Professional Documents
Culture Documents
ISO 27000-2018-Vi
ISO 27000-2018-Vi
1|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
3|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
4|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
5|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Lời tựa
ISO (Tổ chức Quốc tế về Tiêu chuẩn hóa) là một liên hiệp các tổ chức tiêu
chuẩn quốc gia (các tổ chức thành viên ISO). Công việc chuẩn bị các Tiêu chuẩn
Quốc tế thông thường được tiến hành thông qua các ủy ban kỹ thuật ISO. Mỗi
quốc gia thành viên quan tâm đến một chủ đề mà một tiểu ban kỹ thuật đã được
thiết lập có quyền có đại diện trong ủy ban đó. Các tổ chức quốc tế, chính phủ và
phi chính phủ, có mối liên hệ với ISO, cũng tham gia vào công việc này. ISO hợp
tác chặt chẽ với Ủy ban Kỹ thuật điện Quốc tế (IEC) về tất cả những vấn đề tiêu
chuẩn hóa kỹ thuật điện.
Các thủ tục được sử dụng để phát triển tài liệu này và những thủ tục được
dự định duy trì nó (ISO 27000) trong tương lai sau này được mô tả trong Định
hướng ISO/IEC, Phần 1. Cụ thể hơn, các tiêu chí phê duyệt khác nhau cần cho các
kiểu tài liệu ISO khác nhau nên được lưu ý. Tài liệu này đã được phác thảo tương
xứng với các quy tắc soạn thảo của Định hướng ISO/IEC, Phần 2 (xem
www.iso.org/directives).
Cần chú ý đến khả năng rằng một số các thành phần của tài liệu này có thể
là đối tượng của quyền sáng chế. ISO không chịu trách nhiệm về việc xác định bất
kỳ hoặc tất cả các quyền sáng chế như vậy. Chi tiết về bất kỳ quyền sáng chế nào
đã được xác định trong suốt quá trình phát triển tài liệu này sẽ có trong Phần mở
đầu và/hoặc trong danh sách ISO về các tuyên bố về bằng sáng chế đã nhận được
(xem www.iso.org/patents).
Bất kỳ tên gọi thương mại nào trong tài liệu này là thông tin được cung cấp
để thuận tiện cho người dùng và không cấu thành nên sự chứng thực.
Để được giải thích thêm về bản chất tự nguyện của các tiêu chuẩn, ý nghĩa
của các thuật ngữ và cách diễn đạt cụ thể của ISO liên quan đến đánh giá tuân thủ,
cũng như thông tin về sự gắn bó của ISO với các nguyên tắc của Tổ chức Thương
mại Thế giới (WTO – World Trade Organization) trong Các rào cản Kỹ thuật đối
với Thương mại (TBT – Technical Barriers to Trade), xem tại địa chỉ URL
www.iso.org/iso/foreword.html.
Tài liệu này được chuẩn bị bởi Ủy ban Kỹ thuật ISO/IEC JT1, Công nghệ
thông tin, SC 27, Các kỹ thuật bảo mật CNTT.
Phiên bản thứ năm này hủy bỏ và thay thế phiên bản thứ tư (ISO/IEC
27000:2016), và đã được sửa đổi về mặt kỹ thuật. Những thay đổi chủ yếu so với
phiên bản trước được liệt kê dưới đây:
- Sửa đổi phần Giới thiệu;
- Vài thuật ngữ và định nghĩa đã được loại bỏ;
- Điều 3 đã được căn chỉnh theo cấu trúc cấp cao về MSS;
- Điều 5 đã được cập nhật để phản ảnh những thay đổi trong các tiêu chuẩn
liên quan;
- Phụ lục A và B đã được xóa bỏ.
6|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
0 Giới thiệu
0.1 Tổng quan
Các Tiêu chuẩn Quốc tế về các hệ thống quản lý cung cấp một mô hình tuân
thủ trong việc thiết lập và vận hành một hệ thống quản lý. Mô hình này kết hợp
chặt chẽ các chức năng mà các chuyên gia trong lĩnh vực này đã đạt được sự đồng
thuận để trở thành đỉnh cao của quốc tế. ISO/IEC JTC1/SC27 duy trì một ủy ban
các chuyên gia được chỉ định để phát triển một họ các tiêu chuẩn hệ thống quản lý
quốc tế về bảo mật thông tin, còn được gọi là hệ thống Quản lý Bảo mật Thông tin
(ISMS).
Thông qua sử dụng họ các tiêu chuẩn ISMS, các tổ chức có thể phát triển và
triển khai một khuôn khổ để quản lý bảo mật cho những tài sản thông tin của
mình, bao gồm thông tin tài chính, tài sản sở hữu trí tuệ, và chi tiết nhân viên,
hoặc thông tin được khách hàng hoặc bên thứ ba khác giao phó cho họ. Những tiêu
chuẩn này cũng có thể được sử dụng để chuẩn bị cho một sự đánh giá độc lập về
những áp dụng ISMS của họ để bảo vệ thông tin
Thông tin được đánh dấu là “GHI CHÚ” là dành cho hướng dẫn về việc hiểu
hoặc làm rõ các yêu cầu tương ứng. “GHI CHÚ to entry” được sử dụng trong Điều
3 cung cấp thông tin bổ sung mà bổ sung cho dữ liệu thuật ngữ và có thể bao hàm
các điều khoản liên quan đến việc sử dụng một thuật ngữ.
7|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
1 Phạm vi
Tài liệu này cung cấp tổng quan về các hệ thống quản lý bảo mật thông tin
(ISMS). Nó cũng đồng thời cung cấp các thuật ngữ thường được sử dụng trong họ
các tiêu chuẩn ISMS. Tài liệu này có thể được áp dụng cho mọi loại và quy mô của
tổ chức (ví dụ, các tập đoàn thương mại, các cơ quan chính phủ, các tổ chức phi
lợi nhuận).
Những thuật ngữ và định nghĩa được cung cấp trong tài liệu này:
bao gồm những thuật ngữ và định nghĩa được sử dụng trong họ các tiêu
chuẩn về ISMS;
không bao gồm những thuật ngữ và định nghĩa được áp dụng trong họ các
tiêu chuẩn ISMS, và
không giới hạn họ các tiêu chuẩn ISMS trong việc định nghĩa các thuật
ngữ để sử dụng.
8|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
3.7 cơ sở đo lường
Đo lường (3.42) được xác định theo thuộc tính và phương pháp để định lượng nó
Chú thích 1: một cơ sở đo lường là độc lập chức năng với các đo lường khác.
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.3, đã điều chỉnh – Chú thích 2 đã được
xóa].
9|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
3.21 sự kiện
Việc xảy ra hoặc thay đổi của một tập hợp các hoàn cảnh cụ thể.
10 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Chú thích 1: Một sự kiện có thể là một hoặc nhiều sự việc xảy ra và có thể có
nhiều nguyên nhân.
Chú thích 2: Một sự kiện có thể bao gồm điều gì đó không xảy ra.
Chú thích 3: Một sự kiện thỉnh thoảng có thể được gọi là “sự cố” hoặc “tai nạn”.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.5.1.3, đã điều chỉnh – GHI CHÚ 4 to entry
đã được xóa].
3.25 chỉ số
Thước đo (3.42) cung cấp một ước lượng hoặc sự đánh giá.
11 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Chú thích 1: Ngoài ra, các thuộc tính khác, chẳng hạn như tính xác thực (3.6), tính
trách nhiệm, không-từ chối (3.48) và độ tin cậy (3.55) có thể được tính đến.
3.29 bảo mật thông tin liên tục
Các quy trình (3.54) và thủ tục nhằm đảm bảo các hoạt động bảo mật thông tin
(3.28) được liên tục.
3.33 chuyên gia hệ thống quản lý bảo mật thông tin (isms)
Người thiết lập, triển khai, duy trì và liên tục cải thiện một hoặc nhiều quy trình
(3.54) hệ thống quản lý bảo mật thông tin.
12 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
quản trị, cấu trúc tổ chức, các vai trò và trách nhiệm;
các chính sách (3.53), các mục tiêu (3.49), và các chiến lược được đặt ra để
đạt được chúng;
những năng lực, được hiểu trong các thuật ngữ về tài nguyên và kiến thức
(ví dụ, nguồn vốn, thời gian, con người, các quy trình (3.54), các hệ thống
và công nghệ);
các hệ thống thông tin (3.35), luồng thông tin và các quy trình ra quyết định
(chính thức và không chính thức);
quan hệ với, và sự nhận thức và giá trị của, các cổ đông (3.37) nội bộ;
văn hóa của tổ chức;
các tiêu chuẩn, hướng dẫn và mô hình được thừa nhận bởi tổ chức;
hình thái và mức độ của các quan hệ hợp đồng.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.3.1.2].
3.42 đo lường
Biến số mà một giá trị được ấn định như là kết quả của phép đo (3.43).
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.15, đã được điều chỉnh – Chú thích 2 đã
được xóa bỏ].
3.43 phép đo
Quy trình (3.54) để xác định giá trị.
13 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
3.48 không-khước từ
Khả năng chứng minh sự xảy ra của một sự kiên (3.21) hoặc hành động đã được
tuyên bố và các thực thể khởi nguồn của nó.
14 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
3.50 tổ chức
Cá nhân hoặc nhóm cá nhân có những chức năng của mình cùng với trách nhiệm,
quyền hạn và các mối quan hệ để đạt được các mục tiêu (3.49) của mình.
Chú thích 1: Khái niệm về tổ chức bao gồm nhưng không giới hạn thương nhân cá
thể, công ty, tập đoàn, hãng, xí nghiệp, cơ quan thẩm quyền, quan hệ đối tác, tổ
chức từ thiện hoặc học viện, hoặc một phần hoặc sự kết hợp của các khái niệm
trên, cho dù được hợp thành hay không, bất kể công cộng hay tư nhân.
15 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Chú thích 1: Rủi ro còn lại có thể bao gồm rủi ro không xác định được.
Chú thích 2: Rủi ro còn lại cũng có thể được gọi là “rủi ro bị giữ lại”.
3.61 rủi ro
ảnh hưởng của tình trạng không rõ ràng (không chắc chắn) lên các mục tiêu
(3.49).
Chú thích 1: Một ảnh hưởng là một độ lệch so với kỳ vọng – tiêu cực hoặc tích
cực.
Chú thích 2: Không rõ ràng (không chắc chắn) là trạng thái, ngay cả chỉ một phần,
của sự thiếu hụt thông tin liên quan đến, sự hiểu biết hoặc kiến thức về một sự
kiện, hậu quả của nó, hoặc khả năng xảy ra.
Chú thích 3: Rủi ro thường được đặc trưng bởi sự tham chiếu đến “các sự kiện”
tiềm ẩn (như được định nghĩa trong Hướng dẫn ISO 73:2009, 3.5.1.3) và “các hậu
quả” (như được định nghĩa trong Hướng dẫn ISO 73:2009, 3.6.1.3), hoặc sự kết
hợp của cả hai.
Chú thích 4: Rủi ro thường được biểu lộ bằng khái niệm về sự kết hợp của các hậu
quả của một sự kiện (bao gồm những thay đổi trong hoàn cảnh) và “khả năng xảy
ra” tương ứng (như được định nghĩa trong Hướng dẫn ISO 73:2009, 3.6.1.1) về sự
xảy ra.
Chú thích 5: Trong bối cảnh hệ thống quản lý bảo mật thông tin, những rủi ro
trong bảo mật thông tin có thể được biểu lộ như là ảnh hưởng của tình trạng không
rõ ràng (không chắc chắn) đối với các mục tiêu bảo mật thông tin.
Chú thích 6: Rủi ro bảo mật thông tin tương xứng với tiềm năng mà các mối đe
dọa sẽ khai thác những lỗ hổng của một hoặc một nhóm tài sản thông tin và từ đó,
gây ra thiệt hại cho một tổ chức.
17 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Chú thích 1: Xác định rủi ro tham gia vào việc xác định nguồn rủi ro, các sự kiện
(3.21), các nguyên nhân của rủi ro, và hậu quả (3.12) tiềm tàng của chúng (rủi ro).
Chú thích 2: Xác định rủi ro có thể tham gia vào dữ liệu lịch sử, phân tích lý
thuyết, các ý kiến được thông báo và ý kiến của chuyên gia, và nhu cầu của các
bên liên quan (3.37).
[NGUỒN: Hướng dẫn ISO 73:2009, 3.5.1].
3.72 xử lý rủi ro
Quy tình (3.54) để làm giảm rủi ro (3.61).
Chú thích 1: Xử lý rủi ro có thể tham gia vào:
tránh rủi ro bằng cách quyết định không bắt đầu hoặc tiếp tục với hành động
làm gia tăng rủi ro;
chấp nhận hoặc gia tăng rủi ro để theo đuổi cơ hội;
loại bỏ nguồn rủi ro;
thay đổi khả năng xảy ra (3.40);
chia sẻ rủi ro với bên khác hoặc các bên khác (bao gồm các rủi ro hợp đồng
và rủi ro tài chính);
giữ lại rủi ro bằng lựa chọn đã thông báo.
3.74 nguy cơ
Nguyên nhân tiềm ẩn của một sự cố không mong muốn mà có thể dẫn đến nguy
hiểm cho một hệ thống hoặc một tổ chức (3.50).
18 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
3.76 thực thể truyền thông thông tin đáng tin cậy
Tổ chức (3.50) tự trị hỗ trợ việc trao đổi thông tin trong một cộng đồng chia sẻ
thông tin.
3.77 lỗ hổng
Điểm yếu của một tài sản hoặc kiểm soát mà có thể bị khai thác bởi một hoặc
nhiều nguy cơ (3.74)
Bảo vệ những tài sản thông tin thông qua việc xác định, đạt được, duy trì,
và cải thiện bảo mật thông tin một cách hiệu quả là điều thiết yếu để cho phép tổ
chức đạt được những mục tiêu của mình, và duy trì và tăng cường mức độ tuân thủ
luật pháp cũng như hình ảnh của mình. Những hành động được phối hợp này định
hướng cho sự triển khai các kiểm soát phù hợp và xử lý những rủi ro bảo mật
19 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
thông tin không thể chấp nhận được thường được biết đến như là một thành phần
của quản lý bảo mật thông tin.
Vì các rủi ro bảo mật thông tin và tính hiệu quả của các kiểm soát thay đổi
tùy thuộc vào sự thay đổi của tình huống, các tổ chức cần phải:
a) giám sát và đánh giá tính hiệu quả của các kiểm soát và thủ tục đã được
triển khai;
b) xác định những rủi ro khẩn cấp để được xử lý, và
c) lựa chọn, triển khai và cải thiện các kiểm soát tương ứng khi cần thiết.
Để liên kết và phối hợp các hành động bảo mật thông tin như vậy, mỗi tổ
chức cần phải thiết lập chính sách và các mục tiêu của mình về bảo mật thông tin
và đạt được những mục tiêu đó một cách hiệu quả bằng cách sử dụng một hệ thống
quản lý.
vệ một cách phù hợp. Thông tin có thể được lưu trữ dưới nhiều hình thức, bao
gồm: hình thức kỹ thuật số (ví dụ như các tập tin dữ liệu được lưu trữ trong các
phương tiện quang học hoặc điện tử), hình thức tài liệu (ví dụ, bằng giấy), và cũng
như là những thông tin vô hình dưới dạng kiến thức của nhân viên. Thông tin có
thể được truyền tải bằng nhiều phương tiện khác nhau như: chuyển phát, truyền
thông điện tử hoặc giao tiếp bằng lời nói. Bất kể hình thức thể hiện nào của thông
tin, hoặc bất kỳ phương tiện nào mà nó được truyền tải, nó luôn cần được bảo vệ
thích đáng.
Trong rất nhiều tổ chức, thông tin phụ thuộc và thông tin và công nghệ
truyền tải. Công nghệ này thường là một thành phần thiết yếu trong tổ chức và hỗ
trợ điều kiện cho việc tạo ra, xử lý, lưu trữ, truyền tải, bảo vệ và phá hủy thông
tin.
4.2.3 Bảo mật thông tin
Bảo mật thông tin đảm bảo tính bảo mật, sẵn sàng và toàn vẹn của thông tin.
Bảo mật thông tin có sự tham gia của việc ứng dụng và quản lý các kiểm soát phù
hợp liên quan đến việc xem xét một loạt các mối đe dọa, với mục đích nhằm đảm
bảo hoạt động kinh doanh bền vững và liên tục, và tối thiểu hóa các hậu quả của
các sự cố bảo mật thông tin.
Bảo mật thông tin đạt được thông qua việc triển khai một bộ các kiểm soát
có thể được áp dụng, được lựa chọn thông qua quy trình quản lý rủi ro đã được
chọn, và được quản lý bằng cách sử dụng một ISMS, bao gồm các chính sách, quy
trình, thủ tục, cấu trúc tổ chức, phần mềm và phần cứng để bảo vệ những tài sản
thông tin đã được xác định. Các kiểm soát này cần được xác định rõ, triển khai,
giám sát, đánh giá và cải thiện khi cần thiết, để đảm bảo rằng bảo mật thông tin cụ
thể và các mục tiêu kinh doanh của tổ chức được đáp ứng. Các kiểm soát bảo mật
thông tin liên quan được kỳ vọng để được tích hợp một cách liền lạc với các quy
trình kinh doanh của tổ chức.
4.2.4 Quản lý
Cấp quản lý tham gia và những hành động để định hướng, kiểm soát, và liên
tục cải tiến tổ chức trong những cấu trúc tương xứng. Các hành động của cấp quản
lý bao gồm hành động, cách thức, hoặc thực hành sự tổ chức, xử lý, định hướng,
giám sát, và kiểm soát các tài nguyên. Cấu trúc quản lý mở rộng từ một cá nhân
trong một tổ chức nhỏ đến các cấu trúc quản lý phân cấp bao gồm nhiều cá nhân
trong một tổ chức lớn.
Đối với ISMS, cấp quản lý tham gia vào việc giám sát và đưa ra những
quyết định cần thiết để đạt được các mục tiêu kinh doanh thông qua việc bảo vệ
những tài sản thông tin của tổ chức. Quản lý bảo mật thông tin được biểu lộ thông
qua sự xây dựng và sử dụng những chính sách, thủ tục và hướng dẫn bảo mật
thông tin, vốn sau đó được áp dụng trong toàn bộ tổ chức bởi tất cả các cá nhân có
liên quan tới tổ chức.
21 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Về mặt bảo mật thông tin, một hệ thống quản lý cho phép một tổ chức:
a) thỏa mãn các yêu cầu bảo mật thông tin của khách hàng và các bên liên
quan khác;
b) cải thiện các kế hoạch và hành động của một tổ chức;
c) đáp ứng các mục tiêu bảo mật thông tin của tố chức;
d) tuân thủ các luật lệ, quy định, các chỉ thị ngành, và
e) quản lý những tài sản thông tin trong một phương pháp được tổ chức tạo
điều kiện cho sự cải tiến và điều chỉnh liên tục đối với các mục tiêu hiện
tại của tổ chức.
Việc thông qua một ISMS được kỳ vọng trở thành một quyết định chiến lược
cho một tổ chức và điều cần thiết là quyết định này được tích hợp một cách liền
lạc, mở rộng và cập nhật tương xứng với tổ chức.
Thiết kế và triển khai một ISMS cho tổ chức bị ảnh hưởng bởi nhu cầu và
các mục tiêu của tổ chức, các yêu cầu bảo mật, các quy trình kinh doanh và quy
mô và cấu trúc của tổ chức. Thiết kế và vận hành một ISMS cần phải phản ảnh
được những mối quan tâm và các yêu cầu bảo mật của tất cả các bên liên quan của
tổ chức bao gồm khách hàng, nhà cung cấp, đối tác kinh doanh, cổ đông và các
bên thứ ba liên quan khác.
22 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Trong một thế giới được liên kết, thông tin và các quy trình, hệ thống, và
mạng hợp thành những tài sản quan trọng đối với doanh nghiệp. Các tổ chức và hệ
thống thông tin cũng như hệ thống mạng của họ đối mặt với những mối đe dọa từ
một phạm vi rộng rãi các nguồn, bao gồm lừa đảo được máy tính trợ giúp, gián
điệp, phá hoại, cháy nổ và lũ lụt. Thiệt hại đối với các hệ thống thông tin và mạng
gây ra bởi mã độc, xâm nhập máy tính, và từ chối dịch vụ trở nên phổ biến hơn,
tham lam hơn và tinh vi hơn.
Hệ thống ISMS quan trọng đối với cả doanh nghiệp trong lĩnh vực công và
tư nhân. Trong bất kỳ ngành nghề nào, ISMS là một công cụ hỗ trợ kinh doanh
điện tử và là điều thiết yếu cho các hoạt động quản lý rủi ro. Sự kết nối giữa các
mạng công cộng và riêng tư và sự chia sẻ tài sản thông tin làm gia tăng sự khó
khăn trong việc kiểm soát việc truy cập và xử lý thông tin. Ngoài ra, việc phân
phối các thiết bị lưu trữ di động có chứa tài sản thông tin có thể làm suy yếu tính
hiệu quả của các biện pháp kiểm soát truyền thống. Khi các tổ chức thông qua họ
tiêu chuẩn ISMS, khả năng áp dụng các nguyên tắc bảo mật thông tin nhất quán và
có thể nhận biết lẫn nhau có thể được chứng minh cho các đối tác kinh doanh và
các bên quan tâm khác.
Bảo mật thông tin không phải lúc nào cũng được tính đến trong quá trình
thiết kế và phát triển các hệ thống thông tin. Hơn nữa, bảo mật thông tin thường
được cho là một giải pháp kỹ thuật. Tuy nhiên, bảo mật thông tin mà có thể đạt
được thông qua các phương tiện kỹ thuật vẫn còn hạn chế và có thể không hiệu
quả nếu không được hỗ trợ bởi các thủ tục và biện pháp quản lý thích hợp trong
bối cảnh của ISMS. Việc tích hợp bảo mật vào một hệ thống thông tin hoàn chỉnh
về mặt chức năng có thể khó khăn và tốn kém. Một ISMS liên quan đến việc xác
định các biện pháp kiểm soát nào được áp dụng và đòi hỏi sự hoạch định cẩn thận
và chú ý đến chi tiết. Ví dụ: các biện pháp kiểm soát truy cập, có thể là kỹ thuật
(logic), vật lý, hành chính (quản lý) hoặc kết hợp, cung cấp một phương tiện để
đảm bảo rằng quyền truy cập vào tài sản thông tin được ủy quyền và hạn chế dựa
trên các yêu cầu kinh doanh và các yêu cầu bảo mật thông tin.
Việc thông qua thành công một ISMS là quan trọng để bảo vệ những tài sản
thông tin cho phép một tổ chức:
a) có được sự đảm bảo lớn hơn rằng những tài sản thông tin của mình được
bảo vệ đầy đủ trước các mối đe dọa liên tục;
b) duy trì một khuôn khổ được cấu trúc và toàn diện để xác định và đánh giá
những rủi ro bảo mật thông tin, chọn lựa và áp dụng các kiểm soát có thể
áp dụng được, và đo lường và cải thiện tính hiệu quả của chúng (các
kiểm soát – người dịch);
c) liên tục cải tiến môi trường kiểm soát của mình, và
d) đạt được tuân thủ các luật lệ và quy định một cách hiệu quả.
23 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
4.5 Thiết lập, giám sát, duy trì và cải thiện một ISMS
4.5.1 Tổng quan
Một tổ chức cần phải trải qua những bước dưới đây trong thiết lập, giám sát,
duy trì và cải thiện ISMS của mình:
a) xác định những tài sản thông tin và các yêu cầu bảo mật thông tin tương
xứng (xem 4.5.2);
b) đánh giá các rủi ro bảo mật thông tin (xem 4.5.3) và xử lý các rủi ro bảo
mật thông tin (xem 4.5.4);
c) lựa chọn và triển khai các kiểm soát liên quan để quản lý những rủi ro
không thể chấp nhận (xem 4.5.5);
d) giám sát, duy trì và cải thiện tính hiệu quả của các kiểm soát tương xứng
với những tài sản thông tin của tổ chức (xem 4.5.6).
Để đảm bảo rằng ISMS đang bảo vệ những tài sản thông tin của tổ chức một
cách hiệu quả trên cơ sở liên tục, điều cần thiết là bước a) và b) liên tục được lặp
đi lặp lại để xác định những thay đổi trong rủi ro hoặc trong chiến lược của tổ
chức hoặc các mục tiêu kinh doanh.
4.5.2 Xác định các yêu cầu bảo mật thông tin
Trong chiến lược tổng thể và các mục tiêu kinh doanh của tổ chức, quy mô
và mức độ mở rộng phạm vi địa lý của mình, các yêu cầu bảo mật thông tin có thể
được xác định thông qua một hiểu biết về những điều dưới đây:
a) xác định những tài sản thông tin và giá trị của chúng;
b) các nhu cầu kinh doanh đối với xử lý, lưu trữ và truyền tải thông tin;
c) các yêu cầu pháp lý, quy định và hợp đồng.
Việc tiến hành một đánh giá có phương pháp về các rủi ro tương xứng với
những tài sản thông tin của tổ chức bao gồm việc phân tích các mối đe dọa đến tài
sản thông tin, những lỗ hổng và khả năng xảy ra của một mối đe dọa cụ thể đối với
tài sản thông tin, và tác động tiềm tàng của bất kỳ sự cố bảo mật thông tin nào đến
tài sản thông tin. Chi phí cho các kiểm soát liên quan được sự kiến sẽ tương ứng
với tác động kinh doanh được nhận thức của rủi ro hiện hữu.
Đánh giá rủi ro nên xác định, định lượng, và ưu tiên các rủi ro so với các
tiêu chí chấp nhận rủi ro và các mục tiêu liên quan của tổ chức. Các kết quả nên
hướng dẫn cho và xác định những hành động quản lý tương xứng và các ưu tiên
quản lý rủi ro bảo mật thông tin và cho việc triển khai những kiểm soát đã được
lựa chọn để bảo vệ chống lại những rủi ro đó.
a) phương pháp tiếp cận mang tính hệ thống về ước lượng độ lớn của rủi ro
(phân tích rủi ro), và
b) quy trình so sánh các rủi ro đã được ước lượng với các tiêu chí rủi ro để
xác định ý nghĩa của rủi ro (đánh giá rủi ro).
Đánh giá rủi ro nên được thực hiện một cách định kỳ để giải quyết những
thay đổi trong các yêu cầu bảo mật thông tin và tình huống của rủi ro, ví dụ như
về các tài sản, mối đe dọa, các lỗ hổng, tác động, đánh giá rủi ro, và khi các thay
đổi quan trọng xảy ra. Những đánh giá rủi ro này nên được tiến hành một cách có
phương pháp có khả năng tạo ra những kết quả có thể so sánh được và tái lập
được.
Đánh giá rủi ro bảo mật thông tin nên có một phạm vi được xác định một
cách rõ ràng để có hiệu quả và nên bao gồm các mối quan hệ với những đánh giá
rủi ro trong các khu vực khác, nếu thích hợp.
ISO/IEC 27005 cung cấp hướng dẫn đánh giá rủi ro bảo mật thông tin, bao
gồm khuyến cáo về đánh giá rủi ro, xử lý rủi ro, chấp thuận rủi ro, báo cáo rủi ro,
giám sát và xem xét rủi ro. Các ví dụ về các phương pháp đánh giá rủi ro cũng
được bao gồm (trong ISO/IEC 27005).
Đối với mỗi một rủi ro đã được xác định theo đánh giá rủi ro, một quyết
định xử lý rủi ro cần được đưa ra. Các lựa chọn có thể để xử lý rủi ro bao gồm
những điều dưới đây:
a) áp dụng các kiểm soát thích hợp để làm giảm thiểu rủi ro;
b) chấp thuận rủi ro một cách có chủ ý và khách quan, với điều kiện chúng
(rủi ro) đáp ứng một cách rõ ràng chính sách và tiêu chí chấp thuận rủi ro
của tổ chức;
c) tránh rủi ro bằng cách không cho phép những hành động là nguyên nhân
có thể làm cho rủi ro xảy ra;
d) chia sẻ các rủi ro tương ứng với các bên khác, ví dụ, bảo hiểm hoặc nhà
cung cấp.
Đối với những rủi ro mà quyết định xử lý rủi ro là áp dụng các kiểm soát
tương xứng, những kiểm soát đó nên được lựa chọn và triển khai.
và đánh giá (xem 4.5.3) và quyết định xử lý rủi ro bảo mật thông tin đã được đưa
ra (xem 4.5.4), sau đó áp dụng lựa chọn và triển khai các kiểm soát giảm thiểu rủi
ro.
Các kiểm soát nên đảm bảo rằng những rủi ro được giảm thiểu đến mức có
thể chấp nhận được có tính đến những điều dưới đây:
a) các yêu cầu và những hạn chế của luật pháp và yêu cầu quốc gia và quốc
tế;
b) các mục tiêu của tổ chức;
c) các yêu cầu và hạn chế trong vận hành;
d) chi phí của chúng (các kiểm soát) cho việc triển khai và vận hành liên
quan đến những rủi ro được giảm thiểu, và duy trì tỷ lệ với các yêu cầu
và hạn chế của tổ chức;
e) những mục tiêu của chúng để giám sát, đánh giá và cải thiện hiệu quả và
hiệu lực của các biện pháp kiểm soát bảo mật thông tin để hỗ trợ các mục
tiêu của tổ chức. Việc lựa chọn và triển khai các kiểm soát nên được lập
thành văn bản trong một tuyên bố về khả năng áp dụng để hỗ trợ các yêu
cầu tuân thủ.
f) nhu cầu cân bằng giữa các khoản đầu tư trong triển khai và vận hành các
kiểm soát đối với khả năng mất mát từ kết quả của các sự cố bảo mật
thông tin.
Các biện pháp kiểm soát đã xác định trong ISO / IEC 27002 được thừa nhận
là thực tiễn tốt nhất áp dụng cho hầu hết các tổ chức và sẵn sàng điều chỉnh để
phù hợp với các tổ chức với quy mô và mức độ phức tạp khác nhau. Các tiêu chuẩn
khác trong họ tiêu chuẩn ISMS cung cấp hướng dẫn về việc lựa chọn và áp dụng
các kiểm soát ISO/IEC 27002 cho ISMS.
Các biện pháp kiểm soát bảo mật thông tin cần được xem xét ở giai đoạn
thiết kế và đặc tả kỹ thuật các yêu cầu của hệ thống và dự án. Nếu không làm như
vậy có thể dẫn đến chi phí bổ sung và các giải pháp kém hiệu quả hơn, và trong
trường hợp xấu nhất, không thể đạt được bảo mật đầy đủ. Các kiểm soát có thể
được chọn từ ISO/IEC 27002 hoặc từ các bộ kiểm soát khác. Ngoài ra, các biện
pháp kiểm soát mới có thể được thiết kế để đáp ứng các nhu cầu cụ thể của tổ
chức. Cần phải nhận ra khả năng rằng một số biện pháp kiểm soát không thể áp
dụng cho mọi hệ thống hoặc môi trường thông tin và không khả thi cho mọi tổ
chức.
Đôi khi, việc thực hiện một nhóm các biện pháp kiểm soát đã chọn cần
nhiều thời gian và trong thời gian đó, mức độ rủi ro có thể cao hơn mức có thể
chấp nhận được về lâu dài. Tiêu chí rủi ro phải bao hàm khả năng chấp nhận rủi ro
trên cơ sở ngắn hạn trong khi các biện pháp kiểm soát đang được thực hiện. Các
bên quan tâm cần được thông báo về các mức độ rủi ro được ước tính hoặc dự
đoán tại các thời điểm khác nhau khi các biện pháp kiểm soát được thực hiện dần
dần.
26 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Cần lưu ý rằng không có bộ kiểm soát nào có thể đạt được an toàn thông tin
hoàn toàn. Các hành động quản lý bổ sung cần được thực hiện để giám sát, đánh
giá và cải thiện hiệu quả và hiệu lực của các biện pháp kiểm soát an toàn thông tin
nhằm hỗ trợ các mục tiêu của tổ chức.
Việc lựa chọn và thực hiện các biện pháp kiểm soát phải được lập thành văn
bản trong một tuyên bố về khả năng áp dụng để hỗ trợ các yêu cầu tuân thủ.
4.5.6 Giám sát, duy trì và cải thiện tính hiệu quả của ISMS
Một tổ chức cần phải duy trì và cải thiện ISMS thông qua việc giám sát và
đánh giá hiệu suất so với các chính sách và mục tiêu của tổ chức, và báo cáo các
kết quả cho cấp quản lý để xem xét. Việc xem xét ISMS kiểm tra rằng ISMS bao
gồm các kiểm soát đã được chỉ định là phù hợp để xử lý rủi ro trong phạm vi của
ISMS. Hơn nữa, dựa trên hồ sơ về những khu vực được giám sát đó, nó cung cấp
bằng chứng xác minh và truy xuất nguồn gốc của những hành động khắc phục,
ngăn ngừa và cải thiện.
Các kết quả được xem xét, nếu cần thiết, để xác định những cơ hội cải tiến
hơn nữa. Theo cách này, cải tiến là một hành động liên tục, tức là những hành
động được lặp đi lặp lại một cách thường xuyên. Phản hồi từ khách hàng và các
bên liên quan khác, kiểm toán và xem xét hệ thống bảo mật thông tin cũng có thể
được sử dụng để xác định các cơ hội cải thiện.
27 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
a) chính sách, các mục tiêu bảo mật thông tin và các hành động liên kết với
các mục tiêu;
b) một phương pháp tiếp cận và khuôn khổ trong thiết kế, triển khai, giám
sát, duy trì, và cải thiện sự nhất quán giữa bảo mật thông tin với văn hóa
tổ chức;
c) sự hỗ trợ và cam kết rõ ràng từ các cấp quản lý, đặc biệt là quản lý hàng
đầu;
d) một sự hiểu biết về các yêu cầu bảo vệ tài sản thông tin thông qua việc
áp dụng quản lý rủi ro bảo mật thông tin (xem ISO/IEC 27005);
e) một chương trình hiệu quả trong nâng cao nhận thức, đào tạo và giáo dục
về bảo mật thông tin, thông báo cho toàn bộ nhân viên và các bên liên
quan khác về nghĩa vụ bảo mật thông tin của họ được quy định trong các
chính sách, tiêu chuẩn bảo mật thông tin, v.v… và thúc đẩy họ hành động
một cách phù hợp;
f) một quy trình quản lý sự cố bảo mật thông tin hiệu quả;
g) một phương pháp tiếp cận quản lý kinh doanh liên tục hiệu quả;
h) một hệ thống đo lường được sử dụng để đánh giá hiệu suất trong quản lý
bảo mật thông tin và những đề xuất phản hồi cho việc cải thiện.
Một ISMS gia tăng khả năng một tổ chức đạt được một cách nhất quán
những yếu tố thành công quan trọng được yêu cầu để bảo vệ tài sản thông tin của
mình.
doanh về sự tuân thủ ISMS, đặc biệt nếu họ (đối tác kinh doanh – người
dịch) yêu cầu chứng nhận đối với ISO/IEC 27001 bởi một tổ chức chứng
nhận được công nhận;
e) gia tăng niềm tin của các bên liên quan đối với tổ chức;
f) thỏa mãn những kỳ vọng và nhu cầu xã hội;
g) quản lý kinh tế hiệu quả hơn đối với các khoản đầu tư cho bảo mật thông
tin.
Những tài liệu khác cung cấp hướng dẫn cho nhiều khía cạnh khác của việc
triển khai một ISMS, giải quyết một quy trình chung cũng như hướng dẫn cụ thể
theo ngành nghề.
Mối quan hệ giữa họ các tiêu chuẩn ISMS được minh họa trong Hình 1.
29 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Mỗi một (tiêu chuẩn) trong họ các tiêu chuẩn ISMS được mô tả dưới đây
theo kiểu (hoặc vai trò) của nó trong họ các tiêu chuẩn ISMS và số tham chiếu của
nó.
5.2 Tiêu chuẩn mô tả tổng quan và thuật ngữ: ISO/IEC 27000 (tài liệu
này)
Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý bảo mật thông
tin - Tổng quan và từ vựng
Phạm vi: Tài liệu này cung cấp cho các tổ chức và cá nhân:
a) tổng quan về họ các tiêu chuẩn ISMS;
b) giới thiệu về hệ thống quản lý bảo mật thông tin; và
c) các thuật ngữ và định nghĩa được sử dụng trong họ các tiêu chuẩn ISMS.
Mục đích: Tài liệu này mô tả các nguyên tắc cơ bản của hệ thống quản lý
bảo mật thông tin, tạo thành chủ đề của họ các tiêu chuẩn ISMS và định nghĩa các
thuật ngữ liên quan.
Phạm vi: Tài liệu này chỉ rõ các yêu cầu đối với việc thiết lập, triển khai,
vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống quản lý bảo mật
thông tin (ISMS) đã được chính thức hóa trong bối cảnh rủi ro kinh doanh
tổng thể của tổ chức. Nó chỉ định rõ các yêu cầu đối với việc thực hiện các
biện pháp kiểm soát bảo mật thông tin được tùy chỉnh theo nhu cầu của các
tổ chức riêng lẻ hoặc các bộ phận của chúng. Tài liệu này có thể được sử
dụng bởi tất cả các tổ chức, bất kể loại hình, quy mô và bản chất.
Mục đích: ISO/IEC 27001 đưa ra các yêu cầu quy chuẩn cho việc phát triển
và vận hành hệ thống ISMS, bao gồm một tập hợp các biện pháp kiểm soát
để kiểm soát và giảm thiểu rủi ro liên quan đến tài sản thông tin mà tổ chức
tìm cách bảo vệ bằng việc vận hành ISMS của mình. Các tổ chức vận hành
một ISMS có thể được đánh giá và chứng nhận sự tuân thủ của nó. Các mục
tiêu kiểm soát và các biện pháp kiểm soát từ ISO/IEC 27001:2013, Phụ lục
A sẽ được lựa chọn như một phần của quá trình ISMS này khi phù hợp để
bao hàm các yêu cầu đã xác định. Các mục tiêu kiểm soát và các biện pháp
kiểm soát được liệt kê trong ISO/IEC 27001:2013, Bảng A.1 có nguồn gốc
trực tiếp và liên kết với các mục tiêu được liệt kê trong ISO/IEC
27002:2013, các Điều từ 5 đến 18.
30 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Phạm vi: Tài liệu này xác định các yêu cầu và cung cấp hướng dẫn cho các
tổ chức cung cấp đánh giá và chứng nhận ISMS theo ISO/IEC 27001, ngoài
các yêu cầu đã bao gồm trong ISO/IEC 17021. Nó chủ yếu nhằm hỗ trợ việc
công nhận các tổ chức chứng nhận cung cấp chứng chỉ ISMS theo tiêu chuẩn
ISO/IEC 27001.
Các yêu cầu được bao hàm trong tài liệu này cần phải được chứng minh về
năng lực và độ tin cậy bởi bất kỳ ai cung cấp chứng chỉ ISMS, và hướng dẫn
được bao hàm trong tài liệu này cung cấp diễn giải bổ sung về các yêu cầu
này cho bất kỳ tổ chức nào cung cấp chứng chỉ ISMS.
Mục đích: ISO/IEC 27006 bổ sung cho ISO/IEC 17021 trong việc cung cấp
các yêu cầu mà các tổ chức chứng nhận được công nhận, do đó cho phép các
tổ chức này cung cấp các chứng nhận tuân thủ một cách nhất quán so với các
yêu cầu đặt ra trong ISO/IEC 27001.
Phạm vi: Tài liệu này xác định những yêu cầu về việc sử dụng ISO/IEC
27001 trong bất kỳ ngành nghề cụ thể nào (lĩnh vực, lĩnh vực ứng dụng hoặc
khu vực thị trường). Nó giải thích cách làm thế nào để bao gồm các yêu cầu
bổ sung vào những yêu cầu trong ISO/IEC 27001, cách tinh chỉnh bất kỳ yêu
cầu nào trong ISO/IEC 27001, và làm thế nào bao gồm các kiểm soát hoặc
các bộ kiểm soát ngoài các kiểm soát trong ISO/IEC 27001:2013, Phụ lục A.
Mục đích: ISO/IEC 27009 đảm bảo rằng các yêu cầu bổ sung hoặc được tinh
chỉnh không xung đột với các yêu cầu trong ISO/IEC 27001.
Phạm vi: Tài liệu này cung cấp một danh sách các mục tiêu kiểm soát đã
được chấp thuận phổ biến và các thực tiễn kiểm soát tốt nhất để được sử
dụng như là hướng dẫn triển khai khi lựa chọn và triển khai các kiểm soát
để đạt được bảo mật thông tin.
31 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Mục đích: ISO/IEC 27002 cung cấp hướng dẫn về việc triển khai các kiểm
soát bảo mật thông tin. Đặc biệt, từ Điều 5 đến Điều 18 cung cấp những lời
khuyên và hướng dẫn triển khai cụ thể về những thực tiễn tốt nhất để hỗ trợ
các biện pháp kiểm soát cụ thể trong ISO/IEC 27001:2013, A.5 đến A.18.
Phạm vi: Tài liệu này cung cấp sự giải thích và hướng dẫn về ISO/IEC
27001:2013.
Mục đích: ISO/IEC 27003 cung cấp một nền tảng để triển khai thành công
ISMS thích hợp với ISO/IEC 27001.
Phạm vi: Tài liệu này cung cấp hướng dẫn với dự định nhằm hỗ trợ tổ chức
để đánh giá hiệu suất bảo mật thông tin và tính hiệu quả của ISMS, từ đó
hoàn thành các yêu cầu của ISO/IEC 27001:2013, 9.1. Nó giải quyết:
a) việc giám sát và đo lường hiệu suất bảo mật thông tin;
b) việc giám sát và đo lường tính hiệu quả của một hệ thống quản lý bảo
mật thông tin (ISMS) bao gồm các quy trình và kiểm soát của nó;
c) phân tích và đánh giá các kết quả của giám sát và đo lường.
Mục đích: ISO/IEC 27004 cung cấp một khuôn khổ cho phép một đánh giá
tính hiệu quả ISMS được đo lường và đánh giá tương ứng với ISO/IEC
27001.
Phạm vi: Tài liệu này cung cấp những hướng dẫn trong việc quản lý rủi ro
bảo mật thông tin. Phương pháp tiếp cận được mô tả trong tài liệu này hỗ
trợ những khái niệm tổng thể được xác định trong ISO/IEC 27001.
Mục đích: ISO/IEC 27005 cung cấp hướng dẫn về việc triển khai một
phương pháp tiếp cận quản lý rủi ro theo hướng quy trình để hỗ trợ trong
việc thỏa mãn các yêu cầu triển khai và hoàn thành quản lý rủi ro bảo mật
thông tin trong ISO/IEC 27001.
32 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Mục đích: ISO/IEC 27007 sẽ cung cấp hướng dẫn cho các tổ chức đang cần
tiến hành kiểm toán nội bộ hoặc kiểm toán bên ngoài về ISMS hoặc để quản
lý chương trình kiểm toán ISMS theo các yêu cầu được quy định trong
ISO/IEC 27001.
Phạm vi: Tài liệu này cung cấp hướng dẫn về việc xem xét việc triển khai
và vận hành các biện pháp kiểm soát, bao gồm cả việc kiểm tra sự tuân thủ
kỹ thuật của các biện pháp kiểm soát hệ thống thông tin, tuân thủ các tiêu
chuẩn an toàn thông tin đã được thiết lập của một tổ chức.
Mục đích: Tài liệu này tập trung vào việc xem xét các biện pháp kiểm soát
bảo mật thông tin, bao gồm kiểm tra sự tuân thủ kỹ thuật, dựa trên tiêu
chuẩn triển khai bảo mật thông tin được thiết lập bởi tổ chức. Nó không có ý
định cung cấp bất kỳ hướng dẫn cụ thể nào về việc kiểm tra tuân thủ liên
quan đến đo lường, đánh giá rủi ro hoặc kiểm toán một ISMS như được quy
định trong ISO/IEC 27004, ISO/IEC 27005 hoặc ISO/IEC 27007, một cách
tương ứng. Tài liệu này không dành cho việc kiểm toán hệ thống quản lý.
Phạm vi: Tài liệu này cung cấp hướng dẫn về việc triển khai được tích hợp
ISO/IEC 27001 và ISO/IEC 20000-1 cho các tổ chức đang có ý định:
a) triển khai ISO/IEC 27001 khi ISO/IEC 20000-1 đã được triển khai, hoặc
ngược lại;
b) triển khai cả ISO/IEC 27001 và ISO/IEC 20000-1 cùng nhau;
c) tích hợp các hệ thống quản lý hiện có dựa trên ISO/IEC 27001 và
ISO/IEC 20000-1.
Tài liệu này tập trung hoàn toàn vào việc triển khai tích hợp hệ thống quản
lý bảo mật thông tin (ISMS) như được quy định trong ISO/IEC 27001 và hệ
thống quản lý dịch vụ (SMS) như được quy định trong ISO/IEC 20000-1.
33 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Trên thực tế, ISO/IEC 27001 và ISO/IEC 20000-1 cũng có thể được tích hợp
với các tiêu chuẩn hệ thống quản lý khác, chẳng hạn như ISO 9001 và ISO
14001.
Mục đích: Cung cấp cho các tổ chức sự hiểu biết tốt hơn về các đặc điểm,
điểm tương đồng và khác biệt giữa ISO/IEC 27001 và ISO/IEC 20000-1 để
hỗ trợ việc hoạch định một hệ thống quản lý tích hợp phù hợp với cả hai
Tiêu chuẩn Quốc tế.
Phạm vi: Tài liệu này sẽ cung cấp hướng dẫn về các nguyên tắc và quy trình
quản trị bảo mật thông tin, qua đó các tổ chức có thể đánh giá, định hướng
và giám sát việc quản lý bảo mật thông tin.
Mục đích: Bảo mật thông tin đã trở thành một vấn đề then chốt đối với các
tổ chức. Không chỉ ngày càng có nhiều yêu cầu về quy định mà thất bại
trong việc áp dụng các biện pháp bảo mật thông tin của tổ chức cũng có thể
có tác động trực tiếp đến danh tiếng của tổ chức. Do đó, các cơ quan quản
lý, với tư cách là một phần trách nhiệm quản trị của mình, ngày càng được
yêu cầu phải có sự giám sát về an toàn thông tin để đảm bảo đạt được các
mục tiêu của tổ chức.
Phạm vi: Tài liệu này cung cấp một phương pháp luận cho phép các tổ chức
hiểu rõ hơn về mặt kinh tế cách thức đánh giá chính xác hơn các tài sản
thông tin đã được xác định của họ, đánh giá rủi ro tiềm ẩn đối với các tài
sản thông tin đó, đề cao giá trị mà các biện pháp kiểm soát bảo vệ thông tin
mang lại cho các tài sản thông tin này và xác định mức tối ưu nguồn lực sẽ
được áp dụng để bảo mật các tài sản thông tin này.
Mục đích: Tài liệu này bổ sung cho họ các tiêu chuẩn ISMS bằng cách phủ
lên một quan điểm kinh tế học trong việc bảo vệ tài sản thông tin của một tổ
chức trong bối cảnh môi trường xã hội rộng lớn hơn, mà tổ chức vận hành
trong đó, và cung cấp hướng dẫn về cách áp dụng kinh tế học tổ chức vào
bảo mật thông tin thông qua sử dụng các mô hình và ví dụ.
34 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Phạm vi: Tài liệu này chỉ định các yêu cầu về năng lực đối với các chuyên
gia ISMS dẫn đầu hoặc tham gia vào việc thiết lập, triển khai, duy trì và cải
tiến liên tục một hoặc nhiều quy trình của hệ thống quản lý an toàn thông
tin phù hợp với ISO/IEC 27001: 2013.
Phạm vi: Tài liệu này cung cấp các hướng dẫn bổ sung cho hướng dẫn được
đưa ra trong bộ tiêu chuẩn ISO/IEC 27000 để triển khai quản lý bảo mật
thông tin trong các cộng đồng chia sẻ thông tin.
Tài liệu này cung cấp các biện pháp kiểm soát và hướng dẫn cụ thể liên
quan đến việc khởi tạo, triển khai, duy trì và cải thiện bảo mật thông tin
trong truyền thông liên tổ chức và liên ngành.
Mục đích: Tài liệu này áp dụng cho mọi hình thức trao đổi và chia sẻ thông
tin nhạy cảm, cả (trong khu vực) công và tư nhân, trong nước và quốc tế,
trong cùng một ngành hoặc lĩnh vực thị trường hoặc giữa các lĩnh vực. Cụ
thể, nó có thể được áp dụng cho việc trao đổi và chia sẻ thông tin liên quan
đến việc cung cấp, duy trì và bảo vệ cơ sở hạ tầng quan trọng của một tổ
chức hoặc tiểu bang.
Phạm vi: Tài liệu này cung cấp các hướng dẫn hỗ trợ việc thực hiện các
biện pháp kiểm soát bảo mật thông tin trong các tổ chức viễn thông.
35 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Mục đích: ISO/IEC 27011 cho phép các tổ chức viễn thông đáp ứng các yêu
cầu quản lý bảo mật thông tin cơ bản về tính bảo mật, tính toàn vẹn, tính
khả dụng và bất kỳ thuộc tính bảo mật liên quan nào khác.
Phạm vi: ISO/IEC 27017 đưa ra các hướng dẫn về kiểm soát bảo mật thông
tin có thể được áp dụng cho việc cung cấp và sử dụng các dịch vụ đám mây
bằng cách cung cấp:
hướng dẫn triển khai bổ sung đối với các biện pháp kiểm soát liên
quan được quy định trong ISO/IEC 27002;
các biện pháp kiểm soát bổ sung với hướng dẫn triển khai liên quan
một cách đặc biệt đến các dịch vụ đám mây.
Mục đích: Tài liệu này cung cấp các kiểm soát và hướng dẫn triển khai cho
cả nhà cung cấp dịch vụ đám mây và khách hàng dịch vụ đám mây.
Phạm vi: ISO/IEC 27018 thiết lập các mục tiêu kiểm soát được chấp nhận
phổ biến và các hướng dẫn để thực hiện các biện pháp bảo vệ thông tin nhận
dạng cá nhân (PII) phù hợp với các nguyên tắc bảo mật trong ISO/IEC
29100 cho môi trường điện toán đám mây công cộng.
Mục đích: Tài liệu này áp dụng cho các tổ chức, bao gồm các công ty (trong
lĩnh vực) công và tư nhân, các tổ chức chính phủ và các tổ chức phi lợi
nhuận, cung cấp dịch vụ xử lý thông tin dưới dạng bộ xử lý thông tin nhận
dạng cá nhân thông qua điện toán đám mây theo hợp đồng với các tổ chức
khác. Các hướng dẫn trong tài liệu này cũng có thể liên quan đến các tổ
chức hoạt động với tư cách là người kiểm soát thông tin nhận dạng cá nhân.
Tuy nhiên, có thể người kiểm soát thông tin nhận dạng cá nhân phải tuân
theo luật, quy định và nghĩa vụ bổ sung về bảo vệ thông tin nhận dạng cá
nhân mà không áp dụng cho người xử lý thông tin nhận dạng cá nhân, và
những điều đó không được đề cập trong tài liệu này.
36 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Phạm vi: Tài liệu này cung cấp hướng dẫn dựa trên ISO/IEC 27002: 2013 áp
dụng cho các hệ thống kiểm soát quy trình được sử dụng bởi ngành công
nghiệp năng lượng để kiểm soát và giám sát quá trình sản xuất hoặc tạo ra,
truyền tải, lưu trữ và phân phối năng lượng điện, khí đốt, dầu và nhiệt, và
để kiểm soát các quá trình hỗ trợ liên quan. Điều này đặc biệt bao gồm
những điều sau:
công nghệ kiểm soát, giám sát và tự động hóa quy trình tập trung và
phân tán cũng như các hệ thống thông tin được sử dụng cho việc vận
hành của chúng, chẳng hạn như các thiết bị lập trình và tham số hóa;
bộ điều khiển kỹ thuật số và các thành phần tự động hóa như thiết bị
kiểm soát và thiết bị thực địa hoặc bộ kiểm soát logic có khả năng lập
trình được (PLC), bao gồm các cảm biến kỹ thuật số và các phần tử
khởi động;
tất cả các hệ thống thông tin hỗ trợ thêm được sử dụng trong miền
kiểm soát quy trình, ví dụ: cho các tác vụ trực quan hóa dữ liệu bổ
sung và cho các mục đích kiểm soát, giám sát, lưu trữ dữ liệu, ghi
nhật ký lịch sử, báo cáo và tài liệu;
công nghệ truyền thông được sử dụng trong miền kiểm soát quy trình,
ví dụ: mạng, phép đo từ xa, ứng dụng điều khiển từ xa và công nghệ
điều khiển từ xa;
các thành phần cơ sở hạ tầng đo lường tiên tiến (AMI), ví dụ: máy đo
thông minh;
thiết bị đo lường, ví dụ đối với các giá trị phát ra chất thải;
hệ thống bảo vệ và an toàn kỹ thuật số, ví dụ: rơ le bảo vệ, PLC an
toàn, cơ cấu điều tốc khẩn cấp;
hệ thống quản lý năng lượng, ví dụ tài nguyên năng lượng phân tán
(DER), cơ sở hạ tầng sạc điện, trong các hộ gia đình tư nhân, tòa nhà
dân cư hoặc cơ sở lắp đặt của khách hàng công nghiệp;
các thành phần phân tán của hệ thống mạng lưới môi trường thông
minh, ví dụ: trong lưới điện, trong các hộ gia đình tư nhân, các tòa
nhà dân cư hoặc các cơ sở lắp đặt của khách hàng công nghiệp;
tất cả phần mềm, firmware và ứng dụng được cài đặt trên các hệ thống
được đề cập ở trên, ví dụ: các ứng dụng DMS (hệ thống quản lý phân
phối) hoặc OMS (hệ thống quản lý ngừng hoạt động);
bất kỳ cơ sở nào có các thiết bị và hệ thống được đề cập ở trên;
hệ thống bảo trì từ xa cho các hệ thống nói trên.
Tài liệu này không áp dụng cho lĩnh vực kiểm soát quy trình của các cơ sở
hạt nhân. Khu vực này được đề cập trong IEC 62645.
Tài liệu này cũng bao gồm một yêu cầu để thích nghi các quy trình đánh giá
và xử lý rủi ro được mô tả trong ISO/IEC 27001: 2013 với hướng dẫn cụ thể
của ngành công nghiệp năng lượng được cung cấp trong tài liệu này.
37 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
Mục đích: Ngoài các mục tiêu và biện pháp bảo mật được quy định trong
ISO/IEC 27002, tài liệu này cung cấp hướng dẫn cho các hệ thống được sử
dụng bởi các tiện ích năng lượng và nhà cung cấp năng lượng về các biện
pháp kiểm soát an toàn thông tin đề cập đến các yêu cầu đặc biệt hơn.
Phạm vi: Tài liệu này cung cấp các hướng dẫn về các tiêu chuẩn bảo mật
thông tin của tổ chức và các thực tiễn quản lý bảo mật thông tin bao gồm
việc lựa chọn, triển khai và quản lý các biện pháp kiểm soát có tính đến
(các) môi trường rủi ro bảo mật thông tin của tổ chức.
Tài liệu này cung cấp hướng dẫn triển khai đối với các biện pháp kiểm soát
được mô tả trong ISO/IEC 27002 và bổ sung chúng khi cần thiết để chúng
có thể được sử dụng một cách hiệu quả trong việc quản lý bảo mật thông tin
y tế.
Mục đích: ISO 27799 cung cấp cho các tổ chức y tế sự thích ứng của các
hướng dẫn ISO/IEC 27002 dành riêng cho lĩnh vực công nghiệp của họ, bổ
sung cho hướng dẫn đã được cung cấp nhằm đáp ứng các yêu cầu của
ISO/IEC 27001: 2013, Phụ lục A.
38 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
40 | P a g e
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com