẳng hạn như kích hoạt các chức năng chẩn đoán kiểmsoát hoạt động ghi cước, thay đổi các cơ sở dữ liệu sắp đưa vào sử dụng và nghe lén cuộc gọicủa các thuê bao;

e) Bên cạnh các thâm nhập từ bên ngoài, các nhà mạng còn lo ngại về các xâm phạm an toànthông tin từ các nguồn bên trong, chẳng hạn những thay đổi không hợp lệ đối với các cơ sở dữliệu quản trị hệ thống hoặc cấu hình hệ thống được tiến hành bởi những cá nhân không cóthẩm quyền Những sự việc như thế có thể là vô tình hay cố ý

Nhằm bảo vệ các tài sản thông tin viễn thông khỏi nhiều nguồn khác nhau trong những môi trường viễnthông khác nhau, nhất thiết phải có các hướng dẫn an toàn cho viễn thông để hỗ trợ việc thực hiệnquản lý an toàn thông tin trong các tổ chức viễn thông

Các hướng dẫn an toàn cần phải được áp dụng cho:

a) Các tổ chức viễn thông muốn đạt được ưu thế cạnh tranh thông qua việc triển khai hệ thốngquản lý an toàn thông tin;

b) Các tổ chức viễn thông muốn đảm bảo thỏa mãn các yêu cầu an toàn thông tin của các đốitượng quan tâm của họ (chẳng hạn như các nhà cung cấp, khách hàng, các cơ quan quản lý);c) Người dùng và các nhà cung cấp các sản phẩm và dịch vụ liên quan đến an toàn thông tin chongành công nghiệp viễn thông;

d) Những đối tượng trong hoặc ngoài tổ chức viễn thông, những người sẽ đánh giá và kiểm định

hệ thống quản lý an toàn thông tin xem có tuân thủ với các yêu cầu của TCVN ISO/IEC 27001hay không;

e) Những đối tượng trong hoặc ngoài tổ chức viễn thông, những người sẽ tư vấn hoặc đào tạo về

hệ thống quản lý an toàn thông tin phù hợp với tổ chức đó

Trang 18

4.2.3 Các tài sản thông tin được bảo vệ

Để thiết lập quản lý an toàn thông tin, một điều quan trọng là tổ chức cần phải làm rõ và xác định tất cảcác tài sản của tổ chức Việc làm rõ các thuộc tính và độ quan trọng của các tài sản sẽ cho phép thựchiện các biện pháp phù hợp

Các tài sản thông tin mà tổ chức viễn thông cần bảo vệ được trình bày trong 7.1.1 Kiểm kê tài sản.

4.2.4 Thiết lập quản lý an toàn thông tin

4.2.4.1 Cách thức xác lập các yêu cầu an toàn thông tin

Một điều trọng yếu đối với các tổ chức viễn thông là xác định các yêu cầu an toàn của họ Có ba nguồnchính đối với các yêu cầu an toàn như sau:

a) Những điều được rút ra từ việc đánh giá rủi ro đối với một nhà mạng viễn thông, có xem xétđến tổng thể chiến lược và các mục đích kinh doanh của nhà mạng đó Thông qua việc đánhgiá rủi ro sẽ xác định được các nguy cơ đối với tài sản, đánh giá được các điểm yếu và khảnăng xảy ra của các nguy cơ đó, và dự trù được tác hại;

b) Luật, quy chế, quy định, và các yêu cầu hợp đồng mà các tổ chức viễn thông phải tuân theo,cùng với môi trường văn hóa, xã hội Ví dụ của các yêu cầu pháp luật đối với các tổ chức viễnthông là tính không tiết lộ truyền thông (A.15.1.7) và đảm bảo các truyền thông trọng yếu(A.15.1.8) Ví dụ về các yêu cầu văn hóa, xã hội là đảm bảo tính toàn vẹn của viễn thông, phát,chuyển tiếp và nhận bằng bất cứ phương tiện nào, tính sẵn sàng của các trang thiết bị viễnthông đối với những người có chức năng, và không gây hại đối với các trang thiết bị viễn thôngkhác;

c) Những bộ quy tắc, mục tiêu và yêu cầu công việc đối với việc xử lý thông tin mà nhà mạng viễnthông đã xây dựng nên để hỗ trợ cho hoạt động của mình

4.2.4.2 Đánh giá rủi ro an toàn thông tin

Các yêu cầu an toàn được xác định bằng việc đánh giá các rủi ro một cách khoa học Cần cân đối giữachi phí thực hiện các biện pháp với các tổn thất có thể xảy ra với việc kinh doanh do việc không đảmbảo an toàn Kết quả của việc đánh giá rủi ro sẽ giúp định hướng và xác định hoạt động quản lý phùhợp và mức ưu tiên cho việc quản lý các nguy cơ an toàn thông tin và cho việc thực hiện các biệnpháp được lựa chọn để bảo vệ chống lại các nguy cơ đó

Đánh giá rủi ro cần được lặp lại định kỳ để xử lý bất cứ thay đổi nào có thể ảnh hưởng tới kết quả đánhgiá rủi ro

Trang 19

4.2.4.3 Lựa chọn các biện pháp

Khi đã xác định được các yêu cầu an toàn và các rủi ro và đã quyết định xử lý các rủi ro đó cần lựachọn và thực hiện các biện pháp phù hợp nhằm đảm bảo rủi ro được giảm thiểu tới một mức chấpnhận được

Tiêu chuẩn này cung cấp các hướng dẫn bổ sung và các biện pháp đặc thù cho viễn thông bên cạnh

hệ thống quản lý an toàn thông tin thông thường, có xem xét tới các đòi hỏi đặc thù của viễn thông Bởithế, khuyến nghị tổ chức viễn thông lựa chọn và thực hiện các biện pháp từ tiêu chuẩn này Thêm vào

đó, các biện pháp mới có thể được thiết lập để thỏa mãn các đòi hỏi đặc thù một cách thỏa đáng.Việc lựa chọn các biện pháp an toàn phụ thuộc vào các quyết định của tổ chức dựa trên các tiêu chí vềviệc chấp nhận rủi ro, các lựa chọn xử lý rủi ro, và các bước tiếp cận chung tới việc xử lý rủi ro áp dụngcho các tổ chức viễn thông, và cũng cần tuân thủ tất cả các luật và quy định tương ứng của quốc gia

và quốc tế

4.2.4.4 Các yếu tố chính dẫn đến thành công

Kinh nghiệm cho thấy các yếu tố sau đây thường đóng vai trò quan trọng với việc thực hiện thành công

an toàn thông tin trong tổ chức:

a) chính sách, các mục tiêu và các hoạt động an toàn thông tin phản ánh các mục tiêu kinh doanh;b) cách tiếp cận và cơ chế thực hiện, duy trì, giám sát và tăng cường an toàn thông tin nhất quánvới văn hóa của tổ chức;

c) các hỗ trợ rõ ràng và cam kết từ tất cả các cấp độ quản lý;

d) kiến thức tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro;

e) thực hiện hiệu quả công tác tuyên truyền về an toàn thông tin tới tất cả cán bộ quản lý, nhânviên và các bên khác để đạt được nhận thức tốt về vấn đề;

f) phát các hướng dẫn về chính sách an toàn thông tin và các tiêu chuẩn tới tất cả các cán bộquản lý, nhân viên và các bên khác;

g) chuẩn bị tốt ngân quỹ cho các hoạt động quản lý an toàn thông tin;

h) tăng cường nhận thức, huấn luyện và đào tạo;

i) thiết lập quy trình quản lý sự cố an toàn thông tin hiệu quả;

j) triển khai hệ thống đo lường để đánh giá và phản hồi các đề xuất để cải thiện hiệu quả quản lý

an toàn thông tin

Trang 20

5 Chính sách an toàn thông tin

Áp dụng mục tiêu kiểm soát và nội dung trình bày trong điều 4 của TCVN ISO/IEC 27002

6 Tổ chức đảm bảo an toàn thông tin

6.1 Tổ chức nội bộ

Mục tiêu: Nhằm quản lý an toàn thông tin bên trong tổ chức

Cần thiết lập ban quản lý nhằm khởi tạo và quản lý việc thực hiện an toàn thông tin trong nội bộ tổchức

Ban quản lý cần thông qua chính sách an toàn thông tin, phân định vai trò an toàn, phối hợp và soátxét việc thực hiện an toàn thông tin trong toàn bộ tổ chức

Nếu cần thiết thì cần thiết lập và duy trì sẵn sàng nguồn hỗ trợ chuyên môn về an toàn thông tin từtrong nội bộ của tổ chức Cũng cần thiết lập những mối liên hệ với các nhóm hoặc các chuyên gia về

an toàn thông tin ở bên ngoài nhằm có thể theo kịp các xu hướng công nghiệp, giám sát các tiêu chuẩn

và các phương pháp đánh giá và đưa ra các điểm vận dụng phù hợp trong quá trình xử lý sự cố antoàn thông tin Cần khuyến khích cách tiếp cận an toàn thông tin đa chiều

6.1.1 Cam kết của ban quản lý về đảm bảo an toàn thông tin

Áp dụng biện pháp 5.1.1 của TCVN ISO/IEC 27002

6.1.2 Phối hợp đảm bảo an toàn thông tin

6.1.3 Phân định trách nhiệm đảm bảo an toàn thông tin

6.1.4 Quy trình cấp phép cho phương tiện xử lý thông tin

6.1.5 Các thỏa thuận về bảo mật

Biện pháp quản lý

Cần xác định rõ và thường xuyên soát xét lại các thỏa thuận về bảo mật hoặc không tiết lộ thông tinphản ánh nhu cầu của tổ chức đối với việc bảo vệ thông tin

Hướng dẫn triển khai

Các thỏa thuận bảo mật hoặc không tiết lộ cần nêu rõ các yêu cầu bảo mật thông tin bằng các điềukhoản có ràng buộc pháp lý Để xác định được các yêu cầu đối với các thỏa thuận bảo mật hoặc khôngtiết lộ, cần xem xét các yếu tố sau:

Trang 21

a) định nghĩa về thông tin cần được bảo vệ (ví dụ, thông tin mật);

b) khoảng thời gian dự kiến của thỏa thuận, bao gồm cả các trường hợp yêu cầu bảo mật khôngthời hạn;

c) các hoạt động cần được tiến hành khi kết thúc thỏa thuận;

d) các trách nhiệm và hành động của các bên ký kết nhằm tránh tiết lộ thông tin trái phép;

e) quyền sở hữu thông tin, các bí mật giao dịch và quyền sở hữu trí tuệ, và mối quan hệ củachúng với việc bảo vệ thông tin mật;

f) việc được phép sử dụng thông tin mật và các quyền của người ký kết sử dụng thông tin;

g) quyền đánh giá và giám sát các hoạt động liên quan đến thông tin mật;

h) quy trình thông báo và báo cáo về việc tiết lộ trái phép hoặc những lỗ hổng thông tin mật;

i) các điều khoản đối với thông tin được trả về hoặc bị hủy khi chấm dứt thỏa thuận;

j) các hành động dự kiến trong trường hợp có vi phạm thỏa thuận

Dựa trên các yêu cầu về an toàn thông tin của tổ chức, có thể đưa thêm một số điều khoản khác vàothỏa thuận không tiết lộ hoặc thỏa thuận bảo mật

Các thỏa thuận bảo mật và không tiết lộ cần tuân thủ tất cả những quy định và điều luật phù hợp (xemthêm 14.1.1 trong TCVN ISO/IEC 27002)

Các yêu cầu đối với các thỏa thuận bảo mật và không tiết lộ cần được soát xét định kỳ và tại các thờiđiểm xảy ra thay đổi làm ảnh hưởng đến các yêu cầu này

Hướng dẫn triển khai đặc thù cho viễn thông

Nhằm định rõ các yêu cầu đối với các thỏa thuận bảo mật và không tiết lộ, các tổ chức viễn thông cầncân nhắc sự cần thiết bảo vệ tính không tiết lộ của:

Trang 22

Thông tin khác

Các thỏa thuận bảo mật hoặc không tiết lộ sẽ bảo vệ các thông tin của tổ chức và thông báo cho cácbên ký kết về trách nhiệm của họ trong việc bảo vệ, sử dụng, và tiết lộ thông tin một cách có tráchnhiệm và đúng thẩm quyền

Tổ chức có thể cũng cần sử dụng các khuôn mẫu thỏa thuận bảo mật hoặc không tiết lộ khác nhautrong những tình huống khác nhau

6.1.6 Liên lạc với cơ quan chức năng

Phải duy trì liên lạc thỏa đáng với những cơ quan chức năng liên quan

Các tổ chức cần có các thủ tục xác định khi nào và ai sẽ liên hệ với các cơ quan có thẩm quyền (ví dụ,

cơ quan thi hành luật, cảnh sát phòng cháy chữa cháy, các cơ quan giám sát), và cách thức báo cáocác sự cố an toàn thông tin đã xác định một cách kịp thời nếu có nghi ngờ đã có sự vi phạm pháp luật.Các tổ chức bị tấn công từ Internet có thể cần các bên thứ ba (ví dụ, một nhà cung cấp dịch vụ Internethoặc một nhà khai thác viễn thông) tiến hành các hoạt động chống lại nguồn gốc tấn công

Khi tổ chức viễn thông nhận được yêu cầu điều tra từ các cơ quan thực thi pháp luật hoặc các cơ quanđiều tra về thông tin liên quan tới người dùng dịch vụ viễn thông, tổ chức viễn thông cần chắc chắnrằng yêu cầu đó được xử lý thông qua các thủ tục và quy trình pháp lý, tuân thủ luật pháp và các quyđịnh của quốc gia

Thông tin khác

Việc duy trì những liên lạc như vậy có thể là một yêu cầu giúp hỗ trợ quản lý các sự cố an toàn thôngtin (điều 13.2) hoặc quá trình lập kế hoạch liên tục nghiệp vụ và phương án ứng phó (điều 14) Các mốiliên hệ với các cơ quan luật pháp cũng sẽ có lợi cho công tác dự báo và chuẩn bị cho những thay đổisắp xảy ra trên phương diện luật pháp hoặc các quy định mà các tổ chức bắt buộc phải tuân theo.Những liên hệ với những cơ quan có thẩm quyền khác bao gồm các cơ quan cung cấp điện, nước, cácdịch vụ khẩn cấp, sức khỏe và an toàn, các nhà cung cấp dịch vụ viễn thông (có liên quan đến địnhtuyến và độ sẵn sàng)

6.1.7 Liên lạc với các nhóm chuyên gia

6.1.8 Soát xét độc lập về an toàn thông tin

Trang 23

6.2 Các bên tham gia bên ngoài

Mục tiêu: Nhằm duy trì an toàn đối với thông tin và phương tiện xử lý thông tin của tổ chức được truynhập, xử lý, liên lạc với, hoặc quản lý bởi các bên tham gia bên ngoài tổ chức

Sự xuất hiện của các sản phẩm hoặc dịch vụ của các bên tham gia bên ngoài không được làm suygiảm mức độ an toàn của thông tin và phương tiện xử lý thông tin của tổ chức

Cần quản lý tất cả các truy nhập tới phương tiện xử lý thông tin của tổ chức, cũng như tới quá trình xử

lý thông tin và truyền thông được thực hiện bởi các bên tham gia bên ngoài

Khi có nhu cầu công việc cần làm việc với các bên tham gia bên ngoài mà công việc ấy có thể đòi hỏiphải truy nhập đến thông tin và phương tiện xử lý thông tin của tổ chức, hoặc khi có nhu cầunhận/cung cấp một sản phẩm và dịch vụ từ/tới một bên tham gia bên ngoài thì cần thực hiện đánh giárủi ro nhằm xác định các ảnh hưởng liên quan đến an toàn thông tin và các yêu cầu về biện pháp quản

lý Cần thống nhất và định rõ các biện pháp quản lý trong thỏa thuận với các bên tham gia bên ngoài

6.2.1 Xác định các rủi ro liên quan đến các bên tham gia bên ngoài

6.2.2 Chỉ rõ vấn đề an toàn khi làm việc với khách hàng

Tất cả các yêu cầu về an toàn đã được đặt ra phải được chỉ rõ trước khi cho phép khách hàng truynhập tới thông tin hoặc tài sản của tổ chức

Cần quan tâm đến các vấn đề sau nhằm chỉ rõ về an toàn thông tin trước khi cho phép khách hàng truynhập đến bất kỳ tài sản nào của tổ chức (áp dụng tùy thuộc vào loại và quy mô của truy nhập, khôngphải áp dụng toàn bộ):

a) bảo vệ tài sản, bao gồm:

1) các quy trình bảo vệ các tài sản của tổ chức, bao gồm thông tin và phần mềm, và quản

lý các điểm yếu đã biết trước;

2) các thủ tục xác định tổn hại đến tài sản, ví dụ dữ liệu có bị mất hoặc bị làm thay đổikhông;

3) tính toàn vẹn;

4) những giới hạn trong việc sao chép và tiết lộ thông tin;

b) mô tả sản phẩm hoặc dịch vụ được cung cấp;

c) các lý do, yêu cầu khác nhau, và các lợi ích trong việc truy nhập của khách hàng;

Trang 24

d) chính sách kiểm soát truy nhập, trong đó có:

1) các phương pháp truy nhập được cho phép, biện pháp quản lý và sử dụng các địnhdanh duy nhất như ID và mật khẩu của người dùng;

2) quy trình cấp phép truy nhập và đặc quyền cho người dùng;

3) thông báo nêu rõ tất cả các truy nhập chưa được cấp phép đều bị cấm;

4) quy trình thu hồi quyền truy nhập hoặc ngắt kết nối giữa các hệ thống;

e) bố trí thực hiện việc báo cáo, thông báo, và điều tra về về những sai lệch của thông tin (ví dụcác thông tin chi tiết về cá nhân), các sự cố an toàn thông tin và các lỗ hổng bảo mật;

f) mô tả về từng dịch vụ sẽ được cung cấp;

g) mức kỳ vọng của dịch vụ và các mức không chấp nhận được của dịch vụ;

h) quyền giám sát, thu hồi, và thực hiện hoạt động bất kỳ liên quan đến các tài sản của tổ chức;i) các nghĩa vụ tương ứng của tổ chức và khách hàng;

j) các trách nhiệm liên quan đến các vấn đề luật pháp và phương thức nhằm đảm bảo đáp ứngcác yêu cầu luật pháp, chẳng hạn như các quy định pháp luật về bảo vệ dữ liệu, đặc biệt là phảitính đến các hệ thống luật pháp quốc gia khác nếu thỏa thuận có sự phối hợp với các kháchhàng ở các quốc gia khác (xem thêm trong 14.1 trong TCVN ISO/IEC 27002);

k) các quyền sở hữu trí tuệ (IPR) và vấn đề bản quyền (xem 14.1.2 trong TCVN ISO/IEC 27002)

và việc bảo vệ các kết quả công việc có sự cộng tác (xem thêm 6.1.5)

Các tổ chức viễn thông cần cân nhắc các điều khoản sau đây nhằm chỉ rõ các vấn đề an toàn trước khicho phép khách hàng truy nhập tới bất kỳ tài sản nào của tổ chức:

a) thỏa thuận rõ ràng rằng các trang thiết bị dịch vụ viễn thông hoặc thiết bị khác của người dùngkết nối tới nhà mạng viễn thông sẽ không bị phá hủy hoặc làm hư hỏng;

b) sự phân định trách nhiệm rõ ràng giữa các trang thiết bị dịch vụ của các tổ chức viễn thông vàcủa người dùng dịch vụ;

c) đặc tả rõ ràng về khả năng tạm ngưng các dịch vụ viễn thông trong trường hợp có thể có rủi ro,

ví dụ như nguy cơ spam, cản trở việc cung cấp liên tục các dịch vụ viễn thông

Thông tin khác

Các yêu cầu về an toàn thông tin liên quan đến việc khách hàng truy nhập vào tài sản của tổ chức cóthể rất khác nhau tùy theo trang thiết bị xử lý thông tin và thông tin được truy nhập Các yêu cầu về antoàn này có thể được làm rõ trong các thỏa thuận với khách hàng, trong đó bao gồm tất cả các rủi ro

và các yêu cầu an toàn đã được xác định (xem 6.2.1)

Trang 25

Các thỏa thuận với các bên tham gia bên ngoài cũng có thể bao gồm các bên khác Các thỏa thuậnchấp nhận việc truy nhập của bên tham gia bên ngoài cần bao gồm cả việc cho phép chỉ định các tổchức có đủ tư cách khác, các điều kiện truy nhập và sự tham gia của họ.

6.2.3 Chỉ rõ vấn đề an toàn trong các thỏa thuận với bên thứ ba

Các thỏa thuận với bên thứ ba liên quan đến truy nhập, xử lý, truyền thông, quản lý thông tin hoặc cácphương tiện xử lý thông tin của tổ chức, hoặc việc đưa thêm các sản phẩm, dịch vụ tới các phươngtiện xử lý thông tin phải bao hàm tất cả các yêu cầu an toàn tương ứng

Thỏa thuận cần đảm bảo rằng không có sự hiểu nhầm giữa tổ chức và bên thứ ba Các tổ chức cần cóđảm bảo chắc chắn bằng việc bồi thường của bên thứ ba

Các điều khoản sau cần được xem xét đưa vào bản thỏa thuận nhằm thỏa mãn các yêu cầu an toàn

đã xác định (xem 6.2.1):

a) chính sách an toàn thông tin;

b) các biện pháp quản lý nhằm đảm bảo tài sản được bảo vệ, bao gồm:

1) các thủ tục bảo vệ tài sản của tổ chức, bao gồm thông tin, phần mềm và phần cứng;2) các cơ chế và biện pháp bảo vệ vật lý được yêu cầu;

3) các biện pháp nhằm đảm bảo việc bảo vệ chống lại phần mềm độc hại (xem 10.4.1);4) các thủ tục để xác định xem có bất cứ tổn hại nào đến tài sản hay không, ví dụ mất máthoặc chỉnh sửa thông tin, phần mềm và phần cứng;

5) các biện pháp quản lý nhằm đảm bảo khôi phục hoặc tiêu hủy thông tin và tài sản khi kếtthúc hoặc trong thời hiệu của thỏa thuận;

6) tính bí mật, tính toàn vẹn, tính sẵn sàng, và thuộc tính liên quan bất kỳ của các tài sản(xem 2.5, TCVN ISO/IEC 27002);

7) các hạn chế về sao chép và tiết lộ thông tin, và áp dụng các thỏa thuận về bảo mật(xem 6.1.5);

c) đào tạo người dùng và người quản lý về các phương pháp, thủ tục và an toàn thông tin;

d) đảm bảo rằng người dùng hiểu về các vai trò và trách nhiệm của mình về an toàn thông tin;e) các quy định về điều chuyển nhân sự khi có yêu cầu;

f) các trách nhiệm về lắp đặt và bảo dưỡng phần cứng và phần mềm;

g) cấu trúc báo cáo rõ ràng và các định dạng báo cáo đã được thống nhất;

Trang 26

h) quy trình rõ ràng về quản lý các thay đổi;

i) chính sách kiểm soát truy nhập, bao gồm:

1) các lý do, yêu cầu và lợi ích khác nhau chứng minh nhu cầu truy nhập của tổ chức thứba;

2) các phương pháp truy nhập được phép, việc quản lý và sử dụng các định danh duy nhấtnhư ID và mật khẩu của người dùng;

3) quy trình cấp phép truy nhập và cấp phát đặc quyền đối với người dùng;

4) yêu cầu duy trì danh sách các cá nhân được cấp phép sử dụng dịch vụ, và quyền vàđặc quyền của họ trong việc sử dụng các dịch vụ đó;

5) thông báo rằng tất cả các truy nhập chưa được cấp phép đều bị cấm;

6) quy trình thu hồi quyền truy nhập hoặc ngắt kết nối giữa các hệ thống;

j) các thủ tục báo cáo, thông báo và điều tra về sự cố an toàn thông tin và lỗ hổng an toàn, cũngnhư những vi phạm các yêu cầu đã công bố trong bản thỏa thuận;

k) mô tả về sản phẩm hoặc dịch vụ được cung cấp, và mô tả về thông tin đã sẵn sàng cùng vớiphân cấp an toàn của thông tin (xem 7.2.1);

l) mức kỳ vọng của dịch vụ và các mức không chấp nhận được của dịch vụ;

m) định nghĩa về các chỉ tiêu đánh giá, việc giám sát và báo cáo chúng;

n) quyền giám sát, và hủy bỏ bất kỳ hoạt động nào liên quan đến các tài sản của tổ chức;

o) quyền kiểm toán các trách nhiệm đã xác định trong thỏa thuận, quyền được thuê tổ chức thứ bathực hiện việc kiểm toán, và quyền được công bố các quyền của nhân viên kiểm toán do luậtpháp quy định;

p) thiết lập quy trình nâng dần cấp xử lý để xử lý sự cố;

q) các yêu cầu về tính liên tục của dịch vụ, bao gồm các chỉ tiêu về độ sẵn sàng và độ tin cậy, phùhợp với các thứ tự ưu tiên công việc của tổ chức;

r) các nghĩa vụ pháp lý tương ứng của các tổ chức theo thỏa thuận;

s) các trách nhiệm đối với các vấn đề pháp lý và phương thức nhằm đảm bảo rằng các yêu cầupháp lý đều được thỏa mãn, ví dụ luật về bảo vệ dữ liệu, đặc biệt quan tâm đến các hệ thốngluật pháp quốc gia khác nếu thỏa thuận có sự hợp tác với các tổ chức của các quốc gia khác(xem thêm 14.1 trong TCVN ISO/IEC 27002);

t) các quyền sở hữu trí tuệ (IPR) và đăng ký bản quyền (xem 14.1.2 trong TCVN ISO/IEC 27002)

và bảo vệ công việc có sự phối hợp cộng tác (xem thêm 6.1.5);

Trang 27

u) nếu việc hợp tác với tổ chức thứ ba có thêm các nhà thầu phụ thì cần triển khai các biện phápquản lý an toàn đối với các nhà thầu phụ này;

v) các điều kiện thương lượng lại/hủy bỏ các thỏa thuận:

1) cần chuẩn bị sẵn một kế hoạch ứng phó đột xuất trong trường hợp một trong hai phíamong muốn kết thúc mối quan hệ trước thời điểm kết thúc thỏa thuận như đã định;2) thương lượng lại các thỏa thuận nếu các yêu cầu về an toàn của tổ chức thay đổi;3) tài liệu hiện tại về danh sách các tài sản, các giấy phép, các thỏa thuận hoặc quyền liênquan đến chúng

Các tổ chức viễn thông cần cân nhắc đưa những điều khoản sau vào trong bản thỏa thuận nhằm thỏamãn các yêu cầu an toàn đã được xác định:

a) tuyên bố rõ ràng về bảo vệ chống hỏng hóc trang thiết bị dịch vụ viễn thông hoặc trang thiết bịcủa các khách hàng viễn thông kết nối với các trang thiết bị đó trong mối liên quan với các tổchức viễn thông khác;

b) phân định trách nhiệm rõ ràng giữa các tổ chức viễn thông theo các trang thiết bị dịch vụ viễnthông của họ và của những tổ chức khác

Các thông tin khác

Các thỏa thuận có thể rất khác nhau tùy theo các tổ chức khác nhau và dạng bên thứ ba khác nhau

Do vậy, cần cẩn trọng để có thể bao hàm tất cả các rủi ro và các yêu cầu về an toàn đã được xác định(xem thêm 6.2.1) trong các thỏa thuận Khi cần thiết thì có thể mở rộng các biện pháp quản lý và cácthủ tục cần thiết trong kế hoạch quản lý an toàn

Nếu tổ chức thuê bên thứ ba quản lý an toàn thông tin, thì các thỏa thuận cần nhấn mạnh cách thức

mà bên thứ ba cần thực hiện nhằm đảm bảo đạt được độ an toàn thỏa đáng như đã xác định bởi côngtác đánh giá rủi ro, và cách thức xác định và xử lý những thay đổi của các rủi ro

Một số khía cạnh khác nhau giữa thuê khoán và các hình thức cung cấp dịch vụ khác của bên thứ babao gồm vấn đề về nghĩa vụ pháp lý, việc lập kế hoạch về giai đoạn chuyển đổi và nguy cơ gián đoạncác hoạt động trong giai đoạn này, việc bố trí các kế hoạch dự phòng và đánh giá đối tác, thu thập vàquản lý thông tin về các sự cố an toàn thông tin Do vậy, vấn đề quan trọng là tổ chức phải lập kếhoạch và quản lý giai đoạn chuyển sang thuê khoán và có những xử lý phù hợp nhằm quản lý nhữngthay đổi và thương lượng lại/kết thúc các thỏa thuận

Các thủ tục duy trì xử lý thông tin trong trường hợp bên thứ ba không có khả năng cung cấp dịch vụcũng cần được xem xét trong thỏa thuận nhằm tránh bất kỳ sự trì hoãn nào trong việc bố trí các dịch vụthay thế

Trang 28

Các thỏa thuận với bên thứ ba có thể có sự tham gia của các bên khác Các thỏa thuận chấp nhận chobên thứ ba truy nhập cần cho phép chỉ định các bên có đủ tư cách khác cùng các điều kiện truy nhập

và tham gia của họ

Nhìn chung các thỏa thuận chủ yếu đều được phát triển bởi tổ chức Có thể có một số trường hợp màbên thứ ba triển khai và áp đặt thỏa thuận đối với tổ chức Tổ chức cần đảm bảo rằng an toàn thông tincủa bản thân tổ chức sẽ không bị tác động một cách không cần thiết bởi các yêu cầu của tổ chức thứ

ba được quy định trong các thỏa thuận

7 Quản lý tài sản

7.1 Trách nhiệm đối với tài sản

Mục tiêu: Nhằm đạt được và duy trì các biện pháp bảo vệ thích hợp đối với tài sản của tổ chức

Tất cả các tài sản đều cần được kê khai và có một chủ sở hữu đứng tên

Cần xác định chủ sử hữu cho tất cả các tài sản và phân công trách nhiệm duy trì các biện pháp quản lýphù hợp Nếu thích hợp, người sở hữu tài sản có thể ủy quyền cho người khác triển khai các biệnpháp quản lý nhất định nào đó nhưng người sở hữu vẫn phải duy trì trách nhiệm trong việc bảo vệ tàisản

7.1.1 Kiểm kê tài sản

Mọi tài sản cần được xác định rõ ràng Cần lên kế hoạch và duy trì việc kiểm kê đối với tất cả các tàisản quan trọng

Tổ chức cần xác định tất cả các tài sản và tầm quan trọng của các tài sản này cần được ghi vào vănbản Biên bản kiểm kê tài sản cần chứa tất cả các thông tin cần thiết nhằm phục vụ việc khôi phụcthông tin trong trường hợp có thảm họa, bao gồm loại tài sản, định dạng, vị trí, thông tin dự phòng,thông tin đăng ký, và giá trị thương mại Việc kiểm kê không nên lặp lại các kiểm kê khác một cáchkhông cần thiết, nhưng cần đảm bảo nội dung thống nhất

Hơn nữa, quyền sở hữu (xem 7.1.2) và phân loại thông tin (xem 7.2) đối với các tài sản cần được thỏathuận và ghi thành văn bản Các mức độ bảo vệ tương ứng với tầm quan trọng của các tài sản cũngcần được xác định dựa trên tầm quan trọng của các tài sản, giá trị kinh doanh và phân loại an toàn củatài sản đó (xem thêm TCVN 10295:2014 để có thông tin chi tiết hơn về cách thức định giá các tài sảnnhằm thể hiện tầm quan trọng của chúng)

Trang 29

Khi lên kế hoạch và tiến hành kiểm kê tài sản, cần phân định rõ và ghi thành văn bản rõ ràng tráchnhiệm giữa các trang thiết bị viễn thông của tổ chức và của các tổ chức viễn thông khác có kết nốihoặc liên quan

Danh sách tài sản cần toàn diện, bao hàm tất cả các tài sản viễn thông bao gồm cả các tài sản chotrang thiết bị hệ thống, dịch vụ và ứng dụng trên hệ thống

Các nguồn tài liệu bổ sung được liệt kê trong Thư mục tài liệu tham khảo

Thông tin khác

Có rất nhiều loại tài sản, bao gồm:

a) thông tin: cơ sở dữ liệu và các tệp dữ liệu, các hợp đồng và thỏa thuận, văn bản về hệ thống,thông tin nghiên cứu, hướng dẫn sử dụng, tài liệu tập huấn, các quy trình khai thác hoặc hỗ trợ,các kế hoạch liên tục nghiệp vụ, quy trình phục hồi về cấu hình cũ, các truy vết, và thông tin lưutrữ;

b) các tài sản phần mềm: phần mềm ứng dụng, phần mềm hệ thống, các công cụ phát triển và cáctiện ích;

c) các tài sản vật chất: thiết bị máy tính, thiết bị truyền thông, thiết bị lưu trữ ngoài và các thiết bịkhác;

d) các dịch vụ: các dịch vụ truyền thông và tính toán, các tiện ích chung như chiếu sáng, điện, vàđiều hòa nhiệt độ;

e) con người, và các văn bằng chứng chỉ, các kỹ năng và kinh nghiệm của họ;

f) tài sản vô hình, như danh tiếng và hình ảnh của tổ chức

Các cuộc kiểm kê tài sản giúp đảm bảo rằng việc bảo vệ tài sản một cách hiệu quả đã được thực hiện,

và cũng có thể được yêu cầu cho các mục đích công việc khác, như các lý do về sức khỏe và an toàn,bảo hiểm hoặc tài chính (quản lý tài sản) Quy trình kiểm kê tài sản là điều kiện tiên quyết vô cùng quantrọng trong quản lý rủi ro

Thông tin khác dành cho viễn thông

Tài sản liên quan tới các tổ chức viễn thông có thể bao gồm nhiều loại như sau:

a) thông tin: thông tin truyền thông, thông tin định tuyến, thông tin thuê bao, thông tin danh sáchđen, thông tin đăng ký dịch vụ, thông tin vận hành, thông tin sự cố, thông tin cấu hình, thông tinkhách hàng, thông tin thanh toán, mẫu thống kê cuộc gọi khách hàng (customer calling pattern),

vị trí địa lý của khách hàng, thống kê lưu lượng đường truyền, các hợp đồng và thỏa thuận, tàiliệu hệ thống, thông tin nghiên cứu, hướng dẫn sử dụng, tài liệu tập huấn, các quy trình khaithác hoặc hỗ trợ, các kế hoạch liên tục nghiệp vụ, các truy vết, và thông tin lưu trữ;

Trang 30

b) các tài sản phần mềm: phần mềm điều khiển truyền thông, phần mềm quản lý vận hành, phầnmềm quản lý thông tin thuê bao, phần mềm tính phí và thanh toán, phần mềm ứng dụng, phầnmềm hệ thống, các công cụ phát triển và các tiện ích;

c) các tài sản phần cứng: các bộ chuyển mạch, cáp, thiết bị đầu cuối, thiết bị máy tính (ví dụ máychủ và các máy tính cá nhân), thiết bị lưu trữ ngoài và các thiết bị khác;

d) các dịch vụ: dịch vụ thoại cố định, dịch vụ thoại di động, dịch vụ thuê bao đường truyền cápquang/ADSL, dịch vụ kênh thuê riêng/dịch vụ đường truyền dữ liệu, dịch vụ kết nối internet,dịch vụ trung tâm dữ liệu, dịch vụ truyền hình cáp hữu tuyến CATV, dịch vụ truyền tải nội dung,dịch vụ ASP và các dịch vụ khách hàng bao gồm cả dịch vụ tính cước và tổng đài chăm sóckhách hàng;

e) trang thiết bị và hệ thống tiện ích phụ trợ: tòa nhà, các thiết bị điện, thiết bị điều hòa không khí,thiết bị chữa cháy;

f) con người: đội ngũ nhân viên chăm sóc khách hàng, các kỹ sư viễn thông, đội ngũ hỗ trợ côngnghệ thông tin và đội ngũ nhân viên hỗ trợ cho các nhà cung cấp dịch vụ bên thứ ba;

g) tài sản vô hình: việc điều hành tổ chức, bí quyết và quy trình công nghệ, danh tiếng và hình ảnhcủa tổ chức

7.1.2 Quyền sở hữu tài sản

7.1.3 Sử dụng hợp lý tài sản

7.2 Phân loại thông tin

Mục tiêu: Nhằm đảm bảo thông tin có mức độ bảo vệ thích hợp

Thông tin cần được phân loại nhằm chỉ ra nhu cầu, độ ưu tiên, và mức độ bảo vệ dự kiến khi xử lýthông tin

Thông tin có nhiều mức độ về độ nhạy cảm và độ quan trọng Một số danh mục thông tin có thể cầnmức bảo vệ cao hơn hoặc cần được xử lý đặc biệt Cần sử dụng cơ chế phân loại thông tin nhằm xácđịnh tập các mức bảo vệ phù hợp và trao đổi về nhu cầu cần có các biện pháp xử lý đặc biệt

7.2.1 Hướng dẫn phân loại

Thông tin cần được phân loại theo giá trị, các yêu cầu pháp lý, độ nhạy cảm và mức độ quan trọng đốivới tổ chức

Trang 31

Việc phân loại thông tin và các biện pháp bảo vệ kèm theo cần xem xét đến nhu cầu nghiệp vụ trongviệc chia sẻ hoặc hạn chế thông tin và các ảnh hưởng tới công việc do các nhu cầu như vậy

Hướng dẫn phân loại cần đưa ra các quy ước cho việc phân loại ban đầu và tái phân loại theo thờigian phù hợp với chính sách kiểm soát truy nhập đã được định trước (xem 11.1.1)

Chủ sở hữu tài sản (xem 7.1.2) có trách nhiệm định ra phương pháp phân loại tài sản, định kỳ soát xétphương pháp đó, và đảm bảo việc phân loại này được cập nhật ở mức độ phù hợp Việc phân loại cầntính tới ảnh hưởng tổng thể như đề cập trong 9.7.2 của TCVN ISO/IEC 27002

Cần cân nhắc số cấp độ phân loại và lợi ích thu được khi sử dụng chúng Các cơ chế phân loại quáphức tạp cũng có thể trở thành cồng kềnh và không có hiệu quả về mặt kinh tế hoặc không khả thi.Cần cẩn trọng trong việc biên dịch các nhãn phân loại trong các văn bản giữa các tổ chức, các nhãn cótên giống nhau hoặc tương tự nhau có thể có các định nghĩa khác nhau

Khi phân loại thông tin, bên cạnh các yêu cầu chung đối với các thông tin nhạy cảm và quan trọng của

tổ chức, các tổ chức viễn thông cũng cần cân nhắc những điều sau đây:

a) khả năng cần thiết phải phân loại riêng biệt các thông tin liên quan tới truyền thông không đượctiết lộ theo sự tồn tại, nội dung, nguồn, đích và thời gian của thông tin được truyền thông (xemA.15.1.7);

b) phân biệt giữa truyền thông trọng yếu, cần được xử lý với mức độ ưu tiên cao hơn trong tìnhhuống khẩn cấp hoặc có nguy cơ khẩn cấp, với những truyền thông không mang tính trọng yếu(xem A.15.1.8)

Nhìn chung, việc phân loại thông tin là cách thức nhanh nhất để xác định phương thức xử lý và bảo vệthông tin

Trang 32

7.2.2 Gắn nhãn và xử lý thông tin

8 Đảm bảo an toàn thông tin từ nguồn nhân lực

8.1 Trước khi sử dụng nhân sự 1

Mục tiêu: Đảm bảo rằng nhân viên, nhà thầu và bên thứ ba hiểu rõ trách nhiệm của mình và phù hợpvới vai trò được giao, đồng thời giảm thiểu các rủi ro do đánh cắp, gian lận và sử dụng trang thiết bịkhông đúng

Các trách nhiệm về an toàn cần phải được nêu rõ ràng trước khi tuyển dụng trong các bản miêu tảcông việc và trong các điều khoản và điều kiện tuyển dụng

Tất cả ứng viên, nhà thầu và bên thứ ba cần phải được sàng lọc một cách thỏa đáng, nhất là đối vớinhững công việc có tính chất nhạy cảm

Nhân viên, nhà thầu và bên thứ ba của các phương tiện xử lý thông tin cần ký vào một bản thỏa thuận

về vai trò và trách nhiệm đảm bảo an toàn thông tin của họ

8.1.1 Các vai trò và trách nhiệm

Các vai trò và trách nhiệm đảm bảo an toàn thông tin của nhân viên, nhà thầu và bên thứ ba phải đượcxác định và quy định bằng văn bản phù hợp với chính sách an toàn thông tin của tổ chức

Các vai trò và trách nhiệm về an toàn cần bao gồm các yêu cầu về:

a) triển khai và hành động phù hợp với các chính sách an toàn thông tin của tổ chức (xem 4.1trong TCVN ISO/IEC 27002);

b) bảo vệ tài sản trước sự truy nhập, tiết lộ, chỉnh sửa, phá hoại hoặc can thiệp bất hợp pháp;c) thực hiện các hoạt động và quy trình an toàn bảo mật cụ thể;

d) đảm bảo phân công trách nhiệm tới người thực hiện công việc;

e) báo cáo các sự kiện an toàn thông tin, những sự kiện tiềm ẩn hoặc những nguy cơ an toànthông tin khác đến tổ chức

Các vai trò và trách nhiệm an toàn thông tin cần được xác định rõ và trao đổi một cách rõ ràng với cácứng viên trong quy trình tuyển dụng

1 Cụm từ “sử dụng nhân sự” ở đây bao hàm tất cả các trường hợp sau đây: tuyển dụng nhân sự (tạm thời hay dàihạn), bổ nhiệm chức vụ, thay đổi vai trò công việc, chuyển nhượng hợp đồng, và sự chấm dứt của bất cứ hoạtđộng nào trong số đó

Trang 33

Các tổ chức viễn thông cần chỉ định các kỹ sư viễn thông và những nhân viên có thẩm quyền và cókiến thức, kỹ năng phù hợp để đảm nhiệm công việc giám sát liên quan tới lắp đặt, bảo dưỡng và vậnhành các trang thiết bị viễn thông Những kỹ sư viễn thông và các nhân viên phù hợp đó cần phải đượcthông báo về vai trò và trách nhiệm mà họ đã được giao phó

Thông tin khác

Các bản mô tả công việc có thể được sử dụng để tài liệu hóa các vai trò và trách nhiệm về an toànthông tin Các vai trò và trách nhiệm về an toàn của các cá nhân không được cam kết thông qua quátrình tuyển dụng của tổ chức, chẳng hạn như được cam kết thông qua một tổ chức thứ ba, cũng cầnđược xác định rõ và thông báo rõ ràng

8.1.2 Thẩm tra

Việc xác minh lai lịch của mọi ứng viên tuyển dụng, nhà thầu và bên thứ ba phải được thực hiện phùhợp với pháp luật, quy định, đạo đức và phù hợp với các yêu cầu của công việc, mức độ phân loạithông tin sẽ được truy nhập và các nguy cơ có thể nhận thấy được

Việc xác minh lai lịch cần quan tâm đến tính riêng tư, việc bảo vệ dữ liệu cá nhân và/hoặc luật sử dụnglao động, và nếu được phép cần bao gồm những vấn đề sau:

a) cung cấp người tham khảo, chẳng hạn, một nguồn tham khảo mang tính công việc và mộtnguồn tham khảo mang tính cá nhân;

b) kiểm tra (tính đầy đủ và chính xác) hồ sơ của ứng viên;

c) xác nhận về các chứng chỉ nghề nghiệp, văn bằng học thuật đã khai;

d) kiểm tra giấy tờ tùy thân (chứng minh thư, hộ chiếu hoặc giấy tờ tương tự);

e) các kiểm tra kỹ càng hơn, chẳng hạn kiểm tra tín dụng, kiểm tra lý lịch tư pháp

Với các công việc, cho dù là được chỉ định từ đầu hoặc do thăng tiến, có sự truy nhập của cá nhân tớicác phương tiện xử lý thông tin, đặc biệt là nếu các thiết bị này đang xử lý thông tin nhạy cảm, ví dụthông tin tài chính hoặc thông tin có độ bảo mật cao, thì tổ chức cũng cần xem xét thực hiện các cuộckiểm tra kỹ càng hơn nữa

Các thủ tục cần xác định tiêu chí và các giới hạn đối với việc xác minh lai lịch, ví dụ tư cách của ngườiđảm nhiệm việc thẩm tra, cách thức, thời gian và lý do thực hiện các cuộc thẩm tra

Quá trình thẩm tra cũng cần được thực hiện với nhà thầu, và người dùng thuộc bên thứ ba Nếu nhàthầu được cung cấp qua một công ty môi giới thì hợp đồng với công ty này cần xác định rõ trách nhiệm

Trang 34

của công ty môi giới trong việc thẩm tra và các thủ tục khai báo mà họ cần tuân thủ nếu việc thẩm trakhông hoàn tất hoặc nếu các kết quả thẩm tra gây ra hồ nghi hoặc lo ngại Tương tự như vậy, thỏathuận với bên thứ ba (xem thêm 6.2.3) cũng cần xác định rõ tất cả các trách nhiệm và các thủ tụcthông báo về việc thẩm tra.

Thông tin của tất cả các ứng viên đang được cân nhắc cho các vị trí tuyển dụng trong tổ chức cũngcần được thu thập và xử lý theo pháp luật hiện hành với phạm vi quyền hạn tương xứng Tùy theo quyđịnh của luật pháp phù hợp mà các ứng viên cần phải được thông báo trước về các hoạt động thẩm tranày

Các tổ chức viễn thông cũng cần xem xét tiến hành thẩm tra kỹ càng hơn cho các vị trí có truy nhập tớicác hệ thống quan trọng trong việc cung cấp dịch vụ, tới thông tin liên quan tới việc truy nhập và nghexen hợp pháp cũng như việc truy nhập vào, ví dụ đối với thông tin khách hàng, nội dung cuộc gọi củakhách hàng

8.1.3 Điều khoản và điều kiện sử dụng nhân sự

Nhân viên, nhà thầu và bên thứ ba phải đồng ý các điều khoản và điều kiện và ký vào hợp đồng sửdụng nhân sự, trong đó nêu rõ trách nhiệm của người được tuyển dụng và trách nhiệm của tổ chức đốivới an toàn thông tin

Các điều khoản và điều kiện sử dụng nhân sự cần thể hiện cả chính sách an toàn của tổ chức bêncạnh việc công bố rằng :

a) tất cả nhân viên, nhà thầu và bên thứ ba - những người được phép truy nhập đến thông tinnhạy cảm - cần ký vào một thỏa thuận bảo mật hoặc không tiết lộ trước khi được cấp phép truynhập đến các phương tiện xử lý thông tin;

b) các quyền và trách nhiệm pháp lý của nhân viên, nhà thầu và những người dùng khác, ví dụcác quyền và trách nhiệm liên quan đến luật bản quyền hoặc pháp chế về bảo vệ dữ liệu (xemthêm 14.1.1 và 14.1.2 trong TCVN ISO/IEC 27002);

c) các trách nhiệm đối với việc phân loại thông tin và quản lý tài sản thuộc tổ chức liên quan đếncác dịch vụ và hệ thống thông tin được xử lý bởi nhân viên, nhà thầu hoặc bên thứ ba (xemthêm 6.2.1 và 9.7.3 trong TCVN ISO/IEC 27002);

d) các trách nhiệm của nhân viên của tổ chức, nhà thầu hoặc bên thứ ba trong việc xử lý thông tinnhận được từ các công ty khác hoặc các bên tham gia bên ngoài;

Trang 35

e) các trách nhiệm của tổ chức trong việc xử lý thông tin cá nhân, bao gồm thông tin cá nhân cóđược sau hoặc trong quá trình sử dụng lao động của tổ chức (xem thêm 14.1.4 trong TCVNISO/IEC 27002);

f) các trách nhiệm được mở rộng ra bên ngoài khu vực của tổ chức và ngoài thời gian làm việcbình thường, ví dụ trong trường hợp làm việc tại nhà (xem thêm 9.2.5 và 10.7.1 trong TCVNISO/IEC 27002);

g) các hoạt động sẽ được thực thi nếu nhân viên, nhà thầu hoặc bên thứ ba không tuân thủ cácyêu cầu về an toàn của tổ chức (xem thêm 7.2.3 trong TCVN ISO/IEC 27002)

Tổ chức cần đảm bảo rằng nhân viên, nhà thầu và bên thứ ba đồng ý với các điều khoản và điều kiệnliên quan đến an toàn thông tin phù hợp với bản chất và phạm vi, mức độ truy nhập của họ tới tài sảncủa tổ chức liên quan đến các dịch vụ và hệ thống thông tin

Nếu thích hợp thì các trách nhiệm nằm trong các điều khoản và điều kiện sử dụng lao động cần đượctiếp tục duy trì trong thời gian xác định sau khi đã chấm dứt sử dụng lao động (xem thêm 8.3)

Các quyền và trách nhiệm pháp lý liên quan tới tính không tiết lộ truyền thông và các truyền thôngtrọng yếu mà các tổ chức viễn thông cần phải tính đến, được nêu trong các luật và quy định (xemA.15.1.7 và A.15.1.8)

Các tổ chức viễn thông cần phải định rõ và công bố trách nhiệm đảm bảo dịch vụ truyền thông cungcấp bởi các tổ chức viễn thông trong các điều khoản và điều kiện tuyển dụng

Các tổ chức viễn thông cần đảm bảo rằng bất cứ người nào liên quan tới các dịch vụ viễn thông cầnđược biết và được thông tin đầy đủ về việc giữ bí mật thông tin của người khác mà họ có thể biết đượctrong quá trình vận hành các dịch vụ viễn thông trong quá trình làm việc của họ và đảm bảo bí mật cảsau khi họ đã nghỉ việc

8.2 Trong thời gian làm việc

Áp dụng biện pháp 7.2 của TCVN ISO/IEC 27002

Trang 36

8.3 Chấm dứt hoặc thay đổi công việc

Áp dụng biện pháp 7.3 của TCVN ISO/IEC 27002

9 Đảm bảo an toàn vật lý và môi trường

Hình thức bảo vệ cần tương xứng với các rủi ro đã được xác định

9.1.1 Vành đai an toàn vật lý

Các vành đai an toàn (các rào chắn như tường, cổng ra/vào có kiểm soát bằng thẻ hoặc bàn đón tiếp)phải được sử dụng để bảo vệ các khu vực chứa thông tin và phương tiện xử lý thông tin

Cần quan tâm và triển khai các hướng dẫn sau đối với vành đai an toàn vật lý:

a) các vành đai an toàn cần được xác định rõ ràng, vị trí và sức mạnh của mỗi vành đai cần tùythuộc vào các yêu cầu an toàn của các tài sản nằm ở khu vực bên trong vành đai và các kếtquả có được từ đánh giá rủi ro;

b) các vành đai an toàn của tòa nhà hoặc khu vực chứa các phương tiện xử lý thông tin cần vữngchắc (tức là không được có lỗ hổng ở vành đai hoặc ở các khu vực dễ xảy ra đột nhập); cácbức tường bảo vệ bên ngoài địa điểm đó cần có cấu trúc vững chãi và tất cả các cửa ra vàocần được bảo vệ một cách thích hợp chống lại việc truy nhập bất hợp pháp bằng các cơ chếkiểm soát, ví dụ thanh chắn, chuông báo, khóa…; cửa ra vào và cửa sổ cần được khóa khikhông có người bên trong và cần cân nhắc bảo vệ bên ngoài các cửa sổ, đặc biệt tại tầng mặtđất;

c) cần thiết lập khu vực tiếp tân có người trực hoặc các hình thức khác để quản lý truy nhập vật lýtới tòa nhà hoặc địa điểm công tác; cần giới hạn chỉ cho những người được cấp phép đi vàocác tòa nhà hoặc địa điểm công tác;

d) nếu phù hợp thì cần sử dụng các rào chắn vật lý nhằm ngăn chặn xâm nhập trái phép và ônhiễm môi trường;

Trang 37

e) tất cả các cửa chống cháy trên vành đai an toàn cần được đặt còi báo động, được giám sát vàkiểm tra kết hợp với các bức tường bao quanh nhằm đạt được mức chống cháy yêu cầu tuântheo các tiêu chuẩn quốc gia và quốc tế phù hợp; chúng cũng cần hoạt động tuân theo luậtphòng cháy, chữa cháy của địa phương với đảm bảo an toàn sự cố, tức là không gây hại hoặcgiảm thiểu gây hại với người và thiết bị trong trường hợp sự cố;

f) các hệ thống phát hiện xâm nhập thích hợp cần được lắp đặt theo các tiêu chuẩn quốc gia, khuvực hoặc quốc tế và thường xuyên được kiểm tra để bao quát tất cả các cửa bên ngoài và cáccửa sổ có thể xâm nhập được; các khu vực không có người cần được theo dõi báo động mọilúc; cũng cần bao quát cả các khu vực khác, như các phòng máy tính hoặc các phòng truyềnthông;

g) các phương tiện xử lý thông tin do tổ chức quản lý cần được đặt cách biệt khỏi các thiết bịđược quản lý bởi bên thứ ba

Các tổ chức viễn thông cần cân nhắc và thực hiện những hướng dẫn sau đây khi có thể áp dụng phùhợp cho vành đai an toàn vật lý:

a) các trung tâm vận hành hệ thống viễn thông cần phải được trang bị đầy đủ các hệ thống pháthiện xâm nhập vật lý;

b) trang thiết bị dành cho các dịch vụ viễn thông, chẳng hạn các trang, thiết bị truyền dẫn, cáctrang, thiết bị chuyển mạch và hạ tầng viễn thông cần phải được cách ly vật lý và đặt xa cáctrang thiết bị khác, ví dụ trang thiết bị khách hàng trong trung tâm dữ liệu;

c) các rào chắn vật lý cần được lắp đặt một cách hiệu quả, với tất cả những chính sách an toàn tạichỗ được áp dụng một cách nghiêm ngặt nhằm đảm bảo bảo vệ tài sản của tổ chức trong mọithời điểm; nếu một rào chắn bị hỏng hoặc một chính sách không được tuân thủ thì bộ phậnquản lý phải ngay lập tức xử lý vấn đề với mức trách nhiệm tương ứng

Thông tin khác

Có thể thực hiện bảo vệ vật lý bằng cách thiết lập một hoặc nhiều rào chắn xung quanh trụ sở và cácphương tiện xử lý thông tin của tổ chức Việc sử dụng nhiều rào chắn sẽ làm tăng khả năng bảo vệ, vìnhư vậy, khi có sự cố ở một rào chắn sẽ chưa ảnh hưởng ngay lập tức đến an toàn tài sản

Một khu vực an toàn có thể là một văn phòng có khóa hoặc nhiều phòng được bao quanh bởi một ràochắn an toàn vật lý nối liền Có thể dùng thêm nhiều rào chắn và vành đai an toàn giữa các khu vực cócác yêu cầu an toàn khác nhau nằm bên trong hàng rào an ninh để kiểm soát việc xâm nhập

Trang 38

Cần quan tâm đặc biệt đến sự an toàn xâm nhập với các tòa nhà có nhiều tổ chức làm việc

9.1.2 Kiểm soát ra vào

Các khu vực an toàn cần được bảo vệ bằng các biện pháp kiểm soát vào, ra thích hợp nhằm đảm bảochỉ những người có quyền mới được phép truy nhập

Cần quan tâm đến các hướng dẫn sau:

a) cần ghi lại ngày tháng và thời gian vào ra của khách; cần giám sát tất cả khách ra/vào trừ khi họ

đã được phê duyệt cho phép truy nhập; họ chỉ được cấp quyền truy nhập cho những mục đích

cụ thể đã được cho phép và cần được chỉ dẫn các yêu cầu an toàn của khu vực đó và các thủtục trong các trường hợp khẩn cấp;

b) truy nhập đến khu vực xử lý và lưu trữ thông tin nhạy cảm phải được kiểm soát và giới hạn chỉcho những người được phép; các biện pháp xác thực, như thẻ kiểm soát truy nhập có mã số cánhân PIN, cần được sử dụng nhằm cho phép và xác thực tất cả các truy nhập; truy vết của tất

cả các truy nhập cần được duy trì một cách an toàn;

c) tất cả nhân viên, nhà thầu hoặc bên thứ ba và khách đến cần được yêu cầu mang một thẻ nhậndạng dễ nhìn thấy nào đó và phải lập tức thông báo cho nhân viên an ninh nếu họ trông thấynhững khách không có người đi kèm và những người không mang thẻ nhận dạng;

d) nhân viên hỗ trợ dịch vụ của tổ chức thứ ba được cho phép truy nhập hạn chế đến các khuvực an ninh hoặc các phương tiện xử lý thông tin nhạy cảm chỉ khi được yêu cầu; truy nhập nàycần được cấp phép và giám sát;

e) các quyền truy nhập tới các khu vực an ninh phải được soát xét, cập nhật thường xuyên, và bịthu hồi khi cần thiết (xem 7.3.3 trong TCVN ISO/IEC 27002)

Các tổ chức viễn thông cần xem xét những hướng dẫn sau đây:

a) các phòng vận hành và các trung tâm điều khiển để vận hành các trang, thiết bị viễn thông cầnphải được bảo vệ bởi các kiểm soát ra vào đủ mạnh;

b) ở bàn tiếp tân, những thông tin của khách cần phải được bảo vệ chống truy nhập hoặc quan sátkhông được phép, ví dụ như bản ghi ngày giờ đến và rời đi của khách; nhân viên lễ tân cũng

Trang 39

cần kiểm tra những đồ mang theo của khách ở cổng vào và ra nhằm ngăn chặn họ mang cácvật thể nguy hiểm vào trong khu vực hoặc mang các tài sản ra ngoài khi không được phép.

9.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng

9.1.4 Bảo vệ chống lại các mối đe dọa từ bên ngoài và từ môi trường

9.1.5 Làm việc trong các khu vực an toàn

9.1.6 Các khu vực truy nhập tự do, phân phối và tập kết hàng

9.2 Đảm bảo an toàn trang thiết bị

Mục tiêu: Nhằm ngăn ngừa mất mát, hư hại, đánh cắp hoặc lợi dụng tài sản và gián đoạn các hoạtđộng của tổ chức

Trang thiết bị cần được bảo vệ trước các mối đe dọa vật lý và môi trường

Bảo vệ trang thiết bị (bao gồm cả các thiết bị được sử dụng bên ngoài trụ sở tổ chức, và việc di dời tàisản) là cần thiết nhằm giảm bớt nguy cơ truy nhập thông tin trái phép và bảo vệ chống mất mát hoặc

hư hại Cũng cần lưu ý đến việc chọn vị trí đặt cũng như việc loại bỏ thiết bị Các biện pháp đặc biệt cóthể được yêu cầu nhằm bảo vệ thiết bị trước những mối đe dọa vật lý, và bảo vệ các thiết bị hỗ trợ,như thiết bị cấp nguồn điện và hệ thống dây cáp

9.2.1 Bố trí và bảo vệ thiết bị

Thiết bị phải được bố trí tại các địa điểm an toàn hoặc được bảo vệ nhằm giảm thiểu các rủi ro do cácmối đe dọa, hiểm họa từ môi trường hay các truy nhập trái phép

Để bảo vệ thiết bị, cần quan tâm tới những hướng dẫn sau đây:

a) cần lựa chọn vị trí đặt thiết bị nhằm giảm thiểu truy nhập không cần thiết vào các khu vực làmviệc;

b) các phương tiện xử lý thông tin thực hiện công việc xử lý dữ liệu nhạy cảm cũng cần được bốtrí vị trí đặt và góc quan sát hạn chế nhằm giảm rủi ro thông tin bị quan sát bởi các cá nhânkhông được phép, và các thiết bị lưu trữ được bảo vệ an toàn nhằm tránh truy nhập trái phép;

Định dạng
Số trang	79
Dung lượng	671 KB