Chuẩn bảo mật ISO 17799 - Toàn Tập

ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là tổ chức
thiết lập các hệ thống tiêu chuẩn trên toàn cầu. Các quốc gia là các thành viên
của ISO và IEC tham gia vào sự phát triển chung của các chuẩn quốc tế thông
qua các ủy ban được thiết lập bởi các tổ chức tương ứng nhằm giải quyết các
lĩnh vực cụ thể về kỹ thuật. ISO và Iec phối hợp trong các lĩnh vực liên quan
đến lợi ích của nhau. Các tổ chức quốc tế khác trong mối quan hệ với ISO, IEC, thuộc chính phủ cũng
như phi chính phủ đều tham gia vào công việc chung của ISO và IEC.

Các chuẩn quốc tế được dự thảo nhằm phù hợp với các quy tắc đã đưa ra trong ISO/IEC.

Trong lĩnh vực công nghệ thông tin, ISO và IEC đã thiết lập một hội đồng kỹ thuật chung ISO/IEC JTC 1.
Bản dự thảo chuẩn quốc tế ISO/IEC đã được chấp nhận bởi hội đồng kỹ thuật chung được đưa đến các
quốc gia để bầu cử. Sự xuất bản như một chuẩn quốc tế yêu cầu sự chấp thuận chung của ít nhất là
75% các quốc gia.

ISO và IEC sẽ không được nắm giữ các trách nhiệm cho việc phát triển và các quyền sáng chế.

Chuẩn quốc tế ISO/IEC 17799 được chuẩn bị bởi Viện tiêu chuẩn Anh (cụ thể là BS 7799) và được chấp
nhận dưới một "thủ tục lối mòn" (fast-track procedure) bởi Hội đồng kỹ thuật chung ISO/IEC JTC 1, Công
nghệ thông tin, song song với sự phê chuẩn từ các quốc gia trong các tổ chức ISO và IEC.

Giới thiệu

An toàn thông tin là gì ?

Thông tin là một loại tài sản, cũng như các loại tài sản quan trọng khác của một doanh nghiệp, có giá trị
cho một tổ chức và do đó, cần có nhu cầu để bảo vệ thích hợp. An toàn thông tin là bảo vệ thông tin
trước nguy cơ mất an toàn nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của doanh nghiệp,
giảm thiểu sự phá hoại doanh nghiệp và gia tăng tới mức tối đa các cơ hội kinh doanh và đầu tư phát
triển.

Thông tin có thể tồn tại dưới nhiều dạng. Thông tin có thể được in hoặc được viết trên giấy, được lưu trữ
dưới dạng điện tử, được truyền đi qua bưu điện hoặc dùng thư điện tử, được trình diễn trên các bộ phim,
hoặc được nói trên các cuộc đàm thoại. Nhưng cho dù thông tin tồn tại dưới dạng nào đi chăng nữa,
thông tin được đưa ra với 2 mục đích chính là chia sẻ và lưu trữ, nó luôn luôn cần sự bảo vệ thích hợp.

An toàn thông tin được mô tả ở đây là sự duy trì:

a) tính mật (confidentiality): đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép.

b) tính toàn vẹn (integrity): bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương pháp xử
lý;

c) sẵn sàng (availability): đảm bảo những người dùng hợp pháp mới được truy cập các thông tin và tài
sản liên quan khi có yêu cầu.

An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù hợp, đó có thể là
các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các
nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được đầy đủ các đối tượng của tổ chức cần
được bảo vệ.

Tại sao an toàn thông tin là nhu cầu thiết yếu

Thông tin và các quy trình hỗ trợ, các hệ thống máy móc, hệ thống mạng là các tài sản quan trọng đối với
một doanh nghiệp. Tính mật, tính toàn vẹn và tính sẵn sàng của thông tin là vấn đề sống còn tạo ra tính
cạnh tranh, vòng quay tài chính (cash-flow), là khả năng tạo ra lợi nhuận, vấn đề tuân thủ luật pháp và
các ý tưởng trong thương mại.

Thêm vào đó, các tổ chức cùng với các hệ thống thông tin, hệ thống mạng của doanh nghiệp phải đối
mặt với hàng loạt các nguy cơ về an toàn thông tin từ các nguồn tài nguyên, bao gồm các vấn đề về gian
lận có sự trợ giúp của máy tính, các hoạt động gián điệp, các hành động phá hoại, hỏa hoạn, lũ lụt….
Nguồn gốc của các sự phá hoại như virus máy tính, hacking, các tấn công từ chối dịch vụ đã trở nên phổ
biến, nhiều tham vọng và ngày càng trở nên phức tạp.

Ràng buộc vào các hệ thống thông tin và các dịch vụ nghĩa là các tổ chức càng có nhiều nguy cơ về an
toàn thông tin. Các kết nối mạng riêng cũng như mạng công cộng và vấn đề chia sẻ tài nguyên thông tin
càng làm cho vấn đề kiểm soát truy cập trở nên khó khăn hơn. Xu hướng sử dụng máy tính phân tán làm
giảm hiệu quả của việc quản lý tập trung, đặc biệt là vấn đề kiểm soát.

Rất nhiều hệ thống thông tin không được thiết kế một cách an toàn. Vấn đề an toàn có thể đạt được
thông qua kỹ thuật có nghĩa là được giới hạn và được hỗ trợ bởi các thủ tục và sự quản lý tương ứng.
Cần đặc biệt chú ý và cần có kế hoạch cụ thể khi đưa ra các quy tắc quản lý. Trong các yêu cầu quản lý
an toàn thông tin, yêu cầu tối thiểu là sự tham gia của các nhân viên trong tổ chức. Hơn thế nữa, là cần
sự tham gia của các nhà cung cấp, khách hàng và các cổ đông :D. Các ý kiến chuyên gia ngoài tổ chức
cũng là một trong các nhu cầu mang tính cần thiết.

Các sự kiểm soát an toàn thông tin được coi là rẻ hơn và hiệu quả hơn đáng kể nếu kết hợp được chặt
chẽ các giai đoạn thiết kế và đặc tả yêu cầu.

Làm thế nào để thiết lập các yêu cầu về an toàn thông tin

Đây là vấn đề then chốt đối với một tổ chức nhằm đưa ra các yêu cầu về an toàn thông tin. Có 3 xuất
phát điểm:

Thứ nhất là xuất phát từ việc định giá các rủi ro trong tổ chức. Thông qua việc định giá các rủi ro này các
mối đe dọa đối với tài sản của công ty sẽ dần được hình thành, có thể đánh giá được các nguy cơ có thể
xảy ra và ước tính các ảnh hưởng tiềm ẩn.

Thứ hai là xuất phát từ các yêu cầu thuộc về luật pháp, do luật pháp ban hành và điều tiết cũng như các
yêu cầu hợp đồng mà một tổ chức, các đối tác của họ, các nhà thầu (contractor) và các nhà cung cấp
dịch vụ phải đáp ứng.

Thứ ba là xuất phát từ các nguyên tắc cụ thể, các đối tượng và các yêu cầu phục vụ cho quy trình xử lý
thông tin mà một tổ chức đã phát triển nhằm hỗ trợ cho hoạt động của công ty.

Định giá các rủi ro về an toàn (Assessing security risks)

Các yêu cầu về an toàn thông tin được xác định bằng phương pháp định giá các rủi ro về an toàn. Vấn
đề chi phí trên các sự kiểm soát cần được cân nhắc kỹ lưỡng đối với sự thiệt hại trong kinh doanh do sự
mất đi tính an toàn. Các kỹ thuật định giá rủi ro có thể được áp dụng trong tổ chức, hoặc chỉ một bộ phận
của tổ chức, như các hệ thống thông tin cá nhân, các thành phần hệ thống xác định hoặc các dịch vụ, …
mang tính chất khả thi, thực tế và hữu ích.

Đánh giá rủi ro là một vấn đề có tính chất hệ thống của:

a). sự thiệt hại trong kinh doanh do mất đi tính mặt an toàn, dẫn đến các hậu quả tiềm ẩn như làm mất đi
tính mật, tính toàn vẹn hoặc tính sẵn sàng của thông tin và các tài sản khác;

b). trên thực tế khả năng mất tính an toàn xảy ra trong các tình huống như xem nhẹ các nguy cơ đe dọa
và các quy tắc triển khai hiện tại.

Kết quả của việc đánh giá sẽ hướng dẫn và xác định các hành động quản lý tương ứng và mức độ ưu
tiên cho vấn đề quản lý các rủi ro an toàn thông tin, và cho việc triển khai các quy tắc đã lựa chọn để bảo
vệ các rủi ro này. Quá trình đánh giá các rủi ro và lựa chọn các quy tắc cần được thực hiện nhiều lần
nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân.

Đó là vấn đề quan trọng để tiến hành một cách định kỳ nhằm review lại các rủi ro về an toàn cũng như
các quy tắc đã triển khai để:

a). đưa ra các thay đổi về các yêu cầu cũng như mức độ ưu tiên trong kinh doanh.

b). rà soát các nguy cơ và các mối đe dọa mới.

c). xác nhận lại các quy tắc còn hiệu quả và thích hợp.

Việc xem xét nên được thực hiện ở các mức độ khác nhau về chiều sâu phụ thuộc vào các kết quả đánh
giá lần trước và việc thay đổi mức độ rủi ro mà nhà quản lý sẵn sàng cho việc chấp nhận. Đánh giá rủi ro
thường được tiến hành đầu tiên ở mức độ cao, như quyền ưu tiên về các tài nguyên trong lĩnh vực có
nguy cơ rủi ro cao, sau đó đến các mức độ cụ thể hơn, và cuối cùng là đến các rủi ro cụ thể.

Chọn lựa quy tắc (Selecting controls)

Khi đã xác định được các yêu cầu về an toàn, cần bắt đầu bằng việc chọn lựa và triển khai các quy tắc
nhằm giảm thiểu rủi ro tới mức có thể chấp nhận được. Có thể chọn lựa các quy tắc từ tài liệu này hoặc
từ các tập quy tắc khác, hoặc có thể thiết kế các quy tắc mới sao cho phù hợp với yêu cầu đặt ra. Có
nhiều cách để quản lý rủi ro và tài liệu này cung cấp cách tiếp cận chung qua các ví dụ. Tuy nhiên, điều
cần thiết là phải nhận biết một số quy tắc không thể áp dụng cho mọi môi trường và hệ thống thông tin,
và cũng có thể không thể áp dụng cho mọi tổ chức. VD 8.1.4 mô tả cần phân bổ nhiệm vụ như thế nào
nhằm ngăn chặn vấn đề gian lận và các lỗi. Có thể nó không phù hợp với các tổ chức nhỏ trong việc
phân bổ mọi nhiệm vụ còn các cách khác lại có thể đạt được mục tiêu của quy tắc này cho tổ chức.

Một ví dụ khác, 9.7 và 12.1 mô tả làm thế nào để hệ thống có thể được giám sát và tự bảo vệ. Các quy
tắc đã mô tả như event log có thể mâu thuẫn về vấn đề luật pháp như bảo vệ thông tin cá nhân cho
khách hàng hoặc trong công sở.

Nếu xuất hiện các lỗ hổng về an toàn, sự chọn lựa các quy tắc cần dựa trên chi phí triển khai nhằm giảm
thiểu các rủi ro và nguy cơ mất mát thông tin. Cũng cần đưa ra các nhân tố phi tài chính như sự làm ảnh
hưởng đến uy tín, thương hiệu của tổ chức.

Các quy tắc trong tài liệu này có thể coi là các nguyên lý hướng dẫn cho vấn đề quản lý an toàn thông tin
và có thể áp dụng cho các tổ chức, và sẽ được thảo luận cụ thể hơn trong phần "Xuất phát điểm của an
toàn thông tin" dưới đây.

Xuất phát điểm của an toàn thông tin

Information security starting point

Nhiều quy tắc có thể xem là nguyên lý cung cấp xuất phát điểm tốt cho việc triển khai an toàn thông tin.
Các quy tắc này hoặc là dựa trên các yêu cầu về luật pháp hoặc là được xem là nguyên tắc chung nhất
cho vấn đề an toàn thông tin.

Xuất phát từ quan điểm luật pháp, các quy tắc được coi là thiết yếu đối với một tổ chức bao gồm:

a). bảo vệ dữ liệu và tính riêng tư của các thông tin cá nhân (xem 12.1.4)

b). an toàn các hồ sơ của tổ chức (12.1.3)

c). quyền sở hữu tài sản trí tuệ (12.1.2)

Các quy tắc được xem là các nguyên lý chung nhất cho vấn đề an toàn thông tin bao gồm:

a) tài liệu về chính sách an toàn thông tin (3.1)

b) đưa ra các trách nhiệm về vấn đề an toàn thông tin (4.1.3);

c) đào tạo và giáo dục về an toàn thông tin (6.2.1)

d) báo cáo các vấn đề về an toàn thông tin (6.3.1)

e) quản lý tính liên tục trong kinh doanh (11.1)

Các quy tắc này được áp dụng cho hầu hết các tổ chức và trong hầu hết các môi trường. Lưu ý rằng mặc
dù các quy tắc trong tài liệu này quan trọng, nhưng tính phù hợp của từng quy tắc cần được xác định
dưới các rủi ro mà tổ chức phải đối mặt. Vì vậy, mặc dù cách tiếp cận ở trên được coi là một xuất phát
điểm tốt, nhưng nó không thể thay thế sự lựa chọn các quy tắc dựa trên việc đánh giá rủi ro.

Các nhân tố quyết định sự thành công

Critical success factors

Kinh nghiệm cho thấy rằng, các nhân tố dưới đây thường quyết định sự thành công trong việc triển khai
vấn đề an toàn thông tin trong một tổ chức:

a). chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh nghiệp;

b). cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức;

c). các sự hỗ trợ tâm huyết từ các nhà quản lý;

d). sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro;

e). phổ biến vấn đề an toàn cho tất cả các nhà quản lý cũng như các nhân viên;

f). đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn cho mọi nhân viên cũng như các
nhà thầu;
g). có sự đào tạo và giáo dục thích hợp;

h). sử dụng các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có tính ổn
định, tính toàn diện và đưa ra các đề xuất nhằm cải thiện tốt hơn.

Phát triển các nguyên tắc chỉ đạo

Developing your own guidelines

Nguyên lý này có thể được xem như xuất phát điểm cho sự phát triển các đường lối/nguyên tắc chỉ đạo
cho tổ chức. Không phải mọi nguyên tắc quản lý và chỉ đạo trong tập hợp các nguyên tắc này đều có thể
áp dụng được. Hơn nữa, các sự quản lý không có trong tài liệu này cũng có thể hoàn toàn cần đến. Khi
đó, điều này rất hữu ích làm các tham chiếu, tạo ra thuận lợi trong việc kiểm tra của các soạn giả và các
doanh nghiệp.

CÔNG NGHỆ THÔNG TIN – NGUYÊN TẮC QUẢN LÝ AN TOÀN THÔNG TIN

1 Mục tiêu

Chuẩn này đưa ra khuyến nghị về vấn đề quản lý an toàn thông tin cho những người giữ vai trò đề
xướng, triển khai và bảo trì vấn đề an toàn cho tổ chức. Mục tiêu là cung cấp nền tảng chung cho việc
phát triển các chuẩn về an toàn thông tin và nguyên tắc quản lý an toàn thông tin hiệu quả đồng thời
cung cấp tính tin cậy cho tổ chức. Các khuyến nghị xuất phát từ chuẩn này cần được chọn lọc và sử
dụng sao cho phù hợp với quy định luật pháp.

2 Các thuật ngữ và định nghĩa

Các thuật ngữ được đưa ra trong tài liệu này bao gồm:

2.1 An toàn thông tin (Information security)

Đảm bảo tính mật, tính toàn vẹn và tính sẵn sàng thông tin.

- Tính mật (Confidentiality) - Đảm bảo thông tin chỉ có thể truy cập bởi những người dùng có quyền truy
cập.

- Tính toàn vẹn (Integrity) - Bảo vệ tính chính xác và đầy đủ của thông tin cùng với các biện pháp xử lý.

- Tính sẵn sàng (Availability) - Đảm bảo những người dùng hợp pháp, khi có yêu cầu, hoàn toàn có thể
truy cập thông tin và các tài sản có liên quan.

2.2 Đánh giá rủi ro (Risk assessment)

Sự đánh giá các mối đe dọa, khả năng ảnh hưởng và các nguy cơ về an toàn thông tin, các khả năng xử
lý thông tin cũng như khả năng xảy ra các sự cố về an toàn thông tin.

2.3 Quản lý rủi ro (Risk management)

Các quá trình xác định, quản lý và giảm thiểu hoặc đánh giá các rủi ro an toàn có thể ảnh hưởng đến các
hệ thống thông tin, đưa ra chi phí có thể chấp nhận được.

3 Chính sách an toàn (Security policy)

3.1 Chính sách an toàn thông tin (Information security policy)

Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin.

Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết về an toàn
thông tin thông qua việc đưa ra và duy trì các chính sách về an toàn thông tin đối với một tổ chức.

3.1.1 Tài liệu chính sách an toàn thông tin (Information security policy document)

Tài liệu chính sách cần được phê chuẩn bởi nhà quản lý và cung cấp phổ biến cho mọi nhân viên, thêm
vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông tin.Tối thiểu là bao gồm:

a) định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiết lập cơ chế cho việc
chia sẻ thông tin (tham chiếu phần giới thiệu);

b) đưa ra mục tiêu của sự quản lý, hỗ trợ mục đích và nguyên lý của an toàn thông tin

c) bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có tính chất quan
trọng cho một tổ chức, ví dụ như:

1) đúng theo luật pháp và các yêu cầu hợp đồng

2) các yêu cầu về kiến thức an toàn

3) ngăn chặn và nhận dạng virus và các phần mềm hiểm độc khác;

4) quản lý tính liên tục trong kinh doanh;

5) các hậu quả của sự vi phạm các chính sách an toàn thông tin

d) định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin bao gồm các báo cáo
về các vấn đề an toàn nói chung.

e) tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông tin và các
thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người dùng.

Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng có liên quan.

3.1.2 Nhận xét và đánh giá (Review and evaluation)

Cần có người chịu trách nhiệm cho việc duy trì và đánh giá các chính sách theo quá trình đã nhận xét ở
phần trên. Quá trình đó cần đảm bảo rằng các nhận xét đưa ra cần được thực hiện nhằm tạo ra các thay
đổi có ảnh hưởng cơ bản đến sự đánh giá rủi ro ban đầu, chẳng hạn như các sự cố an toàn mang tính
chất quan trọng, các nguy cơ mới hoặc các thay đổi về cơ sở hạ tầng kỹ thuật trong tổ chức.

Quá trình đó cần được ghi lại theo một trình tự, các nhận xét có tính định kỳ như dưới đây:

a) tính hiệu quả của các chính sách, số lượng cũng như các tác động của các vấn đề bảo mật đã ghi lại,
…

b) chi phí và ảnh hưởng của các quy tắc đến hiệu quả kinh doanh.

c) hiệu quả của việc thay đổi kỹ thuật.

4 Vấn đề an toàn trong tổ chức (Organizational security)

4.1 Cơ sở hạ tầng về an toàn thông tin (Information security infrastructure)

Mục tiêu: Nhằm quản lý an toàn thông tin trong một tổ chức.

Cần thiết lập phạm vi quản lý nhằm khởi xướng và kiểm soát vấn đề triển khai an toàn thông tin trong
một tổ chức.

Cần thiết lập sự quản lý các diễn đàn với phương pháp quản lý phù hợp nhằm chứng tỏ chính sách an
toàn thông tin, đưa ra các vai trò an toàn và phối hợp nhằm triển khai vấn đề an toàn cho tổ chức. Nếu
cần thiết, cũng nên có sự tư vấn của các chuyên gia an toàn thông tin nhằm tạo ra tính sẵn sàng trong tổ
chức. Việc liên lạc với các chuyên gia bên ngoài cần được đẩy mạnh nhằm bắt kịp với xu hướng công
nghệ, theo dõi các chuẩn và các phương pháp đánh giá đồng thời cung cấp các điểm liên hệ khi phải đối
mặt với các vấn đề về an toàn thông tin.

Các vấn đề về an toàn thông tin cần được khuyến khích nhằm đưa dần vào kỷ luật, như phối hợp và
cộng tác giữa các người quản lý, người dùng, người quản trị, các nhà thiết kế ứng dụng, kiểm toán và
các nhân viên bảo mật, và các chuyên gia trong các lĩnh vực như bảo hiểm và quản lý rủi ro.

4.1.1 Quản lý diễn đàn an toàn thông tin (Management information security forum)

An toàn thông tin là trách nhiệm của doanh nghiệp, là trách nhiệm của các nhà quản lý. Do sự quản lý
diễn đàn nhằm là định hướng rõ nhất và hỗ trợ cho việc giải quyết các vấn đề về an toàn nên vấn đề này
cũng cần chú ý. Diễn đàn này cần được đẩy mạnh tính an toàn trong phạm vi tổ chức thông qua các
trách nhiệm cũng như các tài nguyên liên quan. Diễn đàn này có thể coi là một bộ phận của người quản
lý. Ví dụ như, một diễn đàn đảm bảo các vấn đề sau:

a) Đánh giá và xác nhận các chính sách an toàn thông tin bao gồm cả các trách nhiệm.

b) giám sát các thay đổi mang tính quan trọng qua truyền hình, báo chí về tài sản cũng như các mối đe
dọa nói chung.

c) đánh giá và giám sát các vấn đề an toàn thông tin;

d) tán thành các sáng kiến nhằm đề cao vấn đề an toàn thông tin

Người quản lý có trách nhiệm đối với mọi hành động liên quan đến vấn đề an toàn.

4.1.2 Phối hợp về vấn đề an toàn thông tin (Information security co-ordination)

Trong một tổ chức quy mô lớn, vấn đề quản lý diễn đàn chồng chéo thể hiện từ bộ phận liên quan trong
tổ chức là yếu tố cần thiết để kết hợp nhằm triển khai các quy tắc an toàn thông tin. Tiêu biểu như một
diễn đàn:

a) thống nhất vai trò và trách nhiệm cho vấn đề an toàn thông tin thông qua tổ chức;

b) thống nhất các phương pháp và quy trình cho vấn đề an toàn thông tin như đánh giá rủi ro, phân loại
hệ thống an toàn;

c) thống nhất và hỗ trợ xuất phát điểm của vấn đề an toàn thông tin trong toàn tổ chức, như chương trình
nhận thức về an toàn;
d) đảm bảo rằng vấn đề an toàn là một bộ phận của quy trình lập kế hoạch thông tin;

e) đánh giá mức độ đầy đủ và phối kết hợp của việc triển khai các quy tắc an toàn thông tin cho các hệ
thống và dịch vụ mới;

f) đánh giá các vấn đề về an toàn thông tin;

g) đẩy mạnh tầm nhìn doanh nghiệp cho vấn đề an toàn thông tin trong toàn tổ chức.

4.1.3 Phân bổ trách nhiệm an toàn thông tin (Allocation of information security responsibilities)

Cần được xác định rõ trách nhiệm cho đối với việc bảo vệ các tài sản cá nhân và thực hiện các quy trình
an toàn.

Chính sách an toàn thông tin (Phần 3) cần có hướng dẫn trên cơ sở phân bổ vai trò và trách nhiệm an
toàn trong tổ chức. Phần này cần được bổ sung nếu cần thiết, cụ thể là cho từng địa điểm, từng hệ thống
và từng dịch vụ. Các trách nhiệm đối với các tài sản thông tin cũng như tài sản vật lý thuộc về cá nhân và
các quy trình an toàn, như kế hoạch kinh doanh, cũng cần được xác định rõ.

Đối với nhiều tổ chức, người quản lý an toàn thông tin sẽ đưa ra trách nhiệm cho sự phát triển và triển
khai an toàn đồng thời hỗ trợ việc xác định các quy tắc quản lý.

Tuy nhiên, các trách nhiệm đối với tài nguyên và sự triển khai các quy tắc thường thuộc về các cá nhân
quản lý. Một nguyên tắc chung là giao cho người sử hữu tài sản thông tin đi kèm với trách nhiệm về an
toàn cho tài sản đó hàng ngày.

Người sở hữu tài sản thông tin có thể ủy nhiệm trách nhiệm về an toàn của họ cho cá nhân người quản
lý hoặc các nhà cung cấp dịch vụ. Tuy nhiên, suy cho cùng, về mặt pháp lý, những người sở hữu này
phải chịu trách nhiệm cho vấn đề an toàn của tài sản và có thể xác định bất kỳ trách nhiệm ủy quyền nào
đã được hủy bỏ hay chưa.

Về cơ bản, đối với mỗi lĩnh vực, mỗi nhà quản lý phải có trách nhiệm rất rõ ràng, cụ thể là cần đưa ra
như sau:

a) Các tài sản khác nhau cũng như các quy trình về an toàn liên quan đến từng hệ thống cá nhân cần
được xác định và đưa ra một cách rõ ràng.

b) Trách nhiệm của nhà quản lý đối với mỗi loại tài sản, hoặc là mỗi quy trình đều được sự thỏa thuận và
cụ thể hóa trách nhiệm bằng văn bản.

c) Mức độ về quyền hạn cũng cần được xác định rõ và đưa ra văn bản.

4.1.4 Quá trình cấp phép cho các tài sản tham gia vào quá trình xử lý thông tin (Authorization process for
information processing facilities)

Cần thiết lập quá trình quản lý cấp phép cho các tài sản mới được tham gia vào quá trình xử lý thông tin.

Các quy tắc sau đây cần được lưu ý.

a) Các tài sản mới cần được quản lý tương ứng về mặt người sử dụng, cấp phép cho mục đích và cách
sử dụng chúng. Sự chấp nhận này thu được từ nhà quản lý chịu trách nhiệm bảo trì môi trường an toàn
hệ thống thông tin cục bộ nhằm đảm bảo rằng mọi chính sách an toàn có liên quan cũng như các yêu
cầu là phù hợp với nhau.

b) Nếu cần, phải kiểm tra phần cứng và phần mềm nhằm đảm bảo rằng chúng tương thích với các thành
phần hệ thống khác.

c) Việc sử dụng các chức năng xử lý thông tin cá nhân trong kinh doanh cũng như bất kỳ các quy tắc cần
thiết khác cần được cấp phép.

d) Việc sử dụng các tài sản cá nhân trong quá trình xử lý thông tin nơi làm việc có thể là nguyên nhân
gây ra các nguy cơ tiềm ẩn mới, chính vì vậy cũng cần được đánh giá và cấp phép.

Các quy tắc này đặc biệt quan trọng trong môi trường mạng lưới.

4.1.5 Lời khuyên của chuyên gia an toàn thông tin (Specialist information security advice)

Rất nhiều tổ chức cần sự giúp đỡ của các chuyên gia. Về mặt ý tưởng, một cố vấn về an toàn thông tin là
rất cần thiết. Nhưng không phải mọi tổ chức đều muốn thuê một chuyên gia cố vấn. Trong những trường
hợp này, cần có sự phối hợp của các cá nhân cụ thể nhằm đảm bảo tính bền vững, cung cấp các sự trợ
giúp để đưa ra quyết định. Thường thì họ tiếp xúc với các chuyên gia bên ngoài để đúc rút kinh nghiệm.

Nhưng cho dù là các chuyên gia thuộc doanh nghiệp hoặc chuyên gia bên ngoài cũng có thể là các đầu
mối liên lạc thì đều cần được phối hợp nhằm cung cấp các lời khuyên trong mọi lĩnh vực an toàn thông
tin. Chất lượng đánh giá các sự đe dọa an toàn và các lời khuyên về quy tắc quản lý sẽ phần nào xác
định được tính hiệu quả của vấn đề an toàn thông tin của tổ chức.

Các lời khuyên về an toàn thông tin cũng như các đầu mối liên lạc cần được phối hợp sớm nhất có thể
đối với những sự cố khả nghi, …. Mặc dù các sự điều tra an toàn thông tin bên trong sẽ được thực hiện
dưới các quy tắc quản lý, nhưng cũng cần lời khuyên của các chuyên gia an toàn thông tin nhằm dẫn
hướng hoặc chỉ đạo cho sự điều tra.

4.1.6 Phối hợp giữa các tổ chức (Co-operation between organizations)

Cần duy trì sự liên lạc giữa các cấp có thẩm quyền, vấn đề điều tiết lao động, các nhà cung cấp dịch vụ
thông tin và truyền thông nhằm đảm bảo rằng có thể đưa ra các hành động thích hợp một cách nhanh
nhất có thể cũng như thu thập được các khuyến cáo đối với các vấn đề về an toàn. Hoàn toàn tương tự
như vậy, các thành viên của các nhóm an toàn và của các diễn đàn kinh doanh cũng cần được quan tâm.

Mặt khác, cần hạn chế các sự trao đổi thông tin về bảo mật nhằm đảm bảo tính mật của thông tin trong tổ
chức nhằm ngăn chặn những người bất hợp pháp.

4.1.7 Cái nhìn khách quan về an toàn thông tin (Independent review of information security)

Tài liệu về chính sách an toàn thông tin (xem 3.1) đã trình bày các chính sách và các nhiệm vụ tương
ứng cho vấn đề an toàn thông tin. Sự triển khai cần được xem xét đánh giá một cách khách quan nhằm
cung cấp sự bảo đảm rằng các quy tắc trong tổ chức tác động đến các chính sách như thế nào cũng như
tính khả thi và hiệu quả của việc triển khai (xem 12.2).

Việc đánh giá cần được thực hiện bởi một chức năng kiểm định bên trong một tổ chức, một nhà quản lý
độc lập hoặc một tổ chức thứ 3 chuyên về đánh giá.

4.2 An toàn đối với sự truy cập của tổ chức thứ 3 (Security of third party access)
Mục tiêu: Nhằm duy trì tính an toàn cho vi

Đó là các yêu cầu nghiệp vụ cần cho sự truy cập của tổ chức thứ 3, vấn đề quản lý rủi ro cần được thực
hiện nhằm xác định sự liên quan cũng như các yêu cầu quản lý về an toàn. Các nguyên tắc cần được
thỏa thuận và xác định rõ trong hợp đồng đối với tổ chức thứ 3.

Việc truy cập của tổ chức thứ 3 có thể gồm các người tham gia khác. Các hợp đồng về sự truy cập của
bên thứ 3 cần được tính đến sự lựa chọn những người tham gia này, có thể đưa ra yêu cầu về cấp bậc
cũng như điều kiện của việc truy cập đối với từng người tham gia.

Tiêu chuẩn này được sử dụng là nền tảng như hợp đồng khi xem xét việc thuê khoán xử lý thông tin.

4.2.1 Nhận biết các rủi ro từ sự truy cập của tổ chức thứ 3(Identification of risks from third party access)

4.2.1.1 Các kiểu truy cập (Types of access)

Kiểu truy cập đưa ra cho tổ chức thứ 3 là vấn đề hết sức quan trọng. Ví dụ, các rủi ro của việc quản lý kết
nối mạng khác so với các rủi ro từ việc truy cập vật lý. Các kiểu truy cập cần được tính đến là:

a) truy nhập vật lý như: văn phòng, phòng máy, tủ tài liệu;

b) truy nhập logic như: cơ sở dữ liệu của tổ chức, các hệ thống thông tin.

4.2.1.2 Lý do truy cập (Reasons for access)

Tổ chức thứ 3 có thể được quyền truy cập với một số lý do. Ví dụ, tổ chức thứ 3 là cung cấp dịch vụ cho
tổ chức và không có trụ sở nhưng có thể được quyền truy cập logic cũng như truy cập vật lý, như:

a) các nhân viên hỗ trợ phần cứng và phần mềm, những người cần truy cập mức hệ thống hoặc các
chức năng ứng dụng mức thấp;

b) các đối tác hoặc các liên doanh, những người có thể trao đổi thông tin, truy cập hệ thống thông tin
hoặc chia sẻ cơ sở dữ liệu.

Thông tin có thể gặp rủi ro từ việc truy cập của tổ chức thứ 3 cùng với vấn đề quản lý an toàn thiếu chặt
chẽ. Tại đó, có yêu cầu nghiệp vụ để liên kết với tổ chức thứ 3 tiến hành thực hiện việc xác định các thủ
tục cho các quy tắc quản lý nhất định. Nó cần được đưa vào danh mục kiểu truy cập được yêu cầu, giá
trị của thông tin, các quy tắc đã thuê tổ chức thứ 3 cũng như các vấn đề liên quan đến vấn đề an toàn
thông tin tổ chức của sự truy cập này.

4.2.1.3 Phía nhà thầu (On-site contractors)

Tổ chức thứ 3 chịu trách nhiệm về các yếu điểm bảo mật có thể xảy ra như trong hợp đồng mà họ đã
định trước. Chẳng hạn như:

a) nhân viên hỗ trợ và bảo trì phần cứng và phần mềm

b) dọn dẹp, phục vụ, bảo vệ và các dịch vụ hỗ trợ đã thuê khoán khác;

c) sắp đặt việc làm cho các sinh viên và bổ nhiệm những việc làm trong thời gian ngắn;

d) tư vấn.

Vấn đề là biết được quy tắc nào cần thiết để quản lý việc truy cập của tổ chức thứ 3 tới các tài sản xử lý
thông tin. Nhìn chung, các yêu cầu về bảo mật cho dù là xuất phát từ việc truy cập của một tổ chức thứ 3
hay đó là quy tắc trong tổ chức đều phải được phản ánh rõ trong hợp đồng (xem 4.2.2).

Ví dụ, nếu có một yêu cầu đặc biệt cho tính mật của thông tin thì các thỏa thuận trong hợp đồng cũng
phải mang tính mật (xem 4.2.2).

Không nên đưa ra cho tổ chức thứ 3 quyền truy cập tới các tài sản xử lý thông tin trước khi triển khai các
quy tắc phù hợp và ký hợp đồng phối hợp.

4.2.2 Các yêu cầu bảo mật trong hợp đồng với đơn vị thứ 3 (Security requirements in third party
contracts)

Việc sắp xếp cho tổ chức thứ 3 truy cập tài sản xử lý thông tin cần dựa trên một hợp đồng chính thức
hoặc tham chiếu các yêu cầu về bảo mật nhằm đảm bảo việc chấp hành các tiêu chuẩn và các chính
sách an toàn của tổ chức. Hợp đồng cần được đảm bảo rằng sẽ không có bất cứ một sự hiểu lầm nào
giữa tổ chức và đơn vị thứ 3. Các tổ chức cần được đưa ra cho các nhà cung cấp của họ các bằng
chứng để được bồi thường khi có vấn đề xảy ra. Các điều khoản dưới đây cần được đưa vào hợp đồng:

a) các chính sách chung về an toàn thông tin;

b) sự bảo vệ tài sản, bao gồm:

a. thủ tục để bảo vệ các tài sản thuộc về tổ chức, bao gồm thông tin và phần mềm;

b. thủ tục để xác định đối với từng loại tài sản bị xâm phạm, như mất, sai lệch dữ liệu, ….;

c. các quy tắc nhằm đảm bảo bản thống kê, tình trạng của thông tin và tài sản ở cuối hợp đồng, hoặc
theo từng giai đoạn khác nhau;

d. tính toàn vẹn và tính sẵn sàng;

e. hạn chế sự sao chép và phổ biến thông tin;

c) mô tả từng dịch vụ để tạo ra sự sẵn sàng;

d) mục tiêu của dịch vụ và mức độ không thể chấp nhận của dịch vụ;

e) dự phòng cho việc thuyên chuyển nhân viên một cách thích hợp;

f) trách nhiệm về pháp lý đối với từng cá nhân của bên tham gia thỏa thuận;

g) trách nhiệm đối với các vấn đề pháp lý, như luật bảo vệ dữ liệu, đặc biệt là đưa vào danh mục hệ
thống luật pháp quốc gia nếu hợp đồng có sự phối hợp với các tổ chức quốc tế (xem 12.1);

h) quyền sở hữu trí tuệ (IPRs) và vấn đề bản quyền (xem 12.1.1) cũng như bảo vệ cơ chế cộng tác (xem
6.1.3)

i) các thỏa thuận về quy tắc truy cập, bao gồm:

a. phương thức được phép truy cập, và các quy tắc và việc sử dụng các định danh mang tính cá nhân
như user ID và password;

b. quá trình cấp phép truy cập cũng như đặc quyền người dùng
c. các yêu cầu để duy trì một danh sách cá nhân đã cấp phép để sử dụng các dịch vụ nhằm tạo ra tính
sẵn sàng cũng như các quyền hạn tương ứng với việc sử dụng;

j) có thể đưa ra điều kiện để thực hiện được việc kiểm tra, giám sát và báo cáo về các vấn đề đó;

k) quyền giám sát, hủy bỏ, hoạt động người dùng;

l) quyền kiểm tra các trách nhiệm theo hợp đồng hoặc nắm các quyền kiểm tra đó để kiểm tra việc thực
hiện của đơn vị thứ 3;

m) thiết lập từng bước cho quá trình quyết vấn đề, việc sắp xếp ngẫu nhiên cần được xem xét cho phù
hợp;

n) các trách nhiệm cài đặt và bảo trì phần cứng, phần mềm;

o) cấu trúc báo cáo rõ ràng và mẫu báo cáo phải được thống nhất trước;

p) quy trình quản lý các thay đổi cần được xác định rõ ràng;

q) phải có cơ chế và quy tắc bảo vệ về mặt vật lý nhằm đảm bảo các sự kiểm soát sau này.

r) vấn đề đào tạo người quản trị, người dùng về phương pháp, thủ tục cũng như vấn đề an toàn;

s) vấn đề kiểm soát nhằm bảo vệ chống lại các phần mềm độc hại (xem 8.3);

t) sắp xếp báo cáo, thông báo và điều tra các sự cố cũng như lỗ hổng về bảo mật;

u) sự liên quan của tổ chức thứ 3 với các nhà thầu phụ.

4.3 Thuê khoán (Outsourcing)

Mục tiêu: Nhằm đảm bảo tính bảo mật thông tin khi các trách nhiệm xử lý thông tin được thuê khoán cho
một tổ chức khác.

Việc chuẩn bị kế hoạch thuê khoán cần đưa ra các rủi ro, các quy tắc kiểm soát an toàn và các thủ tục
đối với các hệ thống thông tin, môi trường mạng cũng như máy đơn lẻ trong hợp đồng giữa các bên
tham gia.

4.3.1 Các yêu cầu bảo mật trong hợp đồng thuê khoán (Security requirements in outsourcing contracts)

Các yêu cầu bảo mật trong việc quản lý tổ chức thuê khoán và kiểm soát một số hoặc tất cả các hệ thống
thông tin, môi trường mạng hoặc các máy đơn lẻ cần được phản ánh rõ trong hợp đồng giữa các bên
tham gia.

Ví dụ, hợp đồng cần đưa ra:

a) các yêu cầu về luật pháp thế nào là phù hợp, ví dụ luật bảo vệ dữ liệu;

b) những điều khoản nào sẽ được đưa ra nhằm đảm bảo các bên tham gia trong việc thuê khoán (bao
gồm cả các nhà thầu phụ) nhận thức về trách nhiệm bảo mật của họ;

c) kiểm tra và đảm bảo tính toàn vẹn và tính mật của các tài sản kinh doanh thuộc tổ chức như thế nào;

d) dùng sự kiểm soát vật lý, logic nào để hạn chế sự truy cập tới các thông tin kinh doanh nhạy cảm của
tổ chức cho những người dùng hợp pháp;

e) cần duy trì tính sẵn sàng của dịch vụ như thế nào đối với vấn đề thảm họa;

f) mức độ an toàn vật lý cung cấp cho các thiết bị thuê khoán là gì;

g) quyền kiểm soát.

Các thuật ngữ đã đưa ra trong danh sách 4.2.2 cần được xem là một phần của bản hợp đồng này. Hợp
đồng cũng cần cho phép mở rộng các yêu cầu bảo mật cũng như các thủ tục trong kế hoạch quản lý bảo
mật đã được thống nhất giữa hai bên tham gia.

Mặc dù hợp đồng thuê khoán có thể đưa ra một số câu hỏi bảo mật phức tạp, các quy tắc trong nguyên
tắc quản lý cần được đáp ứng như là xuất phát điểm cho việc thống nhất cấu trúc và nội dung của kế
hoạch quản lý bảo mật.

5 Kiểm soát và phân loại tài sản (Asset classification and control)

5.1 Trách nhiệm giải trình tài sản (Accountability for assets)

Mục tiêu: Nhằm đảm bảo rằng biện pháp bảo vệ cho các tài sản thuộc tổ chức là thích hợp.

Mọi tài sản thông tin chủ yếu cần được liệt kê và bổ nhiệm người sở hữu. Trách nhiệm giải trình các tài
sản sẽ đảm bảo rằng sự bảo vệ cho loại tài sản đó là hợp lý. Người sở hữu cần nhận biết tất cả các loại
tài sản chính và đưa ra các trách nhiệm cho việc đảm bảo sự kiểm soát một cách hợp lý. Trách nhiệm đối
với các sự kiểm soát đang triển khai có thể được ủy nhiệm. Trách nhiệm giải trình cần giữ nguyên với

5.1.1 Kiểm kê tài sản (Inventory of assets)

Việc kiểm kê tài sản làm cho việc tiến hành các biện pháp bảo vệ tài sản hiệu quả, và có thể được yêu
cầu cho các mục đích khác như y tế, an toàn, bảo hay tài chính (quản lý tài sản). Việc đưa ra một bản
kiểm kê tài sản là rất quan trọng của quản lý rủi ro. Một tổ chức hoàn toàn có thể định rõ các tài sản, các
giá trị liên quan cùng với mức độ quan trọng của các tài sản này. Dựa vào các thông tin đó, tổ chức có
thể đưa ra mức độ bảo vệ thích hợp so với giá trị và mức độ quan trọng của loại tài sản. Một bản kiểm kê
tài sản cần được sắp xếp và đưa ra các tài sản quan trọng liên quan đến từng hệ thống thông tin. Mỗi
loại tài sản cần được xác định rõ ràng quyền sở hữu của nó và phân loại bảo mật (xem 5.2) đã được
thống nhất và có văn bản, cùng với vị trí hiện tại (quan trọng khi mà cố gắng phục hồi từ sự mất mát và
hỏng hóc). Ví dụ về các tài sản liên quan đến các hệ thống thông tin như:

a) tài sản thông tin: cơ sở dữ liệu và file dữ liệu, hệ thống văn bản, hướng dẫn người dùng, tài liệu đào
tạo, các thủ tục hỗ trợ hay hoạt động, tính liên tục trong kế hoạch, sắp đặt dự phòng, thông tin lưu trữ;

b) tài sản phần mềm: phần mềm ứng dụng, phần mềm hệ thống, công cụ phát triển và các tiện ích;

c) tài sản vật lý: thiết bị máy tính (bộ xử lý, màn hình, máy xách tay, modem), các thiết bị truyền thông
(router, PABX, máy fax, answer machine), phương tiện truyền thông (băng, đĩa), các thiết bị kỹ thuật
khác (nguồn nuôi, điều khiển), đồ đạc, …

d) dịch vụ: các dịch vụ truyền thông và dịch vụ điện toán, tiện ích nói chung như làm nóng, nguồn điện,
điều hòa.
5.2 Phân loại thông tin (Information classification)

Mục tiêu: Đảm bảo các tài sản thông tin có mức độ bảo vệ thích hợp. Thông tin cần được phân loại nhằm
nắm được yêu cầu, các quyền ưu tiên cũng như mức độ bảo vệ. Mức độ nhạy cảm cũng như mức độ
quan trọng của thông tin là rất khác nhau. Có nhiều loại thông tin yêu cầu tăng mức độ bảo vệ hoặc cần
sự xử lý đặc biệt. Một hệ thống phân loại thông tin được sử dụng để xác định một tập các mức độ bảo vệ
sao cho phù hợp với mỗi loại thông tin, cũng như chuyển các yêu cầu cho các biện pháp xử lý mang tính
đặc biệt.

5.2.1 Hướng dẫn phân loại thông tin (Classification guidelines)

Sự phân loại thông tin cũng như các quy tắc bảo vệ có liên quan cần đưa vào danh mục các nhu cầu
kinh doanh cho việc chia sẻ hoặc giới hạn thông tin, và việc kinh doanh có ảnh hưởng đến sự kết hợp
các yêu cầu đó, như truy cập bất hợp pháp hoặc phá hủy thông tin. Nhìn chung, sự phân loại thông tin
tạo ra một cách nhanh nhất cách xác định loại thông tin này cần được xử lý và bảo vệ như thế nào.

Thông tin và các kết quả đầu ra của hệ thống xử lý dữ liệu phân loại cần được gán nhãn dưới dạng giá trị
cũng như tính nhạy cảm đối với tổ chức. Dựa trên tính quan trọng của thông tin, việc gán nhãn đối với
từng loại thông tin có lẽ là phù hợp cho tổ chức, ví dụ như dưới dạng tính toàn vẹn và tính sẵn sàng của
chúng. Thông tin thường mất đi tính nhạy cảm hoặc là tính quyết định sau một thời gian giữ được các
tính chất đó, ví dụ như, khi thông tin đã được phổ biến rộng rãi. Các vấn đề này có thể đưa vào danh
mục khi việc không phân loại thông tin tạo ra các chi phí kinh doanh không cần thiết. Sự phân loại thông
tin cần được lường trước mọi khả năng và chấp nhận thực tế là sự phân loại của bất kỳ loại thông tin nào
đều không phải cố định cho mọi thời điểm, nó có thể thay đổi theo các chính sách đã được xác định
trước (xem 9.1).

Cần xem xét một số cách phân loại cũng như lợi ích nhằm đạt được cách sử dụng chúng. Các kế hoạch
phân loại quá phức tạp có thể làm cho việc sử dụng trở nên cồng kềnh và không hữu ích hoặc là phi thực
tế. Cũng cần quan tâm đến các nhãn trên các văn bản của các tổ chức khác, đặc biệt là những loại thông
tin có cùng nhãn nhưng được định nghĩa khác nhau.

Trách nhiệm trong việc xác định loại thông tin (như văn bản, bản ghi dữ liệu, file dữ liệu hoặc đĩa) cũng
như việc đánh giá một cách định kỳ sự phân loại đó cần giao cho những người sở hữu thông tin đó ngay
từ thời điểm khởi đầu hoặc những người được bổ nhiệm chính thức sở hữu thông tin đó.

5.2.2 Xử lý và gán nhãn thông tin (Information labelling and handling)

Điều quan trọng là các thủ tục phù hợp đã được xác định cho việc xử lý và gán nhãn thông tin theo sơ đồ
đã được tổ chức chấp nhận. Các thủ tục này phải bao trùm mọi tài sản thông tin dưới dạng vật lý cũng
như điện tử. Với mỗi loại thông tin, các thủ tục xử lý cần được xác định để bao trùm các kiểu hoạt động
xử lý thông tin dưới đây:

a) copy;

b) lưu trữ;

c) truyền bằng thư tín, fax và thư điện tử;

d) truyền bằng giọng nói bao gồm điện thoại di động, voicemail, answer machine;
e) s

Kết quả đầu ra của hệ thống chứa đựng thông tin đã phân loại phải kèm theo cả nhãn phân loại thích
hợp (băng, đĩa, CD, cassettes), thông điệp điện tử và truyền file.

Các nhãn vật lý là dạng thích hợp nhất. Tuy nhiên, nhiều tài sản thông tin như các tài liệu dưới dạng điện
tử, không thể gán nhãn dưới dạng vật lý và khi đó, chúng cần được gán nhãn dưới dạng điện tử.

6 An ninh về nhân sự (Personnel security)

6.1 An ninh trong xác định và thuê khoán công việc (Security in job definition and resourcing)

Mục tiêu: Giảm thiểu rủi ro do lỗi của con người, trộm cắp, gian lận hoặc lợi dụng các tài sản công. Trách
nhiệm về an toàn cần được xác định ngay từ khi tuyển nhân sự, được bao gồm trong hợp đồng, và được
giám sát trong công việc của cá nhân.

Những nhân sự mới cần được quan tâm đúng mức (xem 6.1.2), đặc biệt đối với các công việc mang tính
nhạy cảm. Các nhân viên và người dùng bên thứ 3 tham gia vào quá trình xử lý thông tin cần ký vào một
thỏa thuận mang tính mật.

6.1.1 An ninh nhân sự bao gồm an ninh trong trách nhiệm công việc (Including security in job
responsibilities)

Các trách nhiệm và vai trò an ninh cần được xác định rõ trong các chính sách an toàn thông tin của tổ
chức và được đưa ra bằng văn bản sao cho phù hợp. Trong đó, bao gồm các trách nhiệm nói chung cho
việc triển khai và đảm bảo chính sách an ninh cũng như các trách nhiệm cho việc bảo vệ từng loại tài
sản, cho sự thực hiện các quá trình hay các hoạt động an toàn.

6.1.2 Chính sách và kiểm tra nhân sự (Personnel screening and policy)

Việc kiểm tra các nhân viên cần được thực hiện tại thời điểm áp dụng công việc. Việc kiểm tra bao gồm
các quy tắc sau:

a) đáp ứng kịp thời khi cần tham chiếu các thông tin về nhân sự, như một doanh nghiệp, một cá nhân;

b) kiểm tra (tính đầy đủ và chính xác) bản sơ yếu lý lịch của người xin việc;

c) xác nhận lại quá trình học tập ở trường cũng như các chứng chỉ, trình độ chuyên môn;

d) kiểm tra các giấy tờ cá nhân (hộ chiếu hoặc các văn bản tương tự).

Khi bắt đầu một công việc hoặc trong quá trình thực hiện công việc, cá nhân cần truy cập vào các tài sản
công nhằm xử lý thông tin, cụ thể là nếu đây là việc xử lý các thông tin nhạy cảm (như thông tin tài chính
hoặc các thông tin có tính mật cao), tổ chức cần thực hiện kiểm tra lại tính tin cậy. Đối với những nhân
viên có quyền kiểm tra này cần được lặp lại việc kiểm tra một cách định kỳ.

Quá trình kiểm tra tương tự như trên cũng cần được tiến hành đối với các nhà thầu cũng như các nhân
viên tạm thời. Các nhân viên này được tuyển thông qua một công ty, các hợp đồng với công ty cần xác
định rõ trách nhiệm của công ty trong việc kiểm tra và các thông báo thủ tục họ cần trong thời gian tiếp
theo nếu sự kiểm tra không hoàn thành hoặc nếu các kết quả gây ra sự nghi ngờ hoặc các vấn đề liên
quan.
Ban quản lý cần đánh giá sự thẩm tra được yêu cầu cho các nhân viên mới, chưa có kinh nghiệm trong
việc truy cập vào các hệ thống nhạy cảm. Công việc của các nhân viên cần được xem xét lại theo định kỳ
và có sự thống nhất của các nhân viên có thâm niên công tác.

Người quản lý cần nắm rõ về hoàn cảnh của từng nhân viên, đó là điều kiện ảnh hưởng đến công việc
của họ.

Các vấn đề về tài chính, hoặc đời tư, các thay đổi trong hành vi lối sống, chu kỳ vắng mặt và căn cứ vào
tình trạng của họ có thể dẫn đến gian lận, trộm cắp, sai lầm hoặc các vấn đề liên quan đến bảo mật khác.

Các thông tin này cần được xử lý phù hợp với luật pháp hiện tại và quyền hạn có liên quan.

6.1.3 Các hợp đồng đảm bảo tính bí mật thông tin (Confidentiality agreements)

Các hợp đồng về tính mật của thông tin được sử dụng nhằm đưa ra các thông báo cho tính bí mật của
thông tin. Nhân viên thường ký vào bản hợp đồng như là một điều kiện ban đầu khi bắt đầu làm việc.

Các nhân viên bình thường cũng như các tổ chức thứ 3 không tham gia vào hợp đồng này (hợp đồng có
thỏa thuận về tính bí mật thông tin) cần ký vào một hợp đồng đảm bảo tính bí mật thông tin trước khi truy
cập vào các tài sản công nhằm xử lý thông tin.

Các hợp đồng đảm bảo tính bí mật thông tin cần xem xét và đánh giá lại khi có sự thay đổi về nhân sự
hoặc hợp đồng, cụ thể như khi nhân viên bỏ việc hoặc hết hợp đồng.

6.1.4 Điều khoản và điều kiện thuê người lao động (Terms and conditions of employment)

Các điều khoản, điều kiện thuê người lao động cần công bố rõ về trách nhiệm của nhân viên đối với vấn
đề an toàn thông tin. Các trách nhiệm này cần duy trì đối với các thời gian đã định trước sau khi kết thúc
quá trình thuê lao động. Điều kiện này được đưa ra nếu nhân viên coi thường các yêu cầu về bảo mật.

Các quyền hạn và trách nhiệm luật pháp của nhân viên, như luật bản quyền hoặc luật bảo vệ dữ liệu, cần
được lựa chọn và giải thích rõ ràng bao gồm cả các điều khoản và điều kiện thuê người lao động. Trách
nhiệm đối với việc phân loại cũng như quản lý dữ liệu của nhân viên cũng nằm trong các điều khoản này.
Khi nào phù hợp, các điều khoản, điều kiện thuê người lao động cần công bố các trách nhiệm này được
mở rộng ra bên ngoài tổ chức cũng như thời gian ngoài giờ làm việc, như trường hợp làm việc ở nhà
(xem 7.2.5 và 9.8.1).

6.2 Đào tạo người dùng (User training)

Mục tiêu: Đảm bảo người dùng nhận thức các mối đe dọa về an toàn thông tin và các vấn đề liên quan,
đồng thời trang bị cho người dùng trong quá trình làm việc của họ nhằm hỗ trợ các chính sách về an toàn
thuộc tổ chức. Người dùng cần được đào tạo các vấn đề về an toàn cũng như cách sử dụng các tài sản
công trong quá trình xử lý thông tin nhằm giảm thiểu các rủi ro về bảo mật.

6.2.1 Đào tạo và giáo dục về an toàn thông tin (Information security education and training)

Mọi nhân viên trong tổ chức và các cá nhân liên quan như đơn vị thứ 3 cần được đào tạo thích hợp và
liên tục cập nhật các thủ tục và chính sách trong tổ chức. Bao gồm các yêu cầu về bảo mật, các trách
nhiệm luật pháp và các quy tắc nghiệp vụ, cũng như đào tạo nhằm sử dụng đúng cách các tài sản công
cho việc xử lý thông tin, như thủ tục log-on, sử dụng gói phần mềm, trước khi truy cập các dịch vụ hoặc
thông tin được cấp phép.

6.3 Đối phó với những sự cố bảo mật (Responding to security incidents and malfunctions)

Mục tiêu: Giảm thiểu sự phá hủy từ các sự cố bảo mật đồng thời nhằm giám sát và học tập từ các sự cố
này.

Các sự cố ảnh hưởng đến mức độ an toàn cần được báo cáo thông qua các kênh quản lý thích hợp một
cách nhanh nhất có thể.

Mọi nhân viên và các nhà thầu cần nắm được các thủ tục báo cáo về các kiểu sự cố khác nhau (lỗ hổng
bảo mật, mối đe dọa, điểm yếu, sự cố), điều đó có tác động đến vấn đề an toàn các tài sản của tổ chức.
Cần yêu cầu họ báo cáo các sự cố mà họ nghi ngờ cũng như họ quan sát được cần thiết lập một quá
trình chính thức mang tính kỷ luật để xử lý các nhân viên vi phạm các vấn đề về bảo mật. Để có thể tìm
đến các vấn đề một cách chính xác cần tập hợp bằng chứng sớm nhất có thể sau khi xảy ra sự việc
(xem 12.1.7).

6.3.1 Báo cáo các sự cố bảo mật (Reporting security incidents)

Các sự cố bảo mật cần được báo cáo bằng cách thích hợp nhất và nhanh nhất có thể.

Cần thiết lập thủ tục báo cáo một cách chính thức, cùng với các thủ tục phản ứng khẩn cấp đối phó với
các sự kiện một cách nhanh nhất có thể đến đầu mối được bổ nhiệm thu thập thông tin. Các tổ chức

đã nhận được từ các báo cáo ở trên. Mọi nhân viên cũng như các nhà thầu cần nắm được thủ tục báo
cáo sự cố bảo mật và yêu cầu báo cáo các sự cố này nhanh nhất có thể. Quá trình phản hồi cần được
tiến hành nhằm đảm bảo rằng các sự cố đang báo cáo đã được thông báo sau khi đối mặt với sự cố và
ngăn chặn chúng. Các sự cố này có thể được sử dụng trong quá trình đào tạo người dùng (xem 6.2) như
những gì có thể xảy ra, phản ứng trước các sự cố đó như thế nào, và làm thế nào để phòng chống các
sự cố đó trong tương lai (xem 12.1.7).

6.3.2 Báo cáo các điểm yếu về bảo mật (Reporting security weaknesses)

Cần yêu cầu người sử dụng các dịch vụ thông tin báo cáo các điểm yếu và các mối đe dọa bảo mật đối
với hệ thống và dịch vụ mà họ cảm thấy nghi ngờ cũng như họ quan sát được. Họ có thể báo cáo các
vấn đề này hoặc là tới người quản lý hoặc là trực tiếp tới nhà cung cấp dịch vụ một cách nhanh nhất có
thể. Trong bất kỳ hoàn cảnh nào, người sử dụng cần biết rằng họ không nên cố gắng chứng minh một
vấn đề nào đó là đáng nghi ngờ. Đó là sự bảo vệ của từng cá nhân, khi kiểm tra các điểm yếu có thể hiểu
rõ các sự lợi dụng đang tiềm ẩn trong hệ thống.

6.3.3 Báo cáo các sự cố phần mềm (Reporting software malfunctions)

Cần thiết lập các thủ tục báo cáo các sự cố phần mềm. Các hành động cần được quan tâm là:

a) Các dấu hiệu khó giải quyết được và mọi thông báo xuất hiện trên màn hình đều cần phải chú ý.

b) Nếu có thể cần tách máy tính biệt lập, tạm dừng chương trình. Liên lạc và cảnh báo khẩn cấp với các
bộ phận liên quan. Nếu thiết bị đã được kiểm tra cần ngắt ra khỏi mạng của tổ chức trước khi khởi động
lại. Các đĩa mềm không được chuyển qua các máy tính khác.

c) Vấn đề cần được báo cáo ngay lập tức tới người quản lý bảo mật thông tin.
Người sử dụng không nên cố gắng gỡ bỏ phần mềm nghi ngờ trừ phi được phép làm điều đó.

Nhân viên có kinh nghiệm và đã được đào tạo cần thực hiện khôi phục hệ thống.

6.3.4 Thu thập kiến thức từ các sự cố (Learning from incidents)

Cần có các cơ chế cho phép xác định và giám sát các kiểu, số lượng và chi phí của các sự cố. Từ các
thông tin này có thể nhận biết chu kỳ hoặc ảnh hưởng chính của các sự cố. Điều này đưa ra yêu cầu cho
việc đưa vào thêm hay đề cao các quy tắc quản lý nhằm hạn chế mức độ xảy ra, hạn chế khả năng phá
huỷ cũng như chi phí xảy ra trong tương lai hoặc cũng có thể đưa vào làm hạng mục trong các chính
sách bảo mật (xem 3.1.2).

6.3.5 Các quy trình mang tính kỷ luật (Disciplinary process)

Cần có một quy trình chính thức mang tính kỷ luật cho các nhân viên vi phạm các thủ tục và chính sách
bảo mật của tổ chức (xem 6.1.4) và ghi lại các bằng chứng (xem 12.1.7). Một quy trình như vậy cũng là
biện pháp áp dụng đối với các nhân viên có chiều hướng thiếu quan tâm đến các thủ tục về an toàn.
Thêm vào đó, nó cũng cần đảm bảo đúng và đối xử công bằng với tất cả những cá nhân có liên quan.

7 An toàn môi trường và an toàn vật lý (Physical and environmental security)

7.1 Các lĩnh vực an toàn (Secure areas)

Mục tiêu: Ngăn chặn các truy cập trái phép, phá hủy và can thiệp vào thông tin, vào vấn đề kinh doanh
của tổ chức.

Các tài sản công được sử dụng vào việc xử lý thông tin kinh doanh nhạy cảm và có tính quyết định cần
được đưa vào vùng an toàn, được bảo vệ bởi vành đai an toàn đã định sẵn, với các rào cản về bảo mật
cũng như các quy tắc truy cập. Chúng cần được bảo vệ về mặt vật lý từ các sự truy cập bất hợp pháp,
sự phá hủy cũng như sự can thiệp trái phép.

Sự bảo vệ đưa ra cần tránh được mọi rủi ro đã biết. Các đề nghị đảm bảo cho một cái bàn sạch, một
màn hình sạch sẽ giảm thiểu rủi ro cho các truy cập bất hợp pháp hoặc sự phá hủy tờ giấy, các tài sản
công xử lý thông tin và các phương tiện khác.

7.1.1 Vành đai bảo vệ mức vật lý (Physical security perimeter)

Sự bảo vệ mức vật lý có thể đạt được bằng cách tạo ra một vài barrier vật lý xung quanh phạm vi doanh
nghiệp và các tài sản công dùng để xử lý thông tin. Mỗi barrier thiết lập một một vành đai bảo vệ vật lý
làm gia tăng sự bảo vệ. Các tổ chức cần sử dụng các vành đai bảo vệ các vùng đặt các tài sản xử lý
thông tin (xem 7.3.1). Một vành đai an toàn có thể là một bức tường, một tấm thẻ điều khiển khi qua
cổng, những người tiếp tân, hoặc là những chiếc ghế cũ , … Sự chọn lựa địa điểm cũng như sức mạnh
của từng barrier là phụ thuộc vào các kết quả khi đánh giá rủi ro.

Dưới đây đưa ra một số hướng dẫn và một số quy tắc cần được lưu ý và triển khai sao cho thích hợp:

a) Vành đai bảo vệ nên được xác định rõ ràng.

b) Vành đai của tòa nhà hoặc vành đai của bên đặt các tài sản xử lý thông tin cần được đặt chắc chắn về
mặt vật lý (như không có lỗ thủng trong vành đai hoặc có thể dễ dàng đột nhập từ ngoài vào). Các bức
tường bên ngoài cần xây dựng vững chắc và các cửa ra vào cần được bảo vệ hợp lý nhằm tránh các sự
đột nhập như đặt các cơ chế điều khiển, chốt, các chuông cảnh báo, khóa, ….

c) Vị trí của người tiếp tân hoặc vị trí khác dùng để quản lý các truy nhập vật lý tới các địa điểm trên. Cần
hạn chế những người có nghĩa vụ mới được phép vào các địa điểm trên.

d) Nếu cần, các barrier vật lý có thể mở rộng các cửa ra vào, trần nhà nhằm ngăn chặn các truy cập bất
hợp pháp cũng như các nguyên nhân gây ra hỏa hoạn, lũ lụt.

e) Tại các cửa của vành đai bảo vệ cần có chuông cảnh báo và cần có cửa sập mạnh.

7.1.2 Kiểm soát ra vào (Physical entry controls)

Các vùng an toàn cần được bảo vệ bởi các sự kiểm soát ra vào chặt chẽ nhằm đảm bảo rằng chỉ những
người hợp pháp mới được phép truy cập.

a) Những vị khách tới các vùng an toàn cần được giám sát và ghi lại ngày, giờ ra vào đi và đến. Họ chỉ
được phép truy cập với mục đích hợp pháp, rõ ràng và cần đưa ra các hướng dẫn về các yêu cầu bảo
mật của địa điểm này, cũng như các thủ tục khẩn cấp khi có sự cố.

b) Cần hạn chế những người hợp pháp mới được truy cập vào các thông tin nhạy cảm và các tài sản
phục vụ việc xử lý thông tin. Các quy tắc xác thực cần được sử dụng đối với mọi truy cập hợp pháp và
hợp lệ, tránh trường hợp cướp giật số PIN. Các sự kiểm tra này cần đảm bảo tính chính xác và an toàn.

c) Mọi cá nhân cần có một vài sự nhận dạng mang tính trực quan và cần hỏi rõ những người lạ và những
người không có các sự nhận dạng trực quan ở trên.

d) Các quyền ra vào tại những địa điểm này cần xem xét và cập nhật thường xuyên.

7.1.3 An toàn các phòng ốc, cơ quan và các tài sản (Securing offices, rooms and facilities)

Một khu vực an toàn có thể là các phòng ốc, cơ quan đã được khóa cửa bên trong các vành đai bảo vệ,
tủ, két sắt bên trong đã được khóa. Sự chọn lựa và thiết kế các khu vực an toàn này cần phải tính đến
khả năng họa hoạn, lũ lụt, cháy nổ, tình trạng náo động và các thảm họa khác do tự nhiên hoặc con
người gây ra. Cũng cần phải tính đến các vấn đề liên quan đến sức khỏe, các quy tắc cũng như các tiêu
chuẩn về an toàn. Cần xem xét các nguy cơ về an toàn từ tổ chức xung quanh, như sự rò rỉ nước từ một
khu vực khác.

Dưới đây là một số quy tắc cần được xem xét:

a) Các tài sản quan trọng cần được đặt ở những nơi tránh xa các sự truy cập nói chung.

b) Các tòa nhà không nên phô trương và cần hạn chế đưa ra các ký hiệu thể hiện mục đích của nó, với
các ký hiệu trừu tượng bên ngoài hoặc bên trong tòa nhà.

c) Các thiết bị và chức năng hỗ trợ như máy fax, máy photo cần đặt tại các vị trí thích hợp trong các khu
vực an toàn nhằm tránh các sự nhờ vả, gây ra các nguy cơ tiềm ẩn.

d) Cửa sổ, cửa ra vào cần được khóa khi không có người và các sự bảo vệ bên ngoài cần được tính đến
các cửa sổ này, đặc biệt là các cửa sổ gần mặt đất.

e) Các hệ thống nhận dạng sự xâm nhập đã được cài đặt mang tính chuyên nghiệp và được kiểm tra
thường xuyên cần được đặt tại các cửa ra vào và các cửa sổ có thể bị đột nhập.
f) Các tài sản phục vụ quá trình xử lý thông tin được quản lý bởi tổ chức cần tách biệt về mặt vật lý từ
các sự quản lý của các đơn vị thứ 3.

g) Các danh bạ điện thoại ghi các địa điểm có các tài sản xử lý thông tin nhạy cảm không nên để công
khai.

h) Các vật liệu dễ cháy, nguy hiểm cần đặt tại các nơi an toàn, ở các khoảng cách xa với khu vực này.
Các vật liệu hỗ trợ khác như văn phòng phẩm không nên lưu trữ trong khu vực bảo mật khi không có yêu
cầu.

i) Các thiết bị dự trữ và các phương tiện back-up cần được đặt tại những nơi có khoảng cách an toàn
nhằm tránh các sự phá hủy do các thảm họa tại chính nơi đó gây ra.

7.1.4 Làm việc trong các khu vực an toàn (Working in secure areas)

Việc đưa vào các quy tắc cũng như hướng dẫn nhằm tăng cường tính bảo mật cho khu vực an toàn. Các
quy tắc này đưa ra cho các cá nhân hoặc các đơn vị thứ 3 đang làm việc trên khu vực an toàn, cũng như
các hoạt động của bên thứ 3 đang tiến hành trên khu vực đó. Dưới đây là một vài quy tắc cần chú ý:

a) Các cá nhân cần nhận thức về sự tồn tại, hoặc các hoạt động trong khu vực an toàn này.

b) Các công việc không được giám sát trong khu vực an toàn cần được loại bỏ cho dù có các lý do đảm
bảo an toàn đồng thời ngăn chặn các cơ hội đối với các hành động nguy hiểm.

c) Các khu vực an toàn còn bỏ trống cần được khóa và kiểm tra định kỳ.

d)

e) Không nên đưa vào các thiết bị ghi âm, video, chụp ảnh, … trừ khi được kiểm tra một cách cẩn thận.

7.1.5 Các khu vực nhập xuất biệt lập (Isolated delivery and loading areas)

Nếu có thể các vùng nhập xuất cần được kiểm soát, biệt lập với các tài sản hỗ trợ việc xử lý thông tin
nhằm tránh xa các sự truy nhập bất hợp pháp. Các yêu cầu đối với các khu vực này cần được xác định
rõ bằng cách đánh giá các rủi ro. Dưới đây là một vài quy tắc cần được lưu ý:

a) Việc truy cập đến các khu vực của tổ chức cần được hạn chế đối với những cá nhân hợp pháp.

b) Các khu vực này cần được thiết kế sao cho các sự cung cấp có thể được chuyển tới các khu vực khác
của tòa nhà mà không cần sự giúp đỡ của các nhân viên bốc xếp.

c) Các cửa bên ngoài của tòa nhà cần được giữ an toàn khi các cửa bên trong mở.

d) Các vật liệu mang đến cần được kiểm tra các mối nguy hiểm tiềm ẩn (xem 7.2.1d) trước khi di chuyển
vào nơi sử dụng.

e) Nếu phù hợp, các vật liệu đó cần được đăng ký tại khu vực này (xem 5.1).

7.2 An toàn thiết bị (Equipment security)

Mục tiêu: Nhằm ngăn chặn sự mất mát, phá hủy và làm tổn hại tài sản và làm gián đoạn hoạt động kinh
doanh của doanh nghiệp.

Các thiết bị cần được bảo vệ về mặt vật lý trước các mối đe dọa về bảo mật và mối nguy hiểm của môi
trường. Bảo vệ thiết bị mang tính cần thiết nhằm giảm thiểu rủi ro trước các sự truy cập dữ liệu bất hợp
pháp và bảo vệ chống lại sự mất mát và phá hủy. Điều này cũng phải tính đến vị trí và quyền sử dụng
thiết bị. Các quy tắc đặc biệt được yêu cầu để bảo vệ chống lại các mối nguy hiểm hoặc các truy cập bất
hợp pháp, đồng thời hỗ trợ sự bảo vệ các tài sản công, như các thiết bị cung cấp điện và hệ thống cáp.

7.2.1 Sự lựa chọn vị trí đặt thiết bị và bảo vệ thiết bị (Equipment siting and protection)

Thiết bị cần được lựa chọn vị trí và biện pháp bảo vệ nhằm giảm thiểu rủi ro từ các mối đe dọa, mối nguy
hiểm của môi trường và cơ hội truy cập bất hợp pháp. Các quy tắc sau đây cần được chú ý:

a) Thiết bị nên đặt tại các vị trí có ít sự truy cập trong khu vực làm việc.

b) Các tài sản lưu trữ và xử lý thông tin đang xử lý các dữ liệu nhạy cảm cần bố trí nhằm giảm thiểu rủi ro
trong quá trình sử dụng.

c) Các thiết bị cần sự bảo vệ đặc biệt cần được biệt lập nhằm đạt được mức độ bảo vệ theo yêu cầu.

d) Nhằm giảm thiểu rủi ro từ các mối đe doạ tiềm ẩn, cần kiểm soát:

a. trộm;

b. lửa;

c. chất nổ;

d. thuốc;

e. nước (hoặc vấn đề hỏng hóc nguồn cung cấp);

f. rác, bụi

g. sự chuyển động;

h. ảnh hưởng của hóa chất;

i. chập điện;

j. bức xạ điện từ.

e) Một tổ chức cần được tính đến các chính sách về việc ăn uống, hút thuốc tại các vị trí gần với các tài
sản công phục vụ việc xử lý thông tin.

f) Cần giám sát các điều kiện môi trường có ảnh hưởng đến sự vận hành các tài sản phục vụ quá trình
xử lý thông tin.

g) Sử dụng các biện pháp bảo vệ đặc biệt, như màn bảo vệ bàn phím, đối với các thiết bị trong môi
trường công nghiệp.

h) Ảnh hưởng của các thảm họa xảy ra gần các tòa nhà, như họa hoạn ở tòa nhà bên cạnh, rò rỉ nước từ
mái vòm hoặc trong sàn dưới mặt đất hoặc tiếng nổ ở đường phố là những nguy cơ cần được nghĩ tới.

7.2.2 Cung cấp nguồn điện (Power supplies)

Thiết bị cần được bảo vệ trước các sự hỏng hóc của nguồn điện và các sự bất thường về mặt điện năng.
Cần cung cấp nguồn điện phù hợp với đặc điểm chi tiết kỹ thuật của nhà sản xuất thiết bị. Các lựa chọn
đưa ra nhằm đạt được tính liên tục của việc cung cấp nguồn điện bao gồm:

a) Đưa ra nhiều nguồn cung cấp nhằm tránh trường hợp hỏng hóc nguồn cung cấp duy nhất;

b) sử dụng nguồn cung cấp liên tục (UPS – uninterruptable power supply);

c) đưa ra việc backup.

Thiết bị UPS hỗ trợ cho các thiết bị phục vụ hoạt động kinh doanh của doanh nghiệp bằng cách cung cấp
điện năng một cách liên tục ngay cả khi mất điện. Các kế hoạch cần tính đến khả năng hỏng hóc UPS.
Thiết bị UPS cần được kiểm tra thường xuyên nhằm đảm bảo nó có đủ khả năng và được kiểm tra phù
hợp với các đề nghị của nhà sản xuất.

Việc back-up cũng cần được lưu ý nếu trong trường hợp nguồn điện bị hỏng hóc quá lâu. Nếu đã được
cài đặt chế độ này, những người có trách nhiệm cần kiểm tra thường xuyên theo hướng dẫn của nhà sản
xuất. Cũng cần sẵn sàng cung cấp nguyên vật liệu nhằm đảm bảo cho người có trách nhiệm (người đề
xướng) có thể thực hiện trong một thời gian dài.

Thêm vào đó, các bộ chuyển mạch nguồn tức thời cần được đặt gần nơi đặt thiết bị tạo điều kiện thuận
lợi khi gặp tình huống cấp bách. Việc bố trí ánh sáng cần được chuẩn bị trong trường hợp nguồn chính bị
hỏng. Sự bảo vệ chống sét cũng cần được áp dụng đối với mọi tòa nhà và các bộ chống sét cần thiết kế
phù hợp với các đường truyền thông bên ngoài.

7.2.3 An toàn cáp (Cabling security)

Nguồn điện và cáp truyền thông mang dữ liệu cũng như hỗ trợ các dịch vụ thông tin cần được bảo vệ từ
các nguy cơ phá hoại hoặc bị chặn. Dưới đây là một vài quy tắc cần được lưu ý:

a) Nguồn điện và các đường truyền thông tới các tài sản xử lý thông tin, nếu có thể, cần được đi ngầm,
phụ thuộc vào khả năng bảo vệ sao cho thích hợp.

b) Cáp mạng cần được bảo vệ từ những sự phá hủy và ngăn chặn bất hợp pháp, ví dụ như dùng cáp
điện hoặc tránh các đường dẫn ở những nơi công cộng.

c) Cáp nguồn điện và cáp truyền thông cần tách biệt nhau nhằm ngăn chặn nhiễu từ.

d) Đối với hệ thống quan trọng, mang tính nhạy cảm các quy tắc cần lưu ý khác bao gồm:

1. cần xây dựng lớp bê tông bảo vệ cáp điện và các phòng có khóa chặt chẽ hoặc các box tại các điểm
kiểm tra, các điểm đặc biệt.

2. sử dụng các phương tiện truyền dẫn thay thế, các đường dự phòng.

3. sử dụng cáp quang;

4. tạo ra các đợt rà soát các thiết bị bất hợp pháp gắn vào hệ thống cáp;

7.2.4 Bảo trì thiết bị (Equipment maintenance)

Thiết bị cần được bảo trì đúng cách nhằm đảm bảo tính sẵn sàng và tính toàn vẹn của chúng.

Dưới đây là các quy tắc cần lưu ý:

a) Thiết bị cần được bảo trì theo mô tả và yêu cầu của người cung cấp.

b) Chỉ những cá nhân bảo trì hợp pháp mới được thực hiện sửa chữa và bảo dưỡng thiết bị.

c) Cần lưu trữ hồ sơ về các lỗi thực tế và các lỗi khả nghi cùng với quá trình bảo trì, ngăn chặn chúng.

d) Cần có những qui tắc phù hợp đối với việc gửi thiết bị ra bên ngoài tổ chức để bảo trì (như 7.2.6 đối
với vấn đề xóa, ghi đè dữ liệu). Các yêu cầu cần bắt buộc đưa ra trong hợp đồng bảo hiểm và chấp hành
đầy đủ.

7.2.5 An toàn thiết bị bên ngoài tổ chức (Security of equipment off-premises)

Không quan tâm đến quyền sở hữu, việc sử dụng bất kỳ thiết bị nào bên ngoài tổ chức cho việc xử lý
thông tin cần được cho phép bởi nhà quản lý. Vấn đề an toàn đã đưa ra cần tương xứng với vị trí đặt
thiết bị, cần đưa vào danh mục các rủi ro đối với các thiết bị bên ngoài tổ chức. Thiết bị xử lý thông tin
bao gồm các dạng như máy tính cá nhân, người tổ chức, điện thoại di động, giấy hoặc các dạng khác
phục vụ công việc ở nhà hoặc đang được chuyển khỏi nơi làm việc. Cần lưu ý những hướng dẫn dưới
đây:

a) Các thiết bị và phương tiện đưa ra bên ngoài tổ chức không nên lơ là trách nhiệm. Các máy tính xách
tay cần đem theo như hành lý xách tay và không nên phô trương ra ngoài.

b) Các hướng dẫn của nhà sản xuất đối với việc bảo vệ thiết bị cần được quan sát mọi lúc như vấn đề
bảo vệ để chống lại các khu vực có điện từ mạnh.

c) Các quy tắc làm việc ở nhà cần được xác định bằng việc đánh giá rủi ro và áp dụng các quy tắc thích
hợp, như khóa tủ, các chính sách về bàn làm việc sạch, các quy tắc truy cập máy tính.

d) Cần đặt các lớp bảo vệ thiết bị. Các rủi ro về an toàn, như phá hủy, trộm và nghe lén có thể được xem
xét tại các vị trí khác nhau và cần được đưa vào danh mục nhằm xác định các quy tắc thích hợp nhất.
Các thông tin cụ thể hơn về vấn đề bảo vệ thiết bị di động có thể tìm thấy ở 9.8.1.

7.2.6 An toàn đối với việc chuyển nhượng và sử dụng lại thiết bị (Secure disposal or re-use of equipment)

Thông tin có thể bị xâm hại thông qua sự sơ suất trong việc chuyển nhượng và sử dụng lại thiết bị (xem
8.6.4). Các thiết bị lưu trữ các thông tin nhạy cảm cần được phá hủy về mặt vật lý hoặc ghi đè một cách
an toàn hơn là sử dụng chức năng xóa bỏ dữ liệu.

Các thành phần của thiết bị gắn các thiết bị lưu trữ như đĩa cứng, cần được kiểm tra nhằm đảm bảo rằng
mọi dữ liệu nhạy cảm và các phần mềm có cấp phép đã được gỡ bỏ và ghi đè dữ liệu trước khi loại bỏ.
Các thiết bị lưu trữ lưu các dữ liệu nhạy cảm đã phá hủy có thể yêu cầu việc đánh giá rủi ro nhằm xác
định rõ nếu các thành phần của nó cần phá hủy, sửa chữa hoặc là loại bỏ.

7.3 Các quy tắc chung (General controls)

Mục tiêu: Nhằm ngăn chặn vấn đề xâm phạm, trộm cắp thông tin và các tài sản xử lý thông tin

Thông tin và các tài sản xử lý thông tin cần được bảo vệ nhằm chống lại sự phô bày, sửa đổi, trộm cắp
của những người bất hợp pháp, cũng như cần đưa vào các quy tắc nhằm giảm thiểu sự mất mát hoặc
phá hủy.
Các thủ tục lưu trữ và xử lý cần được lưu ý trong mục 8.6.3.

7.3.1 Chính sách màn hình sạch và bàn làm việc sạch (Clear desk and clear screen policy)

Tổ chức cần xem xét thông qua chính sách bàn làm việc sạch đối với các phương tiện lưu trữ có thể di
chuyển được cũng như giấy tờ và chính sách màn hình sạch đối với các tài sản tham gia vào quá trình
xử lý thông tin nhằm giảm thiểu rủi ro từ các truy cập bất hợp pháp, mất mát và phá hủy thông tin trong,
ngoài giờ làm việc. Chính sách cần đưa vào danh mục phân loại an toàn thông tin (xem 5.2), các rủi ro
tương ứng và các khía cạnh về mặt văn hóa của tổ chức.

Thông tin bị bỏ quên trên bàn làm việc sẽ có nhiều khả năng bị xâm phạm hoặc phá hủy khi xảy ra thảm
họa như hỏa hoạn, lũ lụt và cháy nổ.

Dưới đây là những quy tắc cần lưu ý:

a) Máy tính, giấy tờ cần được lưu trữ tại những nơi phù hợp như tủ có khóa, hoặc là trong các đồ đạc
khác một cách an toàn khi không sử dụng đặc biệt là ngoài giờ làm việc.

b) Các thông tin kinh doanh mang tính quyết định và nhạy cảm cần được khóa liên tục (tủ an toàn chống
cháy) khi không có yêu cầu đặc biệt là khi văn phòng bỏ không.

c) Máy tính cá nhân, các thiết bị đầu cuối và máy in không nên loại bỏ chế độ logon khi không có người
giám sát và cần được bảo vệ bằng khóa, password mạnh hoặc các quy tắc khác khi không sử dụng.

d) Nơi gửi và nhận thư và các máy fax, máy telex cần được bảo vệ.

e) Máy photo cần được khóa (hoặc được bảo vệ khỏi sự sử dụng bất hợp pháp theo nhiều cách khác
nhau) ngoài giờ làm việc.

f) Khi in ấn các thông tin đã được phân loại hoặc thông tin nhạy cảm cần được xóa bỏ khỏi máy in ngay
lập tức.

7.3.2 Việc di rời tài sản (Removal of property)

Không nên di rời thiết bị, thông tin hoặc phần mềm khi không có sự cho phép. Nếu cần thiết và cảm thấy
phù hợp, phải tắt thiết bị và log trở lại khi hoàn thành việc di rời. Cần có các đợt kiểm tra đột xuất nhằm
phát hiện các sự di rời tài sản mà không có sự cho phép. Các cá nhân cần ý thức rằng các đợt kiểm tra
đột xuất sẽ được thực hiện.

8 Quản lý tác nghiệp và thông tin liên lạc (Communications and operations management)

8.1 Các trách nhiệm và các thủ tục trong hoạt động (Operational procedures and responsibilities)

Mục tiêu: Đảm bảo các tài sản tham gia vào quá trình xử lý thông tin hoạt động an toàn, đúng cách. Cần
thiết lập các trách nhiệm và thủ tục cho việc quản lý và vận hành của các tài sản tham gia vào quá trình
xử lý thông tin. Bao gồm việc phát triển các hướng dẫn vận hành và các thủ tục phản ứng sự cố.

Cần triển khai các trách nhiệm một cách tách biệt sao cho thích hợp (xem 8.1.4), nhằm giảm thiểu rủi ro
từ việc sử dụng hệ thống thiếu cẩn thận hoặc có chủ ý.

8.1.1 Đưa các thủ tục hoạt động thành văn bản (Documented operating procedures)

Các thủ tục đang vận hành đã định rõ bởi chính sách an toàn cần được đưa thành văn bản và duy trì.
Các thủ tục hoạt động cần được coi là văn bản chính thức và mọi sự thay đổi đều do nhà quản lý.

Các thủ tục cần xác định rõ hướng dẫn thực hiện cụ thể cho mỗi công việc, bao gồm:

a) tiến trình xử lý và cách xử lý thông tin.

b) các yêu cầu về lập lịch, bao gồm sự phụ thuộc giữa các hệ thống, thời gian bắt đầu công việc sớm
nhất và thời gian hoàn thành công việc muộn nhất;

c) hướng dẫn xử lý lỗi hoặc các vấn đề đặc biệt khác có thể xảy ra trong quá trình thực hiện công việc;

d) liên lạc hỗ trợ trong các trường hợp gặp khó khăn về kỹ thuật hoặc các vấn đề gặp phải trong quá
trình hoạt động;

e) cung cấp hướng dẫn xử lý, như cách sử dụng các loại văn phòng phẩm đặc biệt hoặc quản lý tính bí
mật, bao gồm các thủ tục cho việc loại bỏ kết quả từ các công việc không thành công một cách an toàn.

f) các thủ tục khôi phục và khởi động lại hệ thống khi gặp các lỗi hệ thống trong quá trình sử dụng.

Các thủ tục đã được đưa thành văn bản cần được chuẩn bị cho việc quản lý hệ thống kết hợp với các tài
sản tham gia vào quá trình xử lý thông tin và thông tin liên lạc như các thủ tục khởi động và tắt máy tính,
bảo trì thiết bị, phòng máy và quản lý việc xử lý mail an toàn.

8.1.2 Kiểm soát thay đổi hoạt động (Operational change control)

Sự thay đổi các tài sản xử lý thông tin và các hệ thống cần được kiểm soát. Sự thiếu quan tâm đến việc
kiểm soát các thay đổi tài sản xử lý thông tin là một nguyên nhân phổ biến gây ra các lỗi về bảo mật cũng
như các lỗi hệ thống. Cần đưa vào các thủ tục và trách nhiệm quản lý nhằm đảm bảo sự kiểm soát mọi
sự thay đổi về thiết bị, phần mềm và các thủ tục. Các chương trình đang hoạt động cần đưa ra sự kiểm
soát thay đổi một cách chặt chẽ. Khi chương trình bị thay đổi cần giữ lại các log kiểm soát chứa các
thông tin liên quan. Sự thay đổi môi trường hoạt động có thể ảnh hưởng đến các ứng dụng. Nếu khả thi,
các thủ tục kiểm soát các sự thay đổi ứng dụng cũng như hoạt động cần được hội nhập (xem 10.5.1). Cụ
thể, các quy tắc sau cần được lưu ý:

a) xác định và ghi lại các sự thay đổi quan trọng;

b) đánh giá các sự ảnh hưởng tiềm ẩn đối với việc thay đổi;

c) thủ tục phê chuẩn chính thức đối với các sự thay đổi đã đề xuất;

d) thông báo các sự thay đổi một cách cụ thể đến những người có liên quan;

e) các thủ tục xác định trách nhiệm đối với việc hủy bỏ và khôi phục từ các sự thay đổi không thành công.

8.1.3 Các thủ tục quản lý sự cố (Incident management procedures)

Cần thiết lập các thủ tục và trách nhiệm quản lý sự cố nhằm đảm bảo sự phản ứng nhanh, hiệu quả và
có trình tự trước các vấn đề về bảo mật (xem 6.3.1). Dưới đây là các quy tắc cần được lưu ý:

a) Cần thiết lập các thủ tục bao trùm được các kiểu sự cố bảo mật tiềm ẩn, bao gồm:

a. hỏng hóc hệ thống thông tin và mất dịch vụ;

b. từ chối dịch vụ;

c. lỗi do dữ liệu kinh doanh thiếu chính xác và thiếu tính đầy đủ;

d. vi phạm tính mật.

b) Thêm vào các thủ tục dự trù (được thiết kế nhằm khôi phục hệ thống hoặc dịch vụ nhanh nhất có thể)
có tính bao trùm (xem 6.3.4):

a. phân tích và xác định nguyên nhân sự cố;

b. lập kế hoạch và triển khai biện pháp ngăn chặn, nếu cần;

c. tập hợp các cuộc theo dõi kiểm toán và các dấu hiệu tương tự;

d. liên lạc với những nơi ảnh hưởng bởi sự cố hoặc những nơi có nhiệm vụ phục hồi sự cố;

e. báo cáo hành động tới các cấp có thẩm quyền thích hợp.

c) Các cuộc theo dõi kiểm toán cũng như các dấu hiệu tương tự cần được tập hợp (xem 12.1.7) và đảm
bảo an toàn cho:

a. phân tích các vấn đề bên trong;

b. sử dụng bằng chứng liên quan đến các lỗ hổng mắc phải, lỗ hổng về việc điều tiết các yêu cầu hoặc
các sự kiện liên quan đến luật hoặc xử lý tội phạm như luật bảo vệ dữ liệu hoặc luật về việc bảo vệ sự
lạm dụng máy tính, …;

c. dàn xếp việc đền bù từ các nhà cung cấp dịch vụ và các nhà cung cấp phần mềm.

d) Các hành động khôi phục các lỗ hổng bảo mật và các lỗi hệ thống cần được kiểm soát công khai và
cẩn thận. Thủ tục đó đảm bảo rằng:

a. chỉ nhân viên hợp pháp và được xác minh rõ ràng mới được phép truy cập tới các hệ thống và dữ liệu
sống (xem 4.2.2 cho việc truy cập của đơn vị thứ 3);

b. các hành động mang tính khẩn cấp cần được đưa ra thành văn bản cụ thể;

c. hành động khẩn cấp được báo cáo tới nhà quản lý và được xem xét lại cách thi hành;

d. tính toàn vẹn của hệ thống kinh doanh và các sự kiểm soát được xác nhận với độ trì hoãn là tối thiểu.

8.1.4 Phân bổ trách nhiệm (Segregation of duties)

Phân bổ trách nhiệm là phương pháp giảm thiểu rủi ro đối với việc lạm dụng hệ thống kể cả vô tình hay
cố tình. Cần phân bổ sự quản lý, sự thực hiện đúng bổn phận, đúng phạm vi trách nhiệm nhằm giảm
thiểu cơ hội đối với những sự lạm dụng và sửa đổi bất hợp pháp.

Đối với các tổ chức có quy mô nhỏ, khó có thể đạt được phương pháp kiểm soát theo kiểu này, tuy nhiên
về nguyên lý có thể áp dụng cho đến khi khả thi và có thể áp dụng được. Khi gặp phải khó khăn trong sự
phân bổ trách nhiệm, cần lưu ý đến các sự kiểm soát khác như giám sát các hành vi, theo dõi kiểm toán
và giám sát quản lý. Cần lưu ý rằng không có một cá nhân nào phạm tội trong phạm vi trách nhiệm của
họ vì điều đó sẽ bị phát hiện. Việc bắt đầu một sự kiện cần được tách biệt về mặt quyền hạn của nó.
Dưới đây là những quy tắc cần được lưu ý:

a) Tách biệt hành vi nhằm tránh các vấn đề lừa gạt, như đưa ra hóa đơn mua hàng và xác nhận rằng
hàng hóa đã nhận được.

b) Nếu có nguy cơ câu kết, phối hợp thì cần đặt ra các quy tắc kiểm soát nhằm thu hút những người đó,
bằng cách này có khả năng làm giảm khả năng câu kết, phối hợp của họ.

8.1.5 Phân tách tình trạng phát triển và tình trạng hoạt động của tài sản (Separation of development and
operational facilities)

Sự tách biệt giữa quá trình phát triển, kiểm tra và hoạt động của tài sản là một vấn đề quan trọng hướng
tới mục đích tách biệt về vai trò. Nguyên tắc của việc chuyển một phần mềm từ trạng thái phát triển sang
trạng thái hoạt động cần được xác định rõ và đưa thành văn bản.

Sự phát triển và các hành vi kiểm tra có thể là nguyên nhân của các vấn đề nghiêm trọng, như sửa đổi
các file ngoài ý muốn hoặc hỏng hóc về hệ thống hoặc môi trường hệ thống. Giữa môi trường phát triển,
kiểm tra và hoạt động thì mức độ tách biệt là hoàn toàn cần thiết và cần được chú ý đến nhằm ngăn chặn
các vấn đề trong khi hoạt động. Cũng cần triển khai sự phân tách tương tự giữa chức năng kiểm tra và
chức năng phát triển. Trong trường hợp này, một yêu cầu nhằm xác định môi trường là đã biết và ổn
định để thực hiện việc kiểm tra và ngăn chặn các truy cập không phù hợp. Nhân viên kiểm tra và phát
triển truy cập tới các hệ thống hoạt động và các thông tin của nó, họ có thể đưa vào các mã không được
phép và không được thử nghiệm hoặc là thay thế dữ liệu hoạt động. Trên một vài hệ thống, khả năng này
có thể bị lạm dụng nhằm gian lận, hoặc đưa vào các mã hiểm độc hoặc mã không được phép kiểm tra.
Các loại mã này có thể là nguyên nhân cho hàng loạt vấn đề nghiêm trọng. Hầu hết các chuyên viên phát
triển và tester đưa ra mối đe dọa cho tính mật của việc sử dụng thông tin. Sự phát triển cũng như các
hành động nhằm kiểm tra có thể là nguyên nhân dẫn đến các thay đổi phần mềm, thay đổi thông tin mà
không dự tính trước được nếu họ cùng chia sẻ môi trường tính toán. Việc tách biệt các tài sản đang hoạt
động, tài sản kiểm tra và tài sản phát triển là điều nhằm giảm thiểu rủi ro của việc thay đổi bất thường
hoặc truy cập bất hợp pháp tới hoạt động của phần mềm cũng như dữ liệu kinh doanh. Dưới đây là một
số quy tắc cần được lưu ý:

a) Việc phát triển phần mềm cũng như phần mềm đang trong trạng thái hoạt động cần chạy trên các máy
tính khác nhau, hoặc trong các domain hoặc thư mục khác.

b) Các hành vi phát triển và kiểm tra cần được tách biệt rõ ràng nếu có thể.

c) Trình biên dịch, trình soạn thảo và các tiện ích hệ thống khác không được truy cập từ hệ thống đang
hoạt động nếu không được yêu cầu.

d) Các thủ tục đăng nhập cần được sử dụng cho hoạt động cũng như kiểm tra hệ thống, nhằm giảm thiểu
các lỗi. Cần khuyến khích người sử dụng dùng các mật khẩu khác nhau cho các hệ thống này và các
menu cần hiển thị các thông điệp rõ ràng, phù hợp.

e) Các chuyên viên phát triển chỉ truy cập dùng các password đã được tạo phục vụ cho việc hỗ trợ hoạt
động của hệ thống. Các quy tắc cần đảm bảo rằng, các password được thay đổi sau khi sử dụng.

8.1.6 Quản lý tài sản bên ngoài (External facilities management)

Việc sử dụng nhà thầu bên ngoài để quản lý các tài sản xử lý thông tin có thể tiềm ẩn việc để lộ ra các
vấn đề bảo mật như khả năng làm tổn hại, phá hủy hoặc mất mát dữ liệu bên nhà thầu. Các rủi ro này
cần xác định bằng các quy tắc được thỏa thuận trước với nhà thầu và được thống nhất trong hợp đồng
(xem 4.2.2 và 4.3 về vấn đề hướng dẫn trên các hợp đồng của đơn vị thứ 3 bao gồm việc truy cập đến
các tài sản tổ chức và hợp đồng thuê khoán).

Cụ thể là:

a) xác định các ứng dụng quan trọng và mang tính nhạy cảm hơn là giữ lại trong trụ sở;

b) có sự chấp thuận của người sở hữu ứng dụng kinh doanh đó;

c) các vấn đề liên quan đến tính liên tục trong kế hoạch kinh doanh.

d) cần xác định các tiêu chuẩn về bảo mật và quy trình cho việc chấp hành đánh giá;

e) phân bổ trách nhiệm cụ thể và các thủ tục nhằm giám sát một cách hiệu quả các hành vi liên quan đến
vấn đề an toàn;

f) các trách nhiệm cũng như thủ tục báo cáo và xử lý các vấn đề về bảo mật (xem 8.1.3).

8.2 Chấp nhận và quy hoạch hệ thống (System planning and acceptance)

Mục tiêu: Giảm thiểu rủi ro do các lỗi hệ thống.

Việc yêu cầu chuẩn bị và quy hoạch hệ thống nhằm đảm bảo tính sẵn sàng đầy đủ về dung lượng cũng
như tài nguyên.

Cần đưa ra dự thảo về các yêu cầu dung lượng trong tương lai, nhằm giảm thiểu rủi ro quá tải hệ thống.

Cần thiết lập các yêu cầu hoạt động của các hệ thống mới, đưa ra thành văn bản, kiểm tra trước khi
được chấp nhận và sử dụng.

8.2.1 Quy hoạch dung lượng (Capacity planning)

Cần giám sát và dự toán các yêu cầu dung lượng trong tương lai nhằm đảm bảo tính sẵn sàng trong khả
năng xử lý và lưu trữ. Dự toán cần đưa vào danh mục các yêu cầu hệ thống, yêu cầu kinh doanh mới
cũng như định hướng hiện tại, định hướng đã dự kiến trong việc xử lý thông tin của tổ chức.

Các máy mainframe cần có một sự chú ý đặc biệt, do giá thành cao và thời gian đưa vào các chức năng
mới cần nhiều hơn. Những người quản lý các dịch vụ mainframe cần giám sát việc sử dụng các tài
nguyên chủ yếu của hệ thống, bao gồm bộ xử lý, bộ lưu trữ, việc lưu trữ file, máy in, các thiết bị đầu ra
khác và các hệ thống truyền thông. Họ cần xác định rõ hướng sử dụng một cách cụ thể trong mối quan
hệ với các ứng dụng kinh doanh hoặc sự quản lý các công cụ hệ thống thông tin. Nhà quản lý cần sử
dụng các thông tin này để xác định và tránh các lỗi thắt cổ chai, điều đó có thể đưa đến các mối đe dọa
về an toàn hệ thống hoặc các dịch vụ người dùng, và đặt ra kế hoạch thích hợp cho việc sửa lỗi.

8.2.2 Chấp nhận hệ thống (System acceptance)

Cần thiết lập các điều kiện để chấp nhận cũng như nâng cấp các phiên bản hệ thống thông tin mới đồng
thời thực hiện việc kiểm tra chặt chẽ hệ thống trước khi chấp nhận. Các nhà quản lý cần đảm bảo xác
định rõ các điều kiện, yêu cầu cho việc chấp nhận các hệ thống mới, cũng như việc thỏa thuận, đưa ra
thành văn bản và kiểm tra. Dưới đây là các quy tắc cần được lưu ý:
a) các yêu cầu về dung lượng và hiệu suất máy tính;

b) các thủ tục tìm lỗi, và thủ tục khởi động lại, các kế hoạch đối với các vấn đề xảy ra bất thường;

c) chuẩn bị và kiểm tra các thủ tục hoạt động hàng ngày nhằm đưa ra các tiêu chuẩn;

d) thỏa thuận để đưa ra các quy tắc an toàn;

e) các thủ hục hướng dẫn có tính hiệu quả;

f) sắp xếp tính liên tục trong kinh doanh, được yêu cầu ở mục 11.1;

g) chứng minh rằng sự cài đặt các hệ thống mới sẽ không làm ảnh hưởng đến các hệ thống đang tồn tại,
cụ thể là thời gian xử lý nhiều;

h) chứng minh rằng việc cân nhắc đưa vào các hệ thống mới mang lại tính hiệu quả về vấn đề bảo mật
của tổ chức;

i) đào tạo về vấn đề hoạt động và sử dụng hệ thống mới.

Vấn đề chính khi mở rộng các hệ thống mới là sự thao tác chức năng và người dùng cần được tham
khảo tại mọi giai đoạn trong quá trình phát triển nhằm đảm bảo hiệu quả hoạt động so với mục đích thiết
kế hệ thống. Cần thực hiện các sự kiểm tra thích hợp nhằm xác nhận các điều kiện chấp nhận là đầy đủ.

8.3 Bảo vệ trước phần mềm hiểm độc (Protection against malicious software)

Mục tiêu: Nhằm bảo vệ tính toàn vẹn của phần mềm và thông tin.

Cần phòng ngừa nhằm ngăn chặn và nhận dạng việc đưa vào các phần mềm hiểm độc. Phần mềm và
các tài sản xử lý thông tin là các nguy cơ cho việc đưa vào các phần mềm hiểm độc như virus máy tính,
worm, trojan (xem 10.5.4) và logic bombs. Người sử dụng cần nhận thức được mức độ nguy hiểm của
các phần mềm hiểm độc cũng như phần mềm bất hợp pháp, nếu có thể, người quản lý cần đưa ra các
quy tắc nhằm nhận dạng và ngăn chặn việc đưa vào các phần mềm hiểm độc đó. Nói một cách cụ thể,
đó là bản chất của việc đưa ra biện pháp phòng ngừa nhằm nhận dạng và ngăn chặn virus máy tính trên
các máy tính cá nhân.

8.3.1 Các quy tắc phòng ngừa phần mềm độc hại (Controls against malicious software)

Cần triển khai các quy tắc nhận dạng và ngăn chặn nhằm bảo vệ trước phần mềm độc hại và các tạo ra
nhận thức cho người dùng. Sự bảo vệ chống lại phần mềm độc hại cần dựa trên sự nhận thức về bảo
mật, các quy tắc truy cập hệ thống cũng như sự thay đổi các quy tắc quản lý. Dưới đây là một số quy tắc
cần được lưu ý:

a) yêu cầu chấp hành các chính sách đúng với licence phần mềm và ngăn chặn việc sử dụng phần mềm
bất hợp pháp (xem 12.1.2.2);

b) các chính sách bảo vệ trước các rủi ro liên quan đến file và phần mềm đang sử dụng, xuất phát hoặc
được truyền tải qua mạng ngoài tổ chức, hoặc trên bất kỳ phương tiện nào, biện pháp bảo vệ cần đưa ra
là gì (xem 10.5, đặc biệt là 10.5.4 và 10.5.5);

c) cài đặt và thường xuyên cập nhật phần mềm sửa lỗi và phần mềm nhận dạng phòng chống virus
nhằm quét các máy tính và thiết bị, coi đó là một quy tắc việc phòng ngừa hoặc là thói quen thường nhật.
d) chỉ đạo việc xem xét phần mềm và nội dung dữ liệu của hệ thống một cách thường xuyên nhằm hỗ trợ
các quá trình kinh doanh mang tính then chốt. Sự xuất hiện các file không cho phép hoặc sự sửa đổi bổ
sung bất hợp pháp cần được điều tra một cách chính thức.

e) kiểm tra các file trên thiết bị điện tử có nguồn gốc bất hợp pháp và không đáng tin cậy, hoặc các file
nhận được qua mạng không an toàn, quét virus trước khi sử dụng;

f) kiểm tra các phần đính kèm thư điện tử và kiểm tra việc download các phần mềm độc hại trước khi sử
dụng. Việc này có thể được thực hiện tại nhiều nơi khác nhau, như tại các máy chủ mail, máy tính cá
nhân hoặc khi vào mạng của một tổ chức;

g) sự quản lý các thủ tục và trách nhiệm đối với vấn đề chống virus trên các hệ thống, đào tạo cách sử
dụng của họ, báo cáo và phục hồi từ các tấn công của virus (xem 6.3 và 8.1.3);

h) các kế hoạch đảm bảo tính liên tục trong kinh doanh một cách phù hợp đối với vấn đề khôi phục các
tấn công do virus, bao gồm việc back-up phần mềm, dữ liệu cần thiết và cải tiến sự phục hồi (xem Phần
11);

i) các thủ tục nhằm xác định mọi thông tin liên quan đến phần mềm độc hại, và đảm bảo rằng các cảnh
báo là chính xác và có tác dụng nâng cao kiến thức. Các nhà quản lý cần đảm bảo rằng việc hạn chế các
nguồn tài liệu như như các tạp chí đáng tin cậy, các site trên Internet tin cậy hoặc nhà cung cấp phần
mềm chống virus, được sử dụng nhằm phân biệt các trò lừa đảo và virus thực sự. Nhân viên cần có ý
thức về vấn đề lừa đảo và những hậu quả do chúng gây ra.

Các quy tắc này đặc biệt quan trọng cho các file server trên mạng trong việc hỗ trợ một số lượng lớn các
workstation.

8.4 Công việc quản lý (Housekeeping)

Mục tiêu: Nhằm duy trì tính toàn vẹn và tính sẵn sàng của việc xử lý thông tin và các dịch vụ truyền
thông.

Cần thiết lập các thủ tục hàng ngày đối với việc thực hiện chiến lược back-up đã thống nhất trước (xem
11.1) nhằm đưa ra các bản sao lưu dữ liệu và thử đưa ra thời gian phục hồi trở lại, các sự kiện log, lỗi,
vấn đề giám sát môi trường thiết bị.

8.4.1 Sao lưu thông tin (Information back-up)

Cần đưa ra việc sao lưu các thông tin kinh doanh quan trọng cũng như phần mềm một cách thường
xuyên. Các tài sản sao lưu dữ liệu thích hợp cũng cần được cung cấp nhằm đảm bảo rằng mọi thông tin
kinh doanh mang tính quan trọng cũng như phần mềm đều được phục hồi sau các thảm họa hoặc sau
các sự hỏng hóc thiết bị. Sự sắp xếp việc sao lưu đối với các hệ thống cá nhân cần được kiểm tra
thường xuyên nhằm đảm bảo rằng chúng phù hợp với các yêu cầu cho kế hoạch về tính liên tục trong
kinh doanh (xem mục 11). Dưới đây là một số quy tắc cần được lưu ý:

a) Mức độ tối thiểu của việc sao lưu thông tin cũng như tính chính xác và tính hoàn chỉnh của việc sao
lưu, các thủ tục phục hồi được đưa ra thành văn bản và cần được lưu trữ tại những nơi có khoảng cách
tránh được sự phá hủy từ các thảm họa. Ít nhất cần đưa ra 3 lớp hoặc là 3 chu kỳ của việc backup thông
tin đối với các ứng dụng kinh doanh quan trọng.

b) Việc backup thông tin cũng cần đưa ra mức độ thích hợp về mặt vật lý và sự bảo vệ thuộc về môi
trường (xem phần 7) sao cho phù hợp với các chuẩn đã được áp dụng tại tổ chức đó (at the main site).
Các quy tắc đã áp dụng đối với các phương tiện tại vị trí của tổ chức cần được mở rộng cho vị trí
backup.

c) Các thiết bị backup cần được kiểm tra thường xuyên nếu khả thi nhằm đảm bảo tính tin cậy với các
trường hợp khẩn cấp.

d) Cần kiểm tra và thử nghiệm các thủ tục phục hồi một cách thường xuyên nhằm đảm bảo tính hiệu quả
và tính hoàn thiện trong phạm vi thời gian thao tác phục hồi cho phép.

Cần xác định thời gian lưu trữ thông tin kinh doanh quan trọng cũng như các yêu cầu lưu trữ các bản
copy một cách thường xuyên, cố định (xem 12.1.3)

8.4.2 Log của người điều hành (Operator logs)

Người điều hành cần lưu các hành vi của họ bằng file log. Bao gồm:

a) thời gian bắt đầu và kết thúc hệ thống;

b) các lỗi hệ thống và các hành động hiệu chỉnh đưa ra;

c) xác thực tính đúng đắn trong việc xử lý các file dữ liệu và đầu ra;

d) tên của người tạo ra các log.

Các log của người điều hành cần được quan tâm một cách thường xuyên, kiểm tra một cách độc lập với
các thủ tục thao tác.

8.4.3 Log ghi lỗi (Fault logging)

Cần báo cáo và đưa ra các hành động hiệu chỉnh đối với các lỗi. Các lỗi đã được người dùng báo cáo về
các vấn đề xử lý thông tin hoặc các hệ thống truyền thông cần được ghi lại. Một số quy tắc cho việc xử lý
các lỗi báo cáo bao gồm:

a) xem lại các log ghi lỗi để đảm bảo rằng các lỗi đã được giải quyết chưa;

b) xem lại các phương án hiệu chỉnh để đảm bảo rằng các quy tắc không bị xâm phạm và các hành động
đưa ra là hoàn toàn hợp pháp.

8.5 Quản trị mạng (Network management)

Mục tiêu: nhằm đảm bảo tính an toàn thông tin trong môi trường mạng và bảo vệ cơ sở hạ tầng.

Có thể yêu cầu đưa vào một số quy tắc nhằm bảo vệ dữ liệu nhạy cảm qua các mạng công cộng.

8.5.1 Các quy tắc mạng lưới (Network controls)

Phạm vi của các quy tắc được yêu cầu nhằm đạt được và duy trì tính bảo mật mạng máy tính. Các nhân
viên quản trị mạng cần triển khai các quy tắc nhằm đảm bảo tính bảo mật dữ liệu trên mạng và bảo vệ
các dịch vụ đã được kết nối từ các truy cập bất hợp pháp. Cụ thể, dưới đây là một số quy tắc cần được
lưu ý:

a) Trách nhiệm đối với hoạt động mạng cần tách biệt với các thao tác máy tính sao cho thích hợp (xem
8.1.4).
b) Cần thiết lập trách nhiệm và thủ tục đối với việc quản lý thiết bị từ xa, bao gồm thiết bị tại nơi người sử
dụng.

c) Nếu cần thiết, có thể thiết lập các quy tắc đặc biệt nhằm đảm bảo tính mật và tính toàn vẹn dữ liệu khi
đi qua các mạng công cộng, và bảo vệ các hệ thống đã kết nối (xem 9.4 và 10.3). Các quy tắc đặc biệt
này có thể được yêu cầu nhằm duy trì tính sẵn sàng của các dịch vụ mạng cũng như các máy tính đã kết
nối.

d) Cần phối hợp một cách chặt chẽ các hành động quản lý cả về mặt tối ưu dịch vụ lẫn kinh doanh và
đảm bảo các quy tắc được áp dụng một cách nhất quán thông qua cơ sở hạ tầng xử lý thông tin.

8.6 An toàn và xử lý thiết bị (Media handling and security)

Mục tiêu: Nhằm ngăn chặn sự phá hủy tài sản và làm gián đoạn hoạt động kinh doanh của tổ chức.

Các thiết bị cần được quản lý và bảo vệ về mặt vật lý.

Cần thiết lập các thủ tục hoạt động thích hợp nhằm bảo vệ văn bản, thiết bị máy tính (băng, đĩa, băng
cassettes), dữ liệu đầu vào/ra và các hệ thống tài liệu trước sự phá hủy, trộm cắp và truy cập bất hợp
pháp.

8.6.1 Quản lý các thiết bị máy tính có thể di dời (Management of removable computer media)

Cần có các thủ tục cho việc quản lý phương tiện máy tính có thể di dời như băng, đĩa, băng cassette và
các báo cáo đã in ấn. Dưới đây là một số quy tắc cần được lưu ý:

a) Cần xóa bỏ các nội dung của phương tiện lưu trữ có thể sử dụng lại được nếu nội dung đó không còn
được yêu cầu.

b) Cần đưa ra các quyền hạn trong việc di dời các thiết bị khỏi tổ chức và lưu lại mọi thông tin nhằm đảm
bảo việc tuân thủ các cuộc theo dõi kiểm toán (xem 8.7.2).

c) Mọi thiết bị cần được lưu trữ tại các vị trí an toàn, môi trường an toàn phù hợp với yêu cầu của nhà
sản xuất.

Mọi thủ tục và mức độ quyền hạn (mức độ cấp phép) cần được đưa ra bằng văn bản một cách rõ ràng.

8.6.2 Loại bỏ thiết bị (Disposal of media)

Đối với những thiết bị không có nhu cầu sử dụng nữa, việc loại bỏ thiết bị này cần được đảm bảo một
cách an toàn. Các thông tin nhạy cảm có thể bị dò rỉ ra bên ngoài nếu một cá nhân bất cẩn trong việc loại
bỏ thiết bị. Cần thiết lập các thủ tục mang tính chính thức cho việc loại bỏ thiết bị một cách an toàn nhằm
giảm thiểu rủi ro. Dưới đây là một số quy tắc cần được lưu ý:

a) Thiết bị lưu trữ thông tin cần được bảo quản và loại bỏ một cách chắc chắn, an toàn, như thiêu hủy, xé
nhỏ, hoặc loại bỏ hết dữ liệu khi nó được sử dụng bởi một ứng dụng khác trong tổ chức.

b) Dưới đây là một số đề mục yêu cầu sự loại bỏ một cách an toàn:

1. các văn bản giấy;

2. âm thanh hoặc các thiết bị ghi âm khác;

3. giấy than;

4. các báo cáo xuất;

5. các máy in trước đây là in lưới;

6. băng từ;

7. các đĩa, băng cassettes có thể chuyển mang;

8. thiết bị lưu trữ quang (các dạng bao gồm phương tiện phân phối của nhà sản xuất phần mềm)

9. danh sách các chương trình;

10. kiểm tra dữ liệu;

11. hệ thống văn bản.

c) Các mục thiết bị có thể được sắp xếp dễ dàng hơn nhằm tập hợp và loại bỏ một cách an toàn, hơn là
cố gắng để phân tách các đề mục thông tin nhạy cảm.

d) Nhiều tổ chức đưa ra tập hợp cũng như các vấn đề loại bỏ dịch vụ trên giấy, thiết bị cũng như phương
tiện. Cần quan tâm đến việc mời các nhà thầu theo các quy tắc sao cho phù hợp và theo kinh nghiệm.

e) Việc loại bỏ các mục nhạy cảm cần được ghi lại nếu có thể để đảm bảo các đợt theo dõi kiểm toán.

Việc tích lũy phương tiện loại bỏ cần được xem xét sao cho việc tập hợp đạt được hiệu quả, tránh tình
trạng tập hợp thành một số lượng lớn thông tin chưa được phân loại tạo ra nguy cơ dễ bị xâm phạm hơn
là một số lượng nhỏ thông tin đã được phân loại.

8.6.3 Thủ tục xử lý thông tin (Information handling procedures)

Cần thiết lập các thủ tục cho việc xử lý và lưu trữ thông tin nhằm bảo vệ thông tin trước các sự lợi dụng
và phổ biến bất hợp pháp. Cần soạn thảo các thủ tục cho việc xử lý thông tin phù hợp với sự phân loại
thông tin (xem 5.2) trong các văn bản, các hệ thống máy tính, mạng, máy xách tay, thư, voice mail,
truyền thông giọng nói nói chung, đa phương tiện, các tài sản/ dịch vụ gửi bằng bưu điện, sử dụng các
máy fax và bất cứ các đề mục dễ bị xâm phạm khác, như blank cheques (tờ séc có chữ ký với số tiền
phải trả để trống, để cho người nhận tiền điền vào), hóa đơn. Dưới đây là một số quy tắc cần được lưu ý
(xem 5.2 và 8.7.2):

a) xử lý và dán nhãn mọi thiết bị [xem 8.7.2a];

b) giới hạn truy nhập để xác định được cá nhân bất hợp pháp;

c) lưu trữ hồ sơ về việc nhận dữ liệu hợp pháp;

d) cần đảm bảo tính toàn vẹn của dữ liệu đầu vào, quá trình xử lý đó cần được hoàn thành đúng cách
nhằm đảm bảo tính hợp lệ của dữ liệu đầu ra;

e) bảo vệ dữ liệu đầu ra sao cho phù hợp với tính nhạy cảm của nó.

f) Lưu trữ phương tiện trong môi trường phù hợp với yêu cầu nhà sản xuất;

g) Quản lý sự phân phối dữ liệu tới mức nhỏ nhất;

h) Tạo ra các bản copy dữ liệu khi gửi dữ liệu cho những người hợp pháp;

i) Xem xét lại các danh sách phân phối và danh sách những người hợp pháp tại những thời điểm hợp lý.

8.6.4 An toàn hệ thống tài liệu (Security of system documentation)

Hệ thống tài liệu chứa các thông tin nhạy cảm như mô tả các quá trình xác thực, cấu trúc dữ liệu, thủ tục
và các tiến trình của ứng dụng (xem 9.1).

Dưới đây là một số quy tắc cần được xem xét nhằm bảo vệ hệ thống văn bản chống lại các truy cập bất
hợp pháp:

a) Hệ thống văn bản cần được lưu trữ một cách an toàn.

b) Danh sách truy cập hệ thống văn bản cần được lưu trữ tới mức cụ thể nhất và được cấp phép bởi
người sở hữu ứng dụng.

c) Hệ thống tài liệu nắm giữ mạng công cộng, hoặc được cung cấp qua mạng công cộng cần được bảo
vệ một cách thích hợp.

8.7 Trao đổi thông tin và phần mềm (Exchanges of information and software)

Mục tiêu: Nhằm ngăn chặn hiện tượng mất mát, sửa đổi và lợi dụng các thông tin trao đổi giữa các tổ
chức.

Việc trao đổi thông tin cũng như phần mềm giữa các tổ chức cần được quản lý và cần chấp hành theo
luật pháp liên quan (xem Phần 12).

Việc trao đổi cần được thực hiện trên nền tảng của sự thỏa hiệp. Cần thiết lập các thủ tục cũng như các
chuẩn nhằm bảo vệ thông tin và các thiết bị truyền tải. Cũng cần xem xét doanh nghiệp và vấn đề bảo
mật có liên quan kết hợp với việc trao đổi dữ liệu điện tử, thương mại điện tử và thư điện tử cùng với các
yêu cầu cho việc điều khiển.

8.7.1 Thỏa hiệp trao đổi thông tin và phần mềm (Information and software exchange agreements)

Cần thiết lập các thỏa hiệp bao gồm cả những bản thỏa hiệp do một bên thứ 3 nắm giữ giữa các tổ chức
trong việc trao đổi thông tin cũng như phần mềm (cho dù đó là thông tin điện tử hay không). Nội dung của
một bản thỏa hiệp cần phản ánh được tính nhạy cảm của các thông tin kinh doanh. Các thỏa hiệp về điều
kiện bảo mật cần được coi trọng:

a) quản lý các trách nhiệm trong việc điều khiển hoặc truyền thông báo, gửi và nhận;

b) các thủ tục cho người gửi thông báo, truyền, gửi và nhận;

c) cụ thể các chuẩn kỹ thuật cho việc packaging và truyền tải;

d) các chuẩn xác minh người truyền tin;

e) trách nhiệm và nghĩa vụ pháp lý trong vấn đề mất mát dữ liệu;

f) sử dụng hệ thống dán nhãn được thỏa hiệp trước cho các thông tin quan trọng và nhạy cảm, đảm bảo
rằng, ý nghĩa của các nhãn này dễ hiểu và thông tin được bảo vệ một cách thích hợp;

g) quyền sở hữu thông tin, phần mềm và trách nhiệm bảo vệ dữ liệu, chấp hành luật bản quyền phần
mềm và các vấn đề tương tự (xem 12.1.2 và 12.1.4);

h) chuẩn kỹ thuật cho phép ghi lại và đọc các thông tin cũng như phần mềm;

i) cần đưa ra mọi quy tắc nhằm bảo vệ các mục nhạy cảm, như các khóa mã hóa (xem 10.3.5).

8.7.2 An toàn thiết bị truyền tải (Security of media in transit)

Thông tin có thể gặp các nguy cơ truy cập bất hợp pháp, lợi dụng hoặc bị làm sai lệch trong quá trình
truyền tải vật lý, ví dụ như trường hợp gửi qua dịch vụ bưu điện hoặc qua người đưa thư. Dưới đây là
một số quy tắc cần được áp dụng nhằm bảo vệ thiết bị máy tính truyền tải giữa các vị trí.

a) Cần sử dụng phương tiện vận chuyển hoặc người đưa phải tin cậy. Danh sách những người đưa thư
tin cậy cần phù hợp sự quản lý và thủ tục để kiểm tra danh tính người đưa thư đang làm việc.

b) Bưu kiện cần được bảo vệ về nội dung một cách đầy đủ, từ những phá hủy vật lý có thể xảy ra trong
quá trình truyền tải, phù hợp với yêu cầu của nhà sản xuất.

c) Nếu cần thiết, phải chấp nhận các quy tắc đặc biệt nhằm bảo vệ các thông tin nhạy cảm từ các sự phổ
biến và sửa đổi bất hợp pháp. Chẳng hạn như:

1. sử dụng các container có khóa;

2. phân phát bằng tay;

3. bưu kiện giả (những thứ mà phát hiện nhằm đạt được sự truy cập);

4. trong trường hợp đặc biệt, phân đôi hàng hóa ký gửi thành nhiều phần và gửi đi theo nhiều con đường
khác nhau;

5. sử dụng chữ ký số và mã hóa tính mật, xem 10.3.

8.7.3 An toàn thương mại điện tử (Electronic commerce security)

Thương mại điện tử bao gồm việc sử dụng trao đổi dữ liệu điện tử (EDI – electronic data interchange),
thư điện tử và các giao dịch trực tuyến qua các mạng công cộng như Internet. Thương mại điện tử có thể
bị xâm phạm bởi những "tên trộm" trên mạng dẫn đến các hành động gian lận, hợp đồng đầy nghi ngờ
và phổ biến, sửa đổi thông tin bất hợp pháp. Cần áp dụng các quy tắc nhằm bảo vệ thương mại điện tử
từ những nguy cơ trộm cắp ở trên. Các vấn đề về bảo mật cho thương mại điện tử bao gồm một số quy
tắc dưới đây:

a) Xác thực: Khách hàng và nhà cung cấp yêu cầu mức độ bảo mật cho việc nhận dạng như thế nào?

b) Cấp phép: Ai được cấp phép để đưa ra giá cả, phát hành hoặc ký nhận các văn bản kinh doanh
chính? Làm thế nào để bạn hàng biết được điều này ?

c) Hợp đồng và quá trình bỏ thầu. Yêu cầu cho tính mật, tính toàn vẹn và việc chứng minh các văn bản
gửi đi, các văn bản nhận được và tính không thể từ chối của hợp đồng là gì?

d) Việc định giá thông tin. Mức độ tin cậy để đưa vào tính toàn vẹn của danh sách giá đã thông báo cũng
như tính bảo mật của việc sắp xếp tiền khấu trừ là gì ?

e) Thứ tự các giao dịch. Làm thế nào để đảm bảo tính mật và tính toàn vẹn đơn đặt hàng, thanh toán và
các địa chỉ giao hàng, xác nhận việc nhận hàng ?

f) Vetting.

g) Thanh toán. Dạng thích hợp nhất cho việc thanh toán nhằm chống lại các hành động gian lận là gì ?

h) Đặt hàng. Các yêu cầu bảo vệ nhằm đảm bảo tính mật và tính toàn vẹn của thông tin đặt hàng là gì, và
để tránh được các sự mất mát hoặc copy các thông tin giao dịch.

i) Trách nhiệm pháp lý. Ai là người tạo ra các rủi ro cho các giao dịch?

Các vấn đề cần xem xét ở trên phải được lưu trữ bằng cách ứng dụng kỹ thuật mã hóa đã đưa ra trong
phần 10.3, cần đưa vào các sự chấp hành các điều khoản với các yêu cầu luật pháp (xem 12.1, đặc biệt
là luật mã hóa 12.1.6).

Các thỏa thuận về thương mại điện tử giữa các nhà kinh doanh cần được hỗ trợ bởi các thỏa thuận đã
được đưa thành văn bản, những văn bản đó là những cam kết giữa các thực thể nhằm thỏa thuận trong
việc kinh doanh bao gồm, cụ thể về việc cấp phép (xem b) ở trên. Các thỏa thuận khác với nhà cung cấp
các dịch vụ thông tin và giá trị gia tăng khác cũng mang tính cần thiết. Các hệ thống kinh doanh mang
tính công cộng cần đưa ra các điều khoản của doanh nghiệp và khách hàng một cách công khai.

Điều cần quan tâm ở đây là phải đưa ra biện pháp nhằm trấn an các cuộc tấn công các máy trạm trong
môi trường TMĐT cũng như các vấn đề liên quan đến vấn đề bảo mật của các kết nối mạng (xem 9.4.7).

8.7.4 An toàn thư điện tử (Security of electronic mail)

8.7.4.1 Các rủi ro về bảo mật (Security risks)

Thư điện tử đang được sử dụng trong giao dịch truyền thông, thay thế các hình thức giao dịch truyền
thống như telex và thư tín. Điểm khác biệt của thư điện tử so với các hình thức giao dịch truyền thống là
tốc độ, cấu trúc thông điệp, mức độ thân thiện và khả năng bị xâm phạm từ các hành động bất hợp pháp.
Điều đáng quan tâm ở đây là nhu cầu cần có các quy tắc nhằm giảm thiểu rủi ro từ thư điện tử. Có thể kể
ra các rủi ro về bảo mật bao gồm:

a) Nguy cơ truy cập bất hợp pháp, sửa đổi thông điệp, hoặc từ chối dịch vụ.

b) Nguy cơ gây lỗi, như sai địa chỉ hoặc sự hướng dẫn sai địa chỉ, cũng như tính tin cậy, tính sẵn sàng
của dịch vụ nói chung.

c) Sự ảnh hưởng của việc thay đổi các phương tiện truyền thông trong quá trình kinh doanh, như hiệu
quả của việc gia tăng tốc độ gửi thông điệp hoặc hiệu quả trong việc gửi các thông điệp từ một cá nhân
tới một cá nhân hơn là từ công ty tới công ty.

d) Quan tâm đến vấn đề luật pháp, như yêu cầu chứng minh tính nguồn gốc, sự gửi đi, phân phát và
chấp nhận;

e) Các vấn đề liên quan đến việc xuất bản danh sách nhân viên có thể truy cập ở bên ngoài;

f) Quyền hạn truy cập từ xa tới tài khoản thư điện tử.

8.7.4.2 Chính sách thư điện tử (Policy on electronic mail)

Các tổ chức cần thảo ra các chính sách một cách rõ ràng về vấn đề sử dụng thư điện tử, bao gồm:

a) các tấn công thư điện tử, như nguy cơ về virus, nguy cơ ngăn chặn;

b) bảo vệ các phần đính kèm thư điện tử;

c) hướng dẫn khi không sử dụng thư điện tử;

d) trách nhiệm của nhân viên là không làm tổn hại đến công ty, như việc gửi các thư điện tử làm ảnh
hưởng đến uy tín công ty, sử dụng với mục đích quấy rối, mua bán bất hợp pháp.

e) Sử dụng kỹ thuật mã hóa để bảo vệ tính mật và tính toàn vẹn của thông điệp thư điện tử (xem 10.3);

f) Nếu đã lưu trữ, giữ lại các thông điệp nhằm phục vụ trong trường hợp liên quan đến luật pháp;

g) Đưa vào các quy tắc cho các thông điệp mang tính hiệu chỉnh (vetting messaging), đó là những thông
điệp không thể được xác thực.

8.7.5 An toàn các hệ thống văn phòng điện tử (Security of electronic office systems)

Các chính sách cũng như các nguyên tắc chỉ đạo cần được chuẩn bị và triển khai nhằm kiểm soát các rủi
ro về an toàn cũng như các rủi ro về kinh doanh liên quan đến các hệ thống văn phòng điện tử. Các hệ
thống này cung cấp các cơ hội cho việc gieo rắc và chia sẻ các thông tin kinh doanh nhanh hơn bằng
cách sử dụng sự kết hợp của: văn bản, máy tính, phương tiện di động, thư, voice mail, truyền thông bằng
giọng nói nói chung, meltimedia, các tài sản/dịch vụ bưu điện, máy fax. Vấn đề cần quan tâm là tính bảo
mật cũng như các vấn đề kinh doanh có liên quan của các kết nối như các tài sản bao gồm:

a) Các điểm yếu của thông tin nằm trong hệ thống văn phòng, như việc ghi âm các cuộc điện thoại hoặc
các cuộc gọi đàm thoại, tính mật của các cuộc gọi, lưu trữ fax, việc mở mail, phân loại mail;

b) Chính sách và các quy tắc phù hợp nhằm quản lý việc chia sẻ thông tin như sử dụng các bảng thông
báo điện tử của tập thể;

c) Loại trừ việc phân loại các thông tin kinh doanh nhạy cảm nếu hệ thống không cung cấp mức độ bảo
vệ thích hợp (xem 5.2);

d) Hạn chế việc truy cập tới thông tin nhật ký liên quan đến các cá nhân đã chọn như các nhân viên đang
làm việc trong các dự án mang tính nhạy cảm;

e) Tính thích hợp của hệ thống nhằm hỗ trợ các ứng dụng kinh doanh, như việc truyền thông các đơn đặt
hàng hoặc sự cấp phép.

f) Phân loại nhân viên, nhà thầu hoặc các bạn hàng kinh doanh cho phép sử dụng hệ thống và xác định
những gì họ có thể truy cập (xem 4.2);

g) Giới hạn các tài sản đã được chọn nhằm xác định rõ các loại cho người dùng;

h) Xác định trạng thái của người dùng, như các nhân viên của tổ chức hoặc của nhà thầu trong danh
mục cho lợi ích của những người dùng khác;

i) Lưu trữ và back-up thông tin trên hệ thống (xem 12.1.3 và 8.4.1);

j) Rút lại các yêu cầu và sắp xếp lại (xem 11.1).
8.7.6 Các hệ thống có thể dùng chung (Publicly available systems)

Cần phải hết sức thận trọng nhằm bảo vệ tính toàn vẹn của thông tin được dùng chung dưới dạng điện
tử nhằm ngăn chặn các sự sửa đổi bất hợp pháp, những cái mà có thể gây tổn hại đến danh tiếng của tổ
chức xuất bản thông tin. Thông tin trên các hệ thống có thể dùng chung, như thông tin trên một Web
server có thể truy cập qua internet, cần tuân theo luật pháp, các quy tắc và quy định trong phạm vi quyền
lực pháp lý có thể đối với hệ thống xác định hoặc tại những nơi đang tiến hành quá trình kinh doanh. Cần
có một quá trình cấp phép mang tính chính thức trước khi thông tin được phổ biến rộng rãi.

Phần mềm, dữ liệu và các thông tin yêu cầu tính toàn vẹn cao, yêu cầu tạo ra tính sẵn sàng trên hệ thống
có thể dùng chung, cần có các cơ chế bảo vệ thích hợp, như các chữ ký số (xem 10.3.3). Các hệ thống
xuất bản điện tử, đặc biệt là cho phép thông tin phản hồi và đưa vào các thông tin một cách trực tiếp, cần
được kiểm soát một cách chặt chẽ:

a) thông tin thu được đúng theo luật bảo vệ dữ liệu (xem 12.1.4);

b) thông tin đầu vào hệ thống xuất bản cũng như được xử lý bởi hệ thống xuất bản được xử lý đầy đủ và
chính xác theo thời điểm.

c) thông tin nhạy cảm sẽ được bảo vệ trong suốt quá trình tập hợp và khi lưu trữ;

d) việc truy cập tới các hệ thống xuất bản không cho phép các truy cập không được định hướng trước
kết nối vào mạng.

8.7.7 Các dạng trao đổi thông tin khác (Other forms of information exchange)

Cần đưa vào các thủ tục và các quy tắc nhằm bảo vệ sự trao đổi thông tin thông qua việc sử dụng giọng
nói, bản sao và các tài sản truyền thông video. Thông tin có thể bị tổn thương do sự thiếu nhận thức, các
chính sách hoặc các thủ tục trong việc sử dụng các tài sản, như nghe lỏm điện thoại di động tại những
nơi công cộng, nghe trộm các answer machine, truy cập bất hợp pháp vào các hệ thống voice-mail hoặc
ngẫu nhiên gửi các bản sao tới nhầm người sử dụng các thiết bị sao chép.

Các hoạt động kinh doanh có thể bị phá vỡ và thông tin bị xâm phạm nếu các tài sản truyền thông hỏng,
bị quá tải hoặc ngắt (xem 7.2 và Phần 11).

Thông tin có thể bị xâm phạm nếu đó là các sự truy cập bởi những người dùng bất hợp pháp (xem Phần
9).

Cần thiết lập và đưa ra các chính sách về các thủ tục một cách rõ ràng trong việc sử dụng giọng nói, sao
chép và truyền thông video như dưới đây:

a) nhắc nhở nhân viên cần đưa ra biện pháp phòng ngừa thích hợp như không tiết lộ các thông tin nhạy
cảm nhằm tránh việc nghe trộm hoặc bị ngăn chặn khi gọi điện bởi:

1) những người xung quanh khi sử dụng điện thoại di động;

2) wiretapping (thủ đoạn nghe trộm điện thoại của người khác bằng cách bí mật đấu vào đường dây), và
các thủ đoạn nghe trộm khác thông qua việc truy cập vật lý tới điện thoại cầm tay hoặc đường dây điện
thoại., hoặc sử dụng máy thu khi sử dụng điện thoại di động tín hiệu tương tự;
3) people at the recipient’s end;

b) nhắc nhở nhân viên rằng họ không nói chuyện về các thông tin mật tại những nơi công cộng hoặc
hoặc mở các văn phòng và hội họp tại những nơi không kín đáo.

c) không được phép quên các thông điệp trên answer machine vì điều này có thể bị xem xét thông tin bởi
những người không có thẩm quyền, không lưu trữ tại những hệ thống dùng chung hoặc không được
phép lưu không đúng cách dẫn đến việc quay nhầm số điện thoại.

d) nhắc nhở nhân viên về các vấn đề sử dụng máy fax, như:

1) truy cập bất hợp pháp vào kho lưu trữ thông điệp đã được xây dựng sẵn.

2) cần cân nhắc và lập trình một cách ngẫu nhiên máy gửi thông điệp tới các số xác định.

3) gửi văn bản và thông điệp nhầm do quay số nhầm hoặc sử dụng các số lưu trữ không đúng.

9 Kiểm soát truy cập

9.1 Yêu cầu thương mại đối với kiểm soát truy cập

Mục tiêu: Để kiểm soát truy cập thông tin.

Truy cập thông tin, và các quá trình thương mại nên được kiểm soát trên cơ sở các yêu cầu thương mại
và bảo mật.

Nên đưa vào trương mục các chính sách phổ biến và cấp phép thông tin.

9.1.1 Chính sách kiểm soát truy cập

9.1.1.1 Các yêu cầu chính sách và thương mại

Các yêu cầu thương mại đối với việc kiểm soát truy cập nên được xác định và lập tài liệu. Các nguyên
tắc và các quyền kiểm soát truy cập đối với mỗi người dùng nên được phát biểu rõ trong trình bày chính
sách truy cập. Những người sử dụng và các nhà cung cấp dịch vụ nên được đưa ra sự trình bày rõ ràng
các yêu cầu thương mại để được các kiểm soát truy cập đáp ứng.

Chính sách nên đưa vào trương mục những điều khoản sau:

a) các yêu cầu bảo mật của các ứng dụng thương mại các thể;

b) việc xác định tất cả thông tin liên quan đến các ứng dụng thương mại;

c) các chính sách đối với việc phổ biến và cấp phép thông tin, ví dụ, yêu cầu cần biết nguyên lý và các
cấp bảo mật, và sự phân loại thông tin;

d) sự phù hợp giữa kiểm soát truy cập và các chính sách phân loại thông tin của những hệ thống và
mạng khác nhau;

e) luật định liên quan và bất kì nghĩa vụ hợp đồng nào về sự bảo vệ truy cập dữ liệu hay các dịch vụ
(xem điều 12);

f) các mô tả sơ lược truy cập người sử dụng tiêu chuẩn đối với những kiểu công việc thông thường;

g) việc quản lí các quyền truy cập trong môi trường phân phối và mạng, mà nhận ra tất cả các kiểu kết
nối có sẵn.

9.1.1.2 Các nguyên tắc kiểm soát truy cập

Trong việc xác định các nguyên tắc kiểm soát truy cập, nên có sự quan tâm chú ý đến những điều sau:

a) phân biệt giữa các nguyên tắc mà phải luôn được tuân thủ và các nguyên tắc mà là tuỳ chọn hay có
điều kiện;

b) thiết lập các nguyên tắc dựa trên giả thuyết "Cái gì phải bị ngăn cấm trừ khi được cho phép một cách
rõ ràng" hơn là nguyên tắc yếu kém "Mọi thứ đều được cho phép trừ khi bị ngăn cấm hoàn toàn";

c) các thay đổi trên các nhãn thông tin (xem 5.2), mà được bắt đầu một cách tự động bằng các điều kiện
xử lí thông tin và các nhãn được khởi đầu với sự tuỳ chọn của người dùng;

d) các thay đổi trong các quyền sử dụng mà được bắt đầu một cách tự động bởi hệ thống thông tin và
các quyền được khởi đầu bởi quản trị viên;

e) các nguyên tắc mà đòi hỏi quản trị viên hay sự đồng ý khác trước khi ban hành và các nguyên tắc mà
không đòi hỏi.

9.2 Quản lí truy cập sử dụng

Mục tiêu: Để ngăn chặn truy cập trái phép các hệ thống thông tin.

Các thủ tục chính thức nên được dùng để kiểm soát việc chỉ định các quyền truy cập các hệ thống thông
tin và các dịch vụ.

Các thủ tục sẽ bao gồm tất cả các giai đoạn trong vòng đời truy cập sử dụng, từ việc đăng kí ban đầu
những người dùng mới tới việc xoá sổ cuối cùng những người dùng mà không còn đòi hỏi truy cập các
hệ thống và các dịch vụ. Việc chú ý đặc biệt cần có, khi thích hợp, đối với yêu cầu kiểm soát việc chỉ định
các quyền truy cập đặc quyền, mà cho phép những người dùng có thể ghi đè các kiểm soát hệ thống.

9.2.1 Đăng kí sử dụng

Có thủ tục đăng kí sử dụng chính thức và xoá bỏ đối với việc cho phép truy cập tất cả các hệ thống thông
tin và các dịch vụ.

Truy cập các dịch vụ thông tin đa sử dụng nên được kiểm soát qua quá trình đăng kí sử dụng chính thức,
mà sẽ bao gồm:

a) dùng các mã sử dụng duy nhất để mà những người dùng có thể được liên kết và quy trách nhiệm cho
các hành động của họ. Sự sử dụng các mã nhóm chỉ nên được cho phép khi chúng phù hợp đối với công
việc được tiến hành;

b) kiểm tra rằng người sử dụng có sự cấp quyền từ chủ hệ thống cho việc sử dụng hệ thống thông tin
hay dịch vụ. Sự chấp nhận riêng biệt cho các quyền truy cập cũng là rất thích hợp;

c) kiểm tra rằng mức độ truy cập được cho phép là thích hợp đối với mục đích thương mại (xem 9.1) và
phù hợp với chính sách bảo mật tổ chức, ví dụ, nó không sửa đổi sự chia tách các nhiệm vụ (xem 8.1.4);

d) đưa cho những người sử dụng sự trình bày ở dạng viết các quyền truy cập của họ;
e) yêu cầu những người sử dụng kí các báo cáo, chỉ rõ rằng họ hiểu các điều kiện truy cập;

f) đảm bảo rằng các nhà cung cấp dịch vụ không cung cấp truy cập cho tới khi các thủ tục cấp quyền
được hoàn thành;

g) duy trì bản ghi chính thức của tất cả mọi người được đăng kí để sử dụng dịch vụ;

h) xoá bỏ ngay lập tức các quyền truy cập cảu những người dùng mà đã thay đổi công việc hay rời khỏi
tổ chức;

i) kiểm tra định kì, và xoá bỏ, các mã sử dụng và các tài khoản dư thừa;

j) đảm bảo rằng các mã sử dụng dư thừa không được đưa cho những người sử dụng khác.

Cần có sự chú ý tới các điều khoản bao gồm trong các hợp đồng nhân viên và các hợp đồng dịch vụ mà
xác định những thừa nhận nếu truy cập trái phép được cán bộ hay các nhân viên dịch vụ tiến hành (cũng
xem 6.1.4 và 6.3.5).

9.2.2 Quản lí đặc quyền

Việc chỉ định và sử dụng các đặc quyền (bất kì đặc tính hay điều kiện nào của hệ thống thông tin đa sử
dụng mà cho phép người dùng có thể ghi đè các kiểm soát hệ thống hay ứng dụng) nên được hạn chế
và kiểm soát. Việc sử dụng không thích hợp các đặc quyền hệ thống thường thấy là yếu tố góp phần
chính vào sự thất bại của các hệ thống mà bị vi phạm.

Các hệ thống đa sử dụng mà đòi hỏi sự bảo vệ chống việc truy cập trái phép sẽ có sự chỉ định các đặc
quyền được kiểm soát qua qúa trình cấp phép chính thức. Những bước sau đây nên được quan tâm:

a) các đặc quyền kết hợp với mỗi sản phẩm hệ thống, ví dụ, hệ điều hành, hệ thống quản lí cơ sở dữ liệu
và mỗi ứng dụng, và các phân loại nhân viên, nên được xác định;

b) các đặc quyền nên được chỉ định đối với các cá thể trên cơ sở cần-sử-dụng và trên cơ sở việc-từng-
việc, ví dụ, yêu cầu tối thiểu đối với vai trò thiết thực của chúng chỉ khi cần;

c) quá trình cấp quyền và bản ghi của tất cả các đặc quyền được chỉ định nên được duy trì, các đặc
quyền không nên được chấp thuận cho tới khi quá trình cấp phép hoàn thành;

d) sự phát triển và việc sử dụng các thủ tục hệ thống nên được xúc tiến để ngăn chặn yêu cầu cấp các
đặc quyền cho những người sử dụng;

e) các đặc quyền nên được chỉ định đặc tính sử dụng khác nhau từ những thứ được dùng cho việc sử
dụng thương mại thông thường.

9.2.3 Quản lí mật khẩu sử dụng

Các mật khẩu là các phương tiện thông thường để xác nhận đặc tính của người sử dụng để truy cập hệ
thống thông tin hay dịch vụ. Việc chỉ định các mật khẩu nên được kiểm soát qua quá trình quản lí chính
thức, phương pháp của nó sẽ:

a) yêu cầu những người sử dụng kí bản báo cáo để giữ các mật khẩu cá nhân bí mật và các mật khẩu
nhóm làm việc đơn độc bên trong các thành viên của nhóm (nó sẽ được bao gồm trong các điều khoản
và các điều kiện thuê người làm, xem 6.1.4);
b) đảm bảo rằng, khi những người sử dụng được yêu cầu duy trì các mật khẩu riêng của họ, chúng được
cung cấp ban đầu với mật khẩu tạm thời an toàn, mà chúng bị buộc phải thay đổi ngay lập tức. Các mật
khẩu tạm thời được cung cấp khi những người dùng quên mật khẩu của họ chỉ nên được cung cấp sau
sự xác định rõ ràng người sử dụng;

c) yêu cầu các mật khẩu tạm thời được đưa tới những người sử dụng một cách an toàn, việc dùng các
bên thứ ba hay các thông điệp thư điện tử không được bảo vệ (văn bản rõ ràng) nên bị ngăn cấm.

Những người sử dụng sẽ thông báo việc nhận các mật khẩu.

Các mật khẩu sẽ không bao giờ được lưu giữ trên hệ thống máy tính dưới dạng không được bảo vệ
(xem các công nghệ khác cho việc xác định và cấp phép, như là các phương pháp sinh trắc học, ví dụ,
xác minh vân tay, xác nhận chữ kí và sử dụng các thẻ phần cứng, ví dụ, các thẻ chip, có sẵn, và nên
được chú ý nếu phù hợp.

9.2.4 Xem xét lại các quyền truy cập sử dụng

Để duy trì kiểm soát hiệu quả trên truy cập dữ liệu và các dịch vụ thông tin, việc quản lí sẽ kiểm soát quá
trình chính thức theo những khoảng thời gian thường kì để xem xét các quyền truy cập của người sử
dụng để:

a) các quyền truy cập của người dùng được xem xét thường xuyên (khoảng thời gian 6 tháng được đề
nghị) và sau bất kì những thay đổi nào (xem 9.2.1);

b) việc cấp phép đối với các quyền truy cập đặc quyền (xem 9.2.2) nên được xem xét thường xuyên hơn,
khoảng thời gian 3 tháng được đề nghị;

c) những chỉ định đặc quyền được kiểm tra thường kì để đảm bảo rằng các đặc quyền trái phép không
đạt được.

9.3 Những trách nhiệm của người sử dụng

Mục tiêu: Để ngăn chặn truy cập người dùng trái phép.

Sự kết hợp những người sử dụng hợp phép là cần thiết đối với việc bảo mật hiệu quả.

Những người sử dụng nên chú tâm đến các trách nhiệm của họ đối với việc duy trì các kiểm soát truy
cập hiệu quả, đặc biệt về việc sử dụng các mật khẩu và sự bảo mật trang thiết bị người dùng.

9.3.1 Sử dụng mật khẩu

Những người sử dụng sẽ làm theo các thông lệ bảo mật tốt trong việc chọn lựa và sử dụng các mật
khẩu.

Các mật khẩu cung cấp những phương tiện xác nhận đặc tính của người dùng và để thiết lập các quyền
truy cập những điều kiện xử lí thông tin hay các dịch vụ. Tất cả những người sử dụng nên được thông
báo để:

a) giữ các mật khẩu bí mật;

b) ngăn chặn việc giữ bản ghi giấy các mật khẩu, trừ khi nó có thể được lưu trữ an toàn;
c) thay đổi các mật khẩu mỗi khi có bất kì dấu hiệu hệ thống khả thi nào hay có sự sửa đổi mật khẩu;

d) chọn các mật khẩu chất lượng với độ dài tối thiểu là 6 kí tự, mà:

1) dễ nhớ;

2) không dựa trên bất kì thứ gì mà người khác sẽ dễ dàng phỏng đoán hay tiếp nhận bằng thông tin liên
quan đến người dùng, ví dụ, tên, số điện thoại, và ngày sinh, …

3) là các kí tự đồng nhất tiếp liền nhau hay tất cả các con số hoặc tất cả các nhóm thuộc bảng mẫu tự;

e) thay đổi các mật khẩu thường kì hay dự trên số các lần truy cập (các mật khẩu cho những tài khoản
đặc quyền nên được thay đổi thường xuyên hơn các mật khẩu bình thường), và ngăn chặn việc sử dụng
lại hay xoay vòng các mật khẩu cũ;

f) thay đổi các mật khẩu tạm thời ở lần gia nhập đầu tiên;

g) không bao gồm các mật khẩu trong bất kì quá trình gia nhập tự động nào, ví dụ, được chứa trong
macro hay phím chức năng;

h) không chia sẻ các mật khẩu sử dụng cá nhân.

Nếu những người sử dụng cần truy cập đa dịch vụ hay các nền tảng và được yêu cầu duy trì đa mật
khẩu, họ sẽ được khuyên rằng họ có thể dùng mật khẩu đơn, chất lượng [xem mục d) phía trên] cho tất
cả các dịch vụ mà cung cấp mức độ bảo vệ phù hợp mật khẩu được chứa.

9.3.2 Trang bị sử dụng không được giám sát

Những người dùng sẽ đảm bảo rằng trang bị không được giám sát có sự bảo vệ thích hợp. Trang bị
được lắp đặt trong khu vực sử dụng, ví dụ, các trạm làm việc hay các máy dịch vụ tập tin, có thể đòi hỏi
sự bảo vệ đặc biệt khỏi truy cập trái phép khi được để không giám sát trong khoảng thời gian mở rộng.
Tất cả những người sử dụng và các nhà thầu nên có sự quan tâm về các yêu cầu bảo mật và các thủ tục
cho việc bảo vệ trang bị không được giám sát, cũng như những trách nhiệm của họ cho việc thực hiện
sự bảo vệ này. Những người sử dụng nên được thông báo để:

a) chấm dứt các phiên hoạt động khi kết thúc, trừ khi họ có thể được giữ an toàn bằng kĩ thuật khoá thích
hợp, ví dụ, mật khẩu bảo vệ màn hình;

b) rời các máy tính lớn khi phiên được kết thúc (ví dụ, không chỉ tắt máy hay thiết bị đầu cuối);

c) bảo mật các máy tính hay các thiết bị đầu cuối khỏi việc sử dụng trái phép bằng khoá phím hay sự
kiểm soát tương đương, ví dụ, truy cập mật khẩu, khi không dùng.

9.4 Kiểm soát truy cập mạng

Mục tiêu: Việc bảo vệ các dịch vụ nối mạng.

Sự truy cập cả các dịch vụ nối mạng bên trong và bên ngoài nên được kiểm soát.

Cần đảm bảo rằng những người dùng, mà truy cập các mạng và các dịch vụ mạng, không sửa đổi việc
bảo mật của các dịch vụ mạng này bằng việc đảm bảo:

a) các giao diện thích hợp giữa mạng của tổ chức và các mạng được các tổ chức khác, hay các mạng
công cộng;

b) các kĩ thuật xác minh thích hợp đối với những người sử dụng và trang bị;

c) kiểm soát truy cập sử dụng các dịch vụ thông tin.

9.4.1 Chính sách về việc sử dụng các dịch vụ mạng

Những kết nối không an toàn tới các dịch vụ mạng có thể tác động toàn bộ tổ chức. Những người dùng
không nên được cung cấp truy cập trực tiếp tới dịch vụ mà họ được cấp quyền riêng để sử dụng. Kiểm
soát này đặc biệt quan trọng đối với các kết nối mạng tới những ứng dụng thương mại nhạy cảm hay
then chốt hoặc tới những người dử dụng ở những vị trí rủi ro cao, ví dụ, các khu vực công cộng mà bên
ngoài sự quản lí và kiểm soát bảo mật của tổ chức.

Chính sách nên được trình bày rõ ràng liên quan đến việc sử dụng các mạng và các dịch vụ mạng. Nó sẽ
bao gồm:

a) các mạng và các dịch vụ mạng, mà được cho phép, được truy cập;

b) các thủ tục xác nhận đối với việc xác định ai được cho phép truy cập những mạng và các dịch vụ
mạng nào;

c) các kiểm soát quản lí và các thủ tục để bảo vệ truy cập các kết nối mạng và các dịch vụ mạng.

Chính sách này nên phù hợp với chính sách kiểm soát truy cập thương mại (xem 9.1).

9.4.2 Đường dẫn bắt buộc

Đường dẫn từ thiết bị đầu cuối người dùng tới dịch vụ máy tính có thể cần được kiểm soát. Các mạng
được thiết kế để cho phép phạm vi tối thiểu cho việc chia sẻ các tài nguyên và tính linh hoạt trong việc
phân tuyến.

Các đặc điểm này cũng có thể cung cấp các cơ hội cho truy cập trái phép tới các ứng dụng thương mại,
hay việc sử dụng trái phép các điều kiện thông tin. Những kiểm soát kết hợp mà hạn chế đường đi giữa
thiết bị đầu cuối người dùng và các dịch vụ máy tính, người sử dụng nó được cấp quyền truy cập, ví dụ,
tạo đường dẫn bắt buộc, có thể giảm thiểu các rủi ro này.

Mục tiêu của đường dẫn bắt buộc là để ngăn chặn bất kì những người sử dụng nào chọn các tuyến
đường bên ngoài đường đi giữa đầu cuối sử dụng và các dịch vụ mà người dùng được quyền truy cập.

Nó luôn yêu cầu sự thực hiện một số các kiểm soát tại những điểm khác nhau trong tuyến. Nguyên tắc là
để giới hạn các tuỳ chọn phân tuyến ở mỗi điểm trong mạng, qua những chọn lựa được xác định trước.

Các ví dụ là:

a) chỉ định những đường chuyên dụng hay các số điện thoại;

b) tự động kết nối các cổng tới các hệ thống ứng dụng riêng biệt hay các cổng nối bảo mật;

c) giới hạn các tuỳ chọn trình đơn và trình đơn con cho những người dùng cá thể;

d) ngăn chặn sự lang thang không giới hạn trong mạng;

e) bắt buộc việc sử dụng các hệ thống ứng dụng riêng và/hoặc các cổng nối bảo mật cho những người
dùng mạng bên ngoài;

f) kiểm soát hoạt động được cho phép nguồn tới các kết nối nơi đến theo các cổng nối bảo mật, ví dụ,
các bức tường lửa;

g) hạn chế truy cập mạng bằng việc thiết lập các vùng luận lí riêng biệt, ví dụ, các mạng riêng ảo, cho các
nhóm người dùng bên trong tổ chức (cũng xem 9.4.6).

Các yêu cầu đối với đường dẫn bắt buộc nên dựa trên chính sách kiểm soát truy cập thương mại (xem
9.1).

9.4.3 Xác nhận người dùng cho các kết nối bên ngoài

Các kết nối bên ngoài cung cấp khả năng truy cập trái phép thông tin thương mại, ví dụ, truy cập bằng
các phương pháp quay số. Vì thế, truy cập bởi những người sử dụng từ xa sẽ là đối tượng cần xác nhận.
Có những kiểu phương pháp xác nhận khác nhau, một số trong chúng cung cấp mức độ bảo vệ lớn hơn
những phương pháp khác, ví dụ, những phương pháp dựa trên việc sử dụng các công nghệ mật mã có
thể cung cấp sự xác nhận mạnh mẽ. Cần xác định mức độ bảo vệ cần thiết từ sự đánh giá rủi ro. Điều đó
là cần thiết cho sự lựa chọn thích hợp phương pháp xác nhận.

Sự xác nhận những người sử dụng từ xa có thể đạt được bằng việc dùng, ví dụ, công nghệ dựa trên mật
mã, các thẻ phần cứng, hay giao thức yêu cầu/đáp ứng. Những đường dây riêng chuyên dụng hay
phương tiện kiểm tra địa chỉ người sử dụng mạng cũng có thể được dùng để cung cấp sự bảo đảm cho
nguồn của các kết nối.

Những thủ tục quay số ngược và các kiểm soát, ví dụ, việc sử dụng các modem quay số ngược, có thể
cung cấp sự bảo vệ chống lại những kết nối trái phép và không mong muốn tới các phương tiện xử lí
thông tin của tổ chức. Kiểu kiểm soát này sẽ xác thực những người sử dụng đang cố thiết lập đường kết
nối tới mạng của tổ chức từ các vị trí ở xa. Khi sử dụng kiểm soát này, tổ chức không nên dùng các dịch
vụ mạng mà bao gồm việc gọi chuyển tiếp.

9.4.4 Xác nhận nút

Điều kiện cho kết nối tự động tới máy tính từ xa sẽ cung cấp một cách đạt được truy cập trái phép tới
ứng dụng thương mại. Các kết nối tới những hệ thống máy tính ở xa vì thế nên được xác nhận. Điều đó
đặc biệt quan trọng nếu kết nối sử dụng mạng, mà ở bên ngoài sự kiểm soát của việc quản lí bảo mật
của tổ chức. Một số ví dụ về sự xác nhận và làm thế nào để đạt được, đã được đề cập trong mục 9.4.3 ở
trên.

Sự xác nhận nút có thể phục vụ như là các phương tiện khác nhau để xác nhận các nhóm những người
dùng từ xa, khi họ được kết nối tới phương tiện máy tính an toàn, được chia sẻ (xem 9.4.3).

9.4.5 Bảo vệ cổng chẩn đoán từ xa

Truy cập tới các cổng chẩn đoán nên được kiểm soát an toàn. Nhiều máy tính và các hệ thống kết nối
được các kĩ sư bảo trì cài đặt chức năng chẩn đoán từ xa quay số cho việc sử dụng. Nếu không được
bảo vệ, các cổng chẩn đoán này cung cấp những phương tiện truy cập trái phép. Chúng vì thế nên được
bảo vệ bằng kĩ thuật bảo mật thích hợp, ví dụ, khoá phím và thủ tục để đảm bảo rằng chúng chỉ có thể
sử dụng được bằng thoả thuận giữa người quản lí dịch vụ máy tính và nhân viên hỗ trợ phần cứng/phần
mềm yêu cầu truy cập.
9.4.6 Sự chia tách trong các mạng

Các mạng ngày càng mở rộng vượt ra ngoài giới hạn những ranh giới tổ chức truyền thống, như những
cộng tác thương mại được hình thành mà có thể yêu cầu sự liên kết nối hay chia sẻ các điều kiện xử lí
thông tin và nối mạng. Sự mở rộng này có thể làm tăng rủi ro truy cập trái phép tới các hệ thống hiện
hành mà sử dụng mạng, một số trong chúng có thể yêu cầu sự bảo vệ từ những người sử dụng mạng
khác bởi tính nhạy cảm hay tính quan trọng của chúng. Trong các trường hợp như vậy, việc đưa những
kiểm soát vào bên trong mạng, để phân tách các nhóm dịch vụ thông tin, những người dùng và các hệ
thống thông tin, nên được quan tâm.

Một phương pháp kiểm soát tính bảo mật của những mạng lớn là chia chúng thành các vùng mạng luận
lí riêng biệt, ví dụ, những vùng mạng bên trong của tổ chức và các vùng mạng bên ngoài, mỗi cái được
bảo vệ bằng vành đai bảo mật định sẵn. Vành đai này có thể được thực hiện bằng việc cài đặt cổng nối
bảo mật giữa 2 mạng được liên kết nối để kiểm soát truy cập và dòng thông tin giữa 2 vùng. Cổng nối
này nên được cấu hình để lọc sự liên thông giữa các mạng này (xem 9.4.7 và 9.4.8) và để khoá truy cập
trái phép phù hợp với chính sách kiểm soát truy cập của tổ chức (xem 9.1). Một ví dụ của loại cổng nối
này là cái mà thông thường được coi là bức tường lửa.

Tiêu chuẩn cho việc phân tách các mạng thành các vùng nên dựa trên chính sách kiểm soát truy cập và
các yêu cầu truy cập (xem 9.1), và cũng nên đưa vào trương mục chi phí liên quan và tác động thực hiện
của việc kết hợp phân tuyến mạng hay công nghệ cổng nối (xem

9.4.7 và 9.4.8).

9.4.7 Kiểm soát kết nối mạng

Các yêu cầu chính sách kiểm soát truy cập đối với các mạng chia sẻ, đặc biệt những mạng mở rộng qua
những ranh giới tổ chức, có thể đòi hỏi sự kết hợp các kiểm soát để hạn chế dung lượng kết nối của
những người dùng. Những kiểm soát như vậy có thể được thực hiện qua các cổng nối mạng, mà có tác
dụng lọc sự liên thông bằng các phương tiện như là các bảng định sẵn hay các nguyên tắc. Những hạn
chế áp dụng nên dựa trên chính sách truy cập và các yêu cầu của những ứng dụng thương mại (xem
9.1), và nên được duy trì và cập nhật phù hợp.

Ví dụ về những ứng dụng mà các hạn chế nên được áp dụng là:

a) thư điện tử;

b) truyền tin một chiều;

c) truyền tin cả hai đường;

d) truy cập tương tác;

e) truy cập mạng có nối liền giờ hay ngày.

9.4.8 Kiểm soát phân tuyến mạng

Các mạng chia sẻ, đặc biệt những mạng mở rộng qua những ranh giới tổ chức, có thể đòi hỏi sự kết hợp
các kiểm soát phân tuyến để đảm bảo rằng các kết nối máy tính và các dòng thông tin không vi phạm
chính sách kiểm soát truy cập của những ứng dụng thương mại (xem 9.1). Kiểm soát này thường là cần
thiết đối với các mạng được chia sẻ với những người sử dụng bên thứ ba (phi tổ chức).

Những kiểm soát phân tuyến nên dựa trên các kĩ thuật kiểm tra nguồn xác thực và địa chỉ nơi đến. Việc
dịch địa chỉ mạng cũng là kĩ thuật hữu dụng cho việc phân tách các mạng và ngăn chặn các tuyến đường
truyền từ mạng của một tổ chức sang mạng của tổ chức khác.

Chúng có thể được thực hiện trong phần mềm hay phần cứng. Các phương tiện nên chú ý đến sức
mạnh của bất kì các kĩ thuật nào được triển khai.

9.4.9 Sự bảo mật các dịch vụ mạng

Phạm vi rộng các dịch vụ mạng công cộng hay riêng có sẵn, một số trong chúng đưa ra các dịch vụ giá
trị. Các dịch vụ mạng có thể có các đặc điểm bảo mật duy nhất hay phức tạp. Những tổ chức dùng các
dịch vụ mạng sẽ đảm bảo rằng sự mô tả rõ các thuộc tính bảo mật của tất cả các dịch vụ được dùng, sẽ
được cung cấp.

9.5 Kiểm soát truy cập hệ điều hành

Mục tiêu: Nhằm ngăn chặn các truy cập bất hợp pháp.

Các điều kiện bảo mật ở cấp hệ điều hành nên được dùng để giới hạn truy cập tới các tài nguyên máy
tính. Những điều kiện này sẽ có những khả năng sau:

a) xác nhận đặc tính, và thiết bị đầu cuối hoặc vị trí của mỗi người dùng được quyền nếu cần;

b) ghi lại những truy cập thành công và thất bại;

c) cung cấp những phương tiện cho việc xác nhận, nếu hệ thống quản lí mật khẩu được sử dụng, nó sẽ
đảm bảo được chất lượng của các mật khẩu [xem 9.3.1 d];

d) giới hạn thích hợp thời gian kết nối của những người dùng.

Các chế độ kiểm soát truy cập khác, như là chế độ yêu cầu/đáp ứng, sẽ sẵn dùng nếu chúng có vẻ hợp lí
trên cơ sở những rủi ro kinh doanh.

9.5.1 Xác định đầu cuối một cách tự động

Việc xác định đầu cuối tự động nên được lưu ý để xác nhận các kết nối tới những vị trí riêng biệt và tới
trang thiết bị xách tay. Xác định đầu cuối tự động là công nghệ mà có thể được dùng nếu phiên làm việc
chỉ có thể được bắt đầu từ vị trí đặc biệt hoặc từ thiết bị đầu cuối máy tính. Bộ nhận dạng trong, hoặc
được gắn kèm của thiết bị đầu cuối có thể được dùng để chỉ định thiết bị đầu cuối đặc biệt này có được
phép gửi hoặc nhận các giao tác riêng hay không. Cần áp dụng việc bảo vệ vật lí đối với thiết bị đầu cuối,
để duy trì sự bảo mật của bộ nhận dạng đầu cuối. Một số các công nghệ khác cũng có thể được dùng để
xác nhận người sử dụng (xem 9.4.3).

9.5.2 Các thủ tục log on thiết bị đầu cuối

Việc truy cập các dịch vụ thông tin sẽ có thể đạt được qua quá trình gia nhập an toàn. Thủ tục cho việc
gia nhập vào trong hệ thống máy tính nên được thiết kế để giảm thiểu cơ hội cho truy cập trái phép. Thủ
tục gia nhập vì thế sẽ trình bày ở mức tối thiểu thông tin về hệ thống, để ngăn ngừa việc cung cấp thông
tin cho những người sử dụng trái phép. Thủ tục gia nhập tốt sẽ bao gồm:
a) không hiển thị các bộ nhận diện hệ thống hoặc ứng dụng cho đến khi quá trình gia nhập được kết thúc
thành công;

b) hiển thị sự chú ý chung cảnh báo rằng máy tính sẽ chỉ được truy cập bởi người sử dụng hợp pháp;

c) không cung cấp các thông báo giúp đỡ người sử dụng trái phép trong quá trình gia nhập;

d) xác nhận thông tin gia nhập chỉ khi hoàn thành toàn bộ quá trình nhập dữ liệu. Nếu có lỗi xảy ra, hệ
thống sẽ không chỉ ra phần dữ liệu chính xác hay không đúng;

e) giới hạn số lượng các quá trình gia nhập không thành công và chú ý:

1) ghi lại những quá trình không thành công;

2) áp đặt sự trì hoãn thời gian trước khi việc cố gắng gia nhập xa hơn được cho phép hoặc loại bỏ các
quá trình gia nhập xa hơn mà không có quyền riêng;

3) ngắt các kết nối liên kết dữ liệu;

f) giới hạn thời gian tối đa và tối thiểu được phép cho quá trình gia nhập. Nếu vượt quá, hệ thống sẽ
chấm dứt việc gia nhập;

g) hiển thị thông tin sau đây khi hoàn thành việc gia nhập thành công:

1) ngày và giờ diễn ra sự gia nhập thành công trước đó;

2) những chi tiết về các quá trình gia nhập không thành kể từ đợt gia nhập thành công cuối cùng.

9.5.3 Sự nhận diện và xác nhận người sử dụng

Tất cả những người sử dụng (bao gồm nhân viên hỗ trợ kĩ thuật, như là các điều hành viên, các quản trị
viên mạng, các nhà lập trình hệ thống và các quản trị viên cơ sở dữ liệu) sẽ có bộ nhận dạng duy nhất
(mã người sử dụng) cho việc sử dụng cá nhân của họ, vì thế các hoạt động có thể được theo dõi. Mã
người dùng sẽ không đưa ra sự biểu thị mức độ đặc quyền của người sử dụng (xem 9.2.2), ví dụ, quản
lí, người giám sát.

Trong những trường hợp ngoại lê, có lợi nhuận kinh doanh rõ ràng, mã người dùng chia sẻ cho một
nhóm hoặc một công việc riêng có thể được sử dụng. Những kiểm soát hỗ trợ có thể rất cần để duy trì
khả năng giải trình.

Có các thủ tục xác nhận khác nhau, có thể được dùng để chứng minh đặc tính của người sử dụng. Các
mật khẩu (cũng xem 9.3.1 và bên dưới) là cách rất phổ biến để cung cấp sự nhận diện và xác nhận (I&A)
dựa trên điều bí mật mà chỉ người dùng biết. Cũng có thể đạt được điều đó với những phương tiện mã
hoá và các giao thức xác nhận.

Các đối tượng như là mã bộ nhớ hoặc thẻ thông minh cũng có thể được dùng cho I & A.

Những công nghệ xác nhận sinh học dùng các đặc điểm hoặc thuộc tính duy nhất của cá thể cũng có thể
được sử dụng để xác nhận đặc tính của con người. Sự liên kết của các công nghệ và kĩ thuật một cách
an toàn sẽ đưa ra sự xác thực chắc chắn hơn.

9.5.4 Hệ thống quản lí mật khẩu

Mật khẩu là một trong những phương tiện xác nhận quyền của người dùng để truy cập dịch vụ máy tính.
Các hệ thống quản lí mật khẩu sẽ cung cấp điều kiện tương tác, hiệu quả để bảo đảm các mật khẩu một
cách chất lượng (xem 9.3.1 hướng dẫn sử dụng các mật khẩu). Một số ứng dụng yêu cầu các mật khẩu
người dùng được ấn định quyền độc lập. Trong hầu hết mọi trường hợp, các mật khẩu được người sử
dụng lựa chọn và duy trì.

Hệ thống quản lí mật khẩu tốt sẽ:

a) hiệu lực hoá việc sử dụng các mật khẩu cá nhân để duy trì khả năng giải trình;

b) khi thích hợp, cho phép người sử dụng chọn và thay đổi các mật khẩu riêng của họ và bao gồm thủ
tục chứng thực;

c) hiệu lực hoá việc chọn các mật khẩu chất lượng như đã mô tả trong 9.3.1;

d) khi người sử dụng duy trì mật khẩu riêng của họ, hiệu lực hoá những thay đổi mật khẩu như đã được
mô tả trong 9.3.1;

e) khi người sử dụng chọn mật khẩu, ép buộc họ thay đổi mật khẩu tạm thời ở lần gia nhập đầu tiên (xem
9.2.3);

f) duy trì bản ghi mật khẩu lúc trước của người sử dụng, ví dụ, 12 tháng trước, và ngăn việc sử dụng lại;

g) không hiển thị mật khẩu trên màn hình khi được nhập;

h) chứa các tệp tin mật khẩu riêng biệt với dữ liệu hệ thống ứng dụng;

i) chứa các mật khẩu trong dạng được mã hoá bằng cách sử dụng thuật mã hoá;

j) thay đổi các mật khẩu cung cấp mặc định sau khi cài đặt phần mềm.

9.5.5 Sự sử dụng của các tiện ích hệ thống

Hầu hết những cuộc cài đặt có một hoặc nhiều chương trình tiện ích hệ thống mà có thể có khả năng ghi
đè các kiểm soát hệ thống và ứng dụng. Rất cần giới hạn và kiểm soát chặt chẽ việc sử dụng chúng.
Những kiểm soát sau nên được chú ý:

a) việc dùng các thủ tục xác nhận cho các tiện ích hệ thống;

b) sự chia tách các tiện ích hệ thống khỏi phần mềm ứng dụng;

c) giới hạn việc sử dụng các tiện ích hệ thống cho một số lượng tối thiểu những người dùng hợp phép và
được tin cậy;

d) xác nhận việc sử dụng thêm các tiện ích hệ thống;

e) giới hạn sự sẵn dùng của các tiện ích hệ thống, ví dụ, đối với khoảng thời gian thay đổi hợp phép;

f) ghi lại tất cả việc sử dụng các tiện ích hệ thống;

g) xác định và lập tài liệu các mức xác nhận đối với những tiện ích hệ thống;

h) sự xoá bỏ tất cả những tiện ích dựa trên phần mềm không cần thiết.
9.5.6 Báo động bắt buộc để bảo vệ người sử dụng

Nên xem xét việc cung cấp việc báo động bắt buộc đối với những người dùng. Sự quyết định có cung
cấp báo động như vậy hay không sẽ dựa trên sự đánh giá các rủi ro. Nên có những trách nhiệm được
định rõ và các thủ tục cho việc hồi đáp báo động ép buộc.

9.5.7 Thời gian tạm ngưng đầu cuối

Các thiết bị đầu cuối không hoạt động mà ở những vị trí có rủi ro cao, ví dụ, các khu vực công cộng hoặc
bên ngoài sự quản lí bảo mật của tổ chức, hoặc phục vụ các hệ thống rủi ro cao, sẽ chấm dứt sau
khoảng thời gian không hoạt động định sẵn để ngăn chặn truy cập trái phép. Điều kiện tạm ngưng này sẽ
làm sạch màn hình thiết bị đầu cuối và đóng lại cả những phiên làm việc ứng dụng và mạng sau thời gian
không hoạt động đã định. Sự trì hoãn thời gian sẽ phản ánh các rủi ro bảo mật của khu vực và những
người dùng thiết bị đầu cuối.

Một hình thức về thời gian tạm ngưng đầu cuối có thể được cung cấp cho một số máy tính cá nhân, mà
sẽ xoá màn hình và ngăn chặn truy cập trái phép nhưng không đóng các phiên ứng dụng hoặc phiên
mạng.

9.5.8 Giới hạn thời gian kết nối

Những giới hạn thời gian kết nối sẽ cung cấp sự bảo mật hỗ trợ cho các ứng dụng có rủi ro cao.

Việc giới hạn khoảng thời gian mà suốt đó các kết nối đầu cuối được phép tới các dịch vụ máy tính sẽ
làm giảm cơ hội cho truy cập trái phép. Kiểm soát đó nên được chú ý đối với các ứng dụng máy tính dễ
bị hỏng, đặc biệt những ứng dụng với các thiết bị đầu cuối được đặt ở những vị trí có rủi ro cao, ví dụ,
những khu công cộng hoặc bên ngoài sự quản lí bảo mật của tổ chức.

Những ví dụ về các giới hạn này bao gồm:

a) dùng những khoảng thời gian định trước, ví dụ, cho các đường truyền tệp tin lô, hoặc các phiên làm
việc tương tác thường xuyên trong khoảng thời gian ngắn;

b) hạn chế thời gian kết nối trong các giờ làm việc thông thường nếu không có nhu cầu cho những hoạt
động thêm ngoài giờ.

9.6 Kiểm soát truy cập ứng dụng

Mục tiêu: Để ngăn chặn truy cập trái phép thông tin được trữ trong các hệ thống.

Các điều kiện bảo mật nên được dùng để hạn chế truy cập bên trong những hệ thống ứng dụng.

Truy cập luận lí phần mềm và thông tin nên được hạn chế cho những người sử dụng hợp phép.

Các hệ thống ứng dụng nên:

a) kiểm soát truy cập của người dùng tới thông tin và các chức năng hệ thống ứng dụng, phù hợp với
chính sách kiểm soát truy cập định sẵn;

b) cung cấp sự bảo vệ khỏi việc truy cập trái phép phần mềm tiện ích và hệ điều hành mà có khả năng
ghi đè các kiểm soát hệ thống hoặc ứng dụng;
c) không làm tổn hại sự bảo mật của những hệ thống khác với các nguồn thông tin được chia sẻ;

d) có khả năng cung cấp cho chỉ người sở hữu sự truy cập thông tin, các cá nhân hợp phép được chỉ
định, hoặc những nhóm người định sẵn.

9.6.1 Hạn chế truy cập thông tin

Những người dùng của các hệ thống ứng dụng, bao gồm nhân viên hỗ trợ, nên được cung cấp quyền
truy cập thông tin và các chức năng hệ thống ứng dụng phù hợp với chính sách kiểm soát truy cập được
định sẵn, dựa trên những yêu cầu ứng dụng kinh doanh riêng và phù hợp với chính sách truy cập thông
tin tổ chức (xem 9.1). Ứng dụng của những kiểm soát sau nên được cân nhắc để cung cấp những yêu
cầu hạn chế truy cập:

a) cung cấp những bảng chọn để kiểm soát truy cập tới các chức năng hệ thống ứng dụng;

b) hạn chế hiểu biết của người dùng về thông tin hoặc các chức năng hệ thống ứng dụng mà họ không
có quyền truy cập, bằng việc soạn thảo tài liệu người dùng một cách thích hợp;

c) kiểm soát các quyền truy cập của người sử dụng, ví dụ, đọc, viết, xoá, và thực thi;

d) đảm bảo rằng những kết quả từ các hệ thống ứng dụng xử lí thông tin nhạy cảm sẽ chỉ chứa đựng
thông tin liên quan tới việc sử dụng kết quả đầu ra và chỉ được gửi tới những đầu cuối và các vị trí hợp
phép, bao gồm sự xem xét lại định kì những kết quả đầu ra đó để đảm bảo rằng thông tin dư thừa sẽ
được bỏ đi.

9.6.2 Sự cách li hệ thống dễ bị tổn thương

Các hệ thống nhạy cảm có thể cần một môi trường tính toán được cô lập. Một số hệ thống ứng dụng
nhạy cảm đến nỗi rất dễ bị tổn thương, vì thế chúng đòi hỏi cách trình bày đặc biệt. Tính nhạy cảm có thể
đòi hỏi hệ thống ứng dụng chạy trên máy tính chuyên dụng, sẽ chỉ chia sẻ các nguồn tài nguyên với
những hệ thống ứng dụng tin cậy, hoặc không có các nhược điểm. Những chú ý sau áp dụng:

a) Tính nhạy cảm của hệ thống ứng dụng nên được xác định rõ ràng và được chủ ứng dụng lập tài liệu
(xem 4.1.3);

b) Khi ứng dụng dễ bị tổn thương được chạy trên môi trường chia sẻ, các hệ thống ứng dụng với cái mà
nó sẽ chia sẻ nguồn tài nguyên nên được nhận diện và khớp với chủ sở hữu ứng dụng nhạy cảm.

9.7 Theo dõi việc truy cập hệ thống và cách dùng

Mục tiêu: Để tìm ra các hoạt động trái phép.

Các hệ thống nên được theo dõi để dò tìm sự sai lệch từ chính sách kiểm soát truy cập và ghi lại các sự
kiện có thể theo dõi để cung cấp chứng cớ trong những trường hợp liên quan đến bảo mật.

Việc theo dõi hệ thống cho phép kiểm tra sự hiệu quả của những kiểm soát và xác nhận sự phù hợp với
mẫu chính sách truy cập (xem 9.1).

9.7.1 Ghi chép sự việc

Những bản ghi kiểm định ghi lại những ngoại lệ và những sự kiện liên quan đến bảo mật khác nên được
làm ra và được giữ trong khoảng thời gian thoả thuận để giúp cho các nghiên cứu và theo dõi kiểm soát
truy cập trong tương lai.

Các bản ghi kiểm định cũng sẽ bao gồm:

a) mã người sử dụng;

b) ngày và giờ gia nhập và rời hệ thống;

c) đặc tính đầu cuối hoặc vị trí nếu có thể;

d) các bản ghi về những cố gắng truy cập hệ thống thành công và bị bác bỏ;

e) các bản ghi dữ liệu và về những cố gắng truy cập tài nguyên khác.

Các bản ghi kiểm định cần đạt được như là một phần chính sách lưu giữ bản ghi hoặc bởi những yêu
cầu tập hợp chứng cớ (cũng xem điều 12).

9.7.2 Sử dụng việc theo dõi hệ thống

9.7.2.1 Các thủ tục và những phạm vi rủi ro

Những thủ tục cho việc sử dụng việc theo dõi các điều kiện xử lí thông tin nên được thiết lập. Các thủ tục
như vậy là rất cần để đảm bảo rằng những người dùng chỉ thực hiện các hoạt động hợp phép. Mức độ
theo dõi yêu cầu đối với các phương tiện cá thể nên được xác định bằng việc đánh giá rủi ro. Những khía
cạnh nên được chú ý bao gồm:

a) truy cập hợp phép, bao gồm chi tiết như là:

1) mã người dùng;

2) ngày và giờ của những sự kiện quan trọng;

3) các loại sự kiện;

4) các tệp tin được truy cập;

5) chương trình/các tiện ích được dùng;

b) tất cả các hoạt động đặc quyền, như là:

1) việc sử dụng tài khoản giám sát;

2) khởi động và ngưng hoạt động hệ thống;

3) sự đính kèm/tháo rời thiết bị đầu vào/đầu ra;

c) các cố gắng truy cập trái phép, như là:

1) những cố gắng không thành;

2) những vi phạm chính sách truy cập và những khai báo cho các cổng nối mạng và tường lửa;

3) những báo động hệ thống dò tìm ra sự xâm nhập;

d) những báo động hệ thống như là:

1) báo động màn hình hoặc các thông báo;

2) báo động quản lý mạng

9.7.2.2 Những yếu tố rủi ro

Kết quả của các hoạt động theo dõi nên được xem xét lại thường kì. Tính thường xuyên của việc xem xét
sẽ phụ thuộc vào những rủi ro có liên quan. Những yếu tố rủi ro nên được quan tâm bao gồm:

a) tính quyết định của các quá trình ứng dụng;

b) giá trị, tính nhạy cảm, hoặc tính quyết định của thông tin có liên quan;

c) phạm vi của liên kết nối hệ thống (đặc biệt là những mạng công cộng).

9.7.2.3 Ghi lại và xem xét các sự kiện

Sự xem xét lại bản ghi bao gồm việc hiểu rõ những mối đe doạ mà hệ thống đối mặt và cách mà chúng
nảy sinh. Những việc có thể đòi hỏi đến sự nghiên cứu xa hơn trong những trường hợp liên quan đến
bảo mật đã được nói trong 9.7.1.

Các bản ghi hệ thống thường chứa khối lượng lớn thông tin, rất nhiều trong số đó không liên quan đến
việc theo dõi bảo mật. Để giúp đỡ xác định những sự kiện cho các mục đích theo dõi bảo mật, việc sao
chép tự động các loại thông báo thích hợp sang bản ghi thứ hai, và/hoặc việc sử dụng những tiện ích hệ
thống phù hợp hay các công cụ kiểm định để thực hiện việc truy vấn tệp tin nên được quan tâm.

Khi chỉ định trách nhiệm xem xét bản ghi, sự tách biệt các vai trò nên được quan tâm giữa những người
đảm nhận việc xem xét và những hoạt động của những người này nên được giám sát.

Sự chú ý đặc biệt nên được đưa ra đối với việc bảo mật phương tiện ghi bởi vì nếu làm xáo trộn sẽ có
thể đưa ra hướng bảo mật sai. Những kiểm soát sẽ tập trung vào bảo vệ chống lại những thay đổi trái
phép và các vấn đề hoạt động bao gồm:

a) phương tiện ghi bị làm không hoạt động;

b) những thay đổi đối với các loại thông báo được ghi;

c) các tệp ghi bị sửa chữa hoặc xoá bỏ;

d) phương tiện chứa tệp ghi bị thoái hoá, và hoặc là không thể thực hiện ghi các sự kiện hay ghi đè.

9.7.3 Sự đồng bộ hoá thời gian

Thiết định chính xác của các đồng hồ máy tính là rất quan trọng để đảm bảo độ chính xác của các bản
ghi kiểm định, mà có thể cần cho những nghiên cứu hoặc như là chứng cớ hợp pháp hay các trường
hợp kỉ luật.

Các bản ghi kiểm định không chính xác có thể cản trở những nghiên cứu và độ tin cậy của chứng cớ.

Nơi nào mà máy tính hoặc thiết bị kết nối có khả năng vận hành bộ thời gian thực, nó nên được đặt
thành tiêu chuẩn thoả thuận, ví dụ, bộ thời gian phối hợp chung (UCT) hoặc bộ thời gian chuẩn cục bộ.

Khi một số đồng hồ được biết theo thời gian, sẽ có thủ tục kiểm tra và hiệu chỉnh bất cứ thay đổi quan
trọng nào.

9.8 Điện toán di động và làm việc từ xa

Mục tiêu: Để đảm bảo bảo mật thông tin khi sử dụng các phương tiện điện toán di động và làm việc từ
xa.

Sự bảo vệ cần thiết sẽ là đối trọng với những rủi ro mà các kiểu làm việc này gây nên. Khi sử dụng điện
toán di động, những rủi ro làm việc trong môi trường không được bảo vệ nên được quan tâm và sự bảo
vệ thích hợp cần được áp dụng. Trong trường hợp làm việc từ xa, tổ chức sẽ áp dụng sự bảo vệ cho nơi
làm việc và đảm bảo rằng sự sắp xếp phù hợp sẽ bù đắp cho kiểu làm việc này.

9.8.1 Điện toán di động

Khi sử dụng các phương tiện điện toán di động, cần chú ý đặc biệt để đảm bảo rằng thông tin kinh doanh
không bị làm tổn hại.

Chính sách chính thức sẽ được thông qua mà đưa vào trong tài khoản những rủi ro của cách làm việc
với các phương tiện điện toán di động, đặc biệt trong những môi trường không được bảo vệ. Chính sách
như vậy sẽ bao gồm những yêu cầu bảo vệ vật lí, các kiểm soát truy cập, các công nghệ mã hoá, các
sao chép dự phòng, và sự bảo vệ chống virus. Chính sách này cũng sẽ bao gồm các nguyên tắc và chỉ
dẫn trong việc kết nối các phương tiện di động tới mạng và lời hướng dẫn về cách dùng các phương tiện
này ở những nơi công cộng.

Cần có sự lưu ý khi sử dụng những phương tiện điện toán di động ở những nơi công cộng, các phòng
họp và các khu vực không được bảo vệ khác bên ngoài phạm vi của tổ chức. Sự bảo vệ sẽ ngăn chặn
truy cập trái phép hoặc trình bày thông tin được chứa và được xử lí bởi các phương tiện này, ví dụ, dùng
các công nghệ mã hoá (xem 10.3).

Khi các phương tiện này được dùng ở những nơi công cộng, cần chú ý ngăn ngừa rủi ro những người
không được quyền có thể nhìn thấy. Những thủ tục chống phần mềm ác ý sẽ được dùng và được giữ
cập nhật (xem 8.3). Trang bị nên sẵn dùng để có thể cho phép sao lưu dự phòng thông tin nhanh chóng
và dễ dàng. Những sao chép dự phòng này nên có sự bảo vệ đầy đủ chống lại, ví dụ, kẻ lấy trộm hoặc
việc mất thông tin.

Sự bảo vệ phù hợp nên được đưa ra cho việc sử dụng các phương tiện di động kết nối tới mạng.

Việc truy cập từ xa thông tin thương mại qua mạng công cộng bằng việc sử dụng những phương tiện
điện toán di động sẽ chỉ xảy ra sau quá trình nhận diện và xác nhận thành công, và với các kĩ thuật kiểm
soát truy cập phù hợp (xem 9.4).

Các phương tiện điện toán di động nên được bảo vệ vật lí chống việc lấy trộm đặc biệt khi để tuỳ, ví dụ,
trong ô tô và các hình thức vận chuyển khác, phòng khách sạn, các trung tâm hội nghị và những địa điểm
họp mặt. Trang thiết bị mang theo thông tin thương mại quan trọng, nhạy cảm và/hoặc then chốt không
nên bị để mặc và, khi cần, nên được khoá vật lí, hoặc những khoá đặc biệt nên được dùng để giữ an
toàn cho thiết bị. Nhiều thông tin về bảo vệ vật lí trang thiết bị di động có thể được tìm trong 7.2.5.

Việc đào tạo nên được chuẩn bị cho nhân viên dùng điện toán di động để nâng cao hiểu biết của họ về
những rủi ro phát sinh từ cách làm việc này và những kiểm soát nên được thực hiện.
9.8.2 Làm việc từ xa

Kĩ thuật làm việc từ xa dùng công nghệ kết nối để cho phép nhân viên làm việc tách biệt từ vị trí cố định
bên ngoài tổ chức của họ. Sự bảo vệ phù hợp vị trí làm việc chống lại, ví dụ, việc lấy trộm trang thiết bị
và thông tin, việc trình bày trái phép thông tin, việc truy cập từ xa trái phép các hệ thống bên trong của tổ
chức hoặc việc lạm dụng các phương tiện.

Điều quan trọng là khả năng làm việc từ xa được cấp quyền và được kiểm soát theo sự quản lí, và các
sắp xếp phù hợp được dùng cho cách làm việc này.

Các tổ chức sẽ quan tâm phát triển chính sách, các thủ tục và các tiêu chuẩn để kiểm soát các hoạt động
làm việc từ xa. Các tổ chức sẽ chỉ cho phép những hoạt động làm việc từ xa nếu chúng thoả mãn rằng
các sắp xếp bảo vệ thích hợp và những kiểm soát được dùng, và rằng những thứ đó tuân theo chính
sách bảo mật của tổ chức. Những điều sau đây cần được quan tâm:

a) bảo vệ vật lí hiện tại của địa điểm làm việc, đưa vào trong trương mục việc bảo vệ vật lí toà nhà và môi
trường cục bộ;

b) môi trường làm việc từ xa được đề xuất;

c) những yêu cầu bảo mật các kết nối, đưa vào trong trương mục yêu cầu truy cập từ xa tới các hệ thống
bên trong của tổ chức, độ nhạy cảm của thông tin mà sẽ được truy cập và đi qua liên kết kết nối, và độ
nhạy cảm của hệ thống bên trong;

d) mối đe doạ của việc truy cập trái phép thông tin hoặc các tài nguyên từ những người khác dùng nơi ở
tạm, ví dụ, gia đình và bạn bè.

Những kiểm soát và sắp xếp cần quan tâm bao gồm:

a) sự cung cấp trang bị phù hợp và phương tiện lưu trữ cho hoạt động làm việc từ xa;

b) sự xác định công việc cho phép, số giờ làm việc, phân loại thông tin mà có thể được giữ, các hệ thống
bên trong và các dịch vụ mà người làm việc từ xa được quyền truy cập;

c) sự cung cấp trang bị kết nối phù hợp, bao gồm các phương pháp để bảo vệ truy cập từ xa;

d) bảo vệ vật lí;

e) các nguyên tắc và hướng dẫn về gia đình và sự truy cập của khách tham quan tới trang thiết bị và
thông tin;

f) sự cung cấp hỗ trợ và bảo trì phần cứng và phần mềm;

g) các thủ tục cho sao chép dự phòng và tính liên tục kinh doanh;

h) theo dõi kiểm định và bảo mật;

i) việc thu hồi các quyền truy cập và hoàn trả trang thiết bị khi hoạt động làm việc từ xa dừng lại.

10

10.1 Nh

êòc xử lý thông tin trong tổ chức và các tài sản thông tin được truy cập bởi tổ chức thứ 3. Cần kiểm soát
việc truy cập xử lý thông tin của tổ chức bởi một tổ chức thứ 3.ýò phá hủy.Caìc đơn viò thýì 3 hỗ trợ các
dịch vụ cá nhân cần được hạn chế quyền truy cập vào các khu vực an toàn hoặc khu vực đặt các tài sản
hỗ trợ quá trình xử lý thông tin chỉ khi có yêu cầu. Các sự truy cập này cần được kiểm tra và giám sát.
Việc đưa vào các vành đai và các barrier để kiểm soát các truy nhập vật lý mang tính cần thiết tại khu
vực bên trong vành đai an toàn đáp ứng các yêu cầu về an toàn khác nhau.Phaìt triêÒn vaÌ baÒo triÌ hêò
thôìng.ýÞng yêu câÌu baÒo mâòt cuÒa hêò thôìng

Muò

Đi

Vi

Những yêu cầu của hệ thống cần được xách định và phù hợp với sự phát triển của hệ thống thông tin

Tất cả những yêu cầu của bảo mật, bao gồm yêu cầu đối với những sắp xếp dự phòng, nên được xác
định ở giai đoạn các yêu cầu về đồ án, và được thoả mãn, được chấp nhận và được lập tài liệu, như là
một phần của toàn bộ hoàn cảnh kinh doanh, cho hệ thống thông tin.

10.1.1 Đặc tả và phân tích những yêu cầu của bảo mật

Những trình bày về các yêu cầu thương mại đối với những hệ thống mới, hoặc những nâng cấp các hệ
thống hiện hành sẽ xác định những yêu cầu kiểm soát. Các đặc điểm kĩ thuật như vậy sẽ tính đến những
kiểm soát tự động được kết hợp trong hệ thống, và yêu cầu cung cấp những kiểm soát thủ công. Những
chú ý tương tự nên được áp dụng khi đánh giá các gói phần mềm cho những ứng dụng thương mại. Nếu
được chú ý thích đáng, sự quản lí có thể tạo ra việc sử dụng các sản phẩm được đánh giá và được
chứng nhận độc lập.

Các yêu cầu bảo mật và những kiểm soát sẽ phản ánh giá trị thương mại của các tài sản thông tin có liên
quan, và sự thiệt hại thương mại, mà có thể xảy ra từ sự thất bại hoặc thiếu bảo mật. Cơ cấu đối với việc
phân tích các yêu cầu bảo mật và việc xác định những kiểm soát để hoàn thành chúng là việc đánh giá
rủi ro và quản lí rủi ro.

Những kiểm soát được đưa ra ở giai đoạn thiết kế để thực hiện và duy trì là rẻ hơn đáng kể so với chúng
nhưng trong lúc hoặc sau khi thực hiện.

10.2 Bảo mật trong hệ thống ứng dụng

Mục tiêu: Để ngăn chặn mất mát, sự sửa đổi hay sự sử dụng sai của người sử dụng dữ liệu trong những
hệ thống ứng dụng.

Những sự điều khiển thích hợp và kiểm định thường xuyên hay những bản ghi sự hoạt động phải được
thiết kế vào những hệ thống ứng dụng, bao gồm cả người sử dụng mà viết các ứng dụng. Những điều đó
phải có sự xác thực về nhập dữ liệu, xử lý bên trong, xuất dữ liệu

Đối với những hệ thống mà xử lý hoặc có sự tác động tới giá trị nhậy cảm hoặc là những tài sản thuộc tổ
chức thì cần phải có thêm sự điều khiển. Những sự điều khiển như thế cần được xách định trên những
yêu cầu cơ bản về bảo mật và sự đánh giá rủi ro.

10.2.1Tính hợp lệ của dữ liệu đầu vào

Dữ liệu nhập vào hệ thống ứng dụng cần phải được xác thực để đảm bảo rằng dữ liệu đó là đúng và phù
hợp. Kiểm tra phải được áp dụng vào dữ liệu đầu vào của các phiên kinh doanh, dữ liệu cá nhân (tên và
địa chỉ, giới hạn của thẻ tín dụng, số thẻ của khách hàng liên quan)và các bảng thông số (bán, giá, tỷ giá
hối đoái, tỉ lệ thuế). Những quy tắc sau đây cần phải được xem xét:

a) Giá trị đầu vào và kiểm tra giá trị đầu vào để phát hiện ra những lỗi như sau:

1) Các giá trị ở bên ngoài phạm vi cho phép

2) Lỗi ký tự trong trường dữ liệu

3) Thiếu hoặc dữ liệu không hoàn chỉnh

4) Vượt quá độ lớn của dữ liệu cho phép

5) Dữ liệu điều khiển bất hợp pháp hoặc là không chắc chắn

b) Cần xem xét, đánh giá các trường dữ liệu mang tính quan trọng một cách định kỳ nhằm confirm tính
hợp lệ và toàn vẹn của dữ liệu.

c) Xem xét những bản hard-copy của tài liệu đầu vào khi có bất kỳ sự thay đổi trái phép nhằm nhập dữ
liệu ( phải được phép khi có một thay đổi nào với tài liệu đầu vào)

d) các thủ tục xác nhận lỗi (cho việc phản hồi các lỗi xác nhận);

e) các thủ tục cho việc kiểm tra sự hợp lí của dữ liệu đầu vào;

f) việc xác định những trách nhiệm của tất cả các thành viên liên quan trong quá trình nhập dữ liệu.

10.2.2 Kiểm soát của xử lý bên trong

10.2.2.1 Các phạm vi rủi ro

Khi nhập dữ liệu một cách chính xác có thể bị sai lệch bởi sự xử lý lỗi hoặc thông qua những hành động
có chủ ý. Sự kiểm tra tính hợp lệ phải được kết hợp chặt chẽ vào hệ thống để phát hiện ra những sự sai
lệch như thế. Việc thiết kế ứng dụng phải đảm bảo rằng cần triển khai các sự hạn chế nhằm giảm thiểu
các hỏng hóc trong quá trình xử lý làm dẫn đến mất đi tính toàn vẹn dữ liệu. Những phạn vi đặc biệt cần
chú ý bao gồm:

a) cách sử dụng và vị trí của những hàm thêm và xoá trong các chương trình để thực hiện sự thay đổi dữ
liệu;

b) các thủ tục để ngăn chặn các chương trình chạy theo trật tự sai hoặc chạy sau khi lỗi trong quá trình
xử lí trước (cũng xem 8.1.1);

c) việc sử dụng các chương trình chính xác để sửa chữa lỗi để đảm bảo việc xử lí dữ liệu chính xác.

10.2.2.2 Những kiểm tra và các kiểm soát

Những kiểm soát cần thiết sẽ phụ thuộc vào bản chất của ứng dụng và tác dộng thương mại của việc
sửa đổi dữ liệu. Ví dụ về những kiểm tra mà có thể được kết hợp, bao gồm những thứ sau:

a) những kiểm soát phiên hoặc lô, để điều hoà các sai ngạch tệp dữ liệu sau những cập nhật giao tác;

b) những kiểm soát cân bằng, để kiểm tra các sai ngạch mở chống lại các sai ngạch đóng trước đó, là:
1) những kiểm soát truy cứu;

2) tổng số lần cập nhật tệp tin;

3) những kiểm soát liên trình;

c) sự xác nhận dữ liệu hệ thống phát ra (xem 10.2.1);

d) các kiểm tra tính toàn bộ của dữ liệu hoặc phần mềm được tải về, hoặc tải lên, giữa những máy tính
trung tâm và từ xa (xem 10.3.3);

e) tổng số mớ bản ghi và tệp tin;

f) các kiểm tra để đảm bảo rằng các chương trình được chạy đúng lúc;

g) các kiểm tra để đảm bảo rằng các chương trình được chạy theo đúng trật tự và kết thúc trong trường
hợp lỗi, và rằng việc xử lí xa hơn được tạm thời dừng lại cho đến khi vấn đề được giải quyết.

10.2.3 Sự xác nhận thông báo

Sự xác nhận thông báo là công nghệ được dùng để tìm ra những thay đổi trái phép, hoặc sửa đổi các nội
dung của thông báo điện tử được truyền tải. Điều đó có thể được thực hiện trong phần cứng hoặc phần
mềm cung cấp thiết bị xác nhận thông báo vật lí hay thuật toán phần mềm. Sự xác nhận thông báo nên
được chú ý đối với các ứng dụng nơi mà có yêu cầu bảo mật để bảo vệ tính toàn bộ của nội dung thông
báo, ví dụ, việc truyền tải các nguồn dự trũ điện tử, các đặc điểm kĩ thuật, các hợp đồng, những kế
hoạch… với tầm quan trọng cao hoặc những trao đổi dữ liệu điện tử tương tự khác. Sự đánh giá những
rủi ro bảo mật nên được tiến hành để xác định nếu sự xác nhận thông báo được yêu cầu và để xác định
phương pháp thực hiện phù hợp nhất.

Sự xác nhận thông báo không được thiết kế để bảo vệ các nội dung của thông báo tránh sự trình bày trái
phép. Những công nghệ mật mã (xem 10.3.2 và 10.3.3) có thể được dùng như là các công nghệ thích
hợp để thực hiện việc xác nhận thông báo.

10.2.4 Tính hợp lệ của dữ liệu đầu ra

Dữ liệu đầu ra từ một hệ thống ứng dụng phải được xác thực để đảm bảo rằng quá trình của dữ liệu
được lưu trữ là chính xác và phù hợp với sự kiện. Nói tóm lại, hệ thống được xây dựng với giả thuyết là
đảm bảo về tính hợp lệ, xác minh và kiểm thử tính chính xác của dữ liệu đầu ra. Không luôn luôn đúng
như thế. Việc xác nhận đầu ra có thể bao gồm:

a) những kiểm tra tính hợp lí để kiểm tra dữ liệu đầu ra có phù hợp hay không;

b) số lần kiểm soát tính nhất quán để đảm bảo việc xử lí tất cả dữ liệu;

c) việc cung cấp thông tin cho người đọc hoặc hệ thống xử lí theo sau để xác định độ chính xác, tính
hoàn chỉnh, độ chính xác và sự phân loại thông tin;

d) các thủ tục cho việc phản hồi những kiểm tra xác nhận đầu ra;

e) việc xác định các trách nhiệm của tất cả các thành viên có liên quan trong quá trình đưa ra dữ liệu.

10.3 Những kiểm soát mật mã

Mục tiêu: Để bảo vệ độ tin cậy, tính xác thực hoặc tính trọn vẹn của thông tin.

Các hệ thống mật mã và các công nghệ nên được dùng cho việc bảo vệ thông tin (mang tính rủi ro ) lưu
tâm đến rủi ro, và cho những thông tin khác mà các kiểm soát khác không cung cấp sự bảo vệ đầy đủ.

10.3.1 Chính sách trong việc sử dụng những kiểm soát mật mã

Việc tạo quyết định như là; giải pháp mật mã có phù hợp hay không; sẽ được nhìn nhận như là một phần
của quá trình rộng lớn của việc đánh giá rủi ro và chọn lựa những kiểm soát. Việc đánh giá rủi ro nên
được thực hiện để xác định mức độ bảo vệ mà thông tin sẽ được đưa ra. Sự đánh giá này sau đó có thể
được dùng để xác định sự kiểm soát mật mã có phù hợp hay không, kiểu kiểm soát nào nên được áp
dụng và cho mục đích và các quá trình thương mại nào.

Tổ chức nên phát triển chính sách về việc dùng các kiểm soát mật mã cho việc bảo vệ thông tin. Chính
sách đó rất cần để tối đa hoá các lợi ích và giảm thiểu các rủi ro của việc sử dụng những công nghệ mật
mã, và để chống lại việc sử dụng không hợp lí hoặc sai trái. Khi phát triển chính sách những điều sau
cần được quan tâm:

a) phương pháp quản lí đối với việc sử dụng các kiểm soát mật mã toàn bộ tổ chức, bao gồm các
nguyên tắc chung mà với chúng, thông tin thương mại sẽ được bảo vệ;

b) phương pháp quản lí khoá, bao gồm các phương pháp để giải quyết việc phục hồi thông tin được mã
hoá trong trường hợp các khoá bị mất, bị làm hỏng hoặc bị phá hoại;

c) vai trò và trách nhiệm, ví dụ, ai chịu trách nhiệm cho:

d) việc thực hiện chính sách;

e) việc quản lí khoá;

f) mức độ bảo vệ mật mã thích hợp được xác định như thế nào;

g) các tiêu chuẩn được thừa nhận cho việc thực hiện hiệu quả trong toàn bộ tổ chức (giải pháp nào được
dùng cho các quá trình thương mại nào).

10.3.2 Mã hoá

Sự mã hoá là công nghệ mật mã mà có thể được dùng để bảo vệ độ tin cậy của thông tin. Nên quan tâm
tới việc bảo vệ thông tin nhạy cảm hoặc quan trọng.

Dựa vào việc đánh giá rủi ro, mức độ bảo vệ cần thiết nên được xác định, đưa vào trong trương mục
kiểu và chất lượng của thuật toán mã hoá được dùng, và độ dài của các khoá mật mã được sử dụng.

Khi thực hiện chính sách mật mã của tổ chức, nên quan tâm tới những điều chỉnh và các hạn chế quốc
gia mà có thể áp dụng việc sử dụng những công nghệ mật mã ở những nơi khác nhau trên thế giới, và
tới những vấn đề về dòng chảy thông tin mã hoá xuyên biên giới. Thêm vào đó, nên chú ý tới những
kiểm soát mà áp dụng việc xuất và nhập công nghệ mật mã (cũng xem 12.1.6).

Nên xin những lời khuyên của các chuyên gia để xác định mức độ bảo vệ thích hợp, để chọn các sản
phẩm phù hợp mà sẽ cung cấp sự bảo vệ cần thiết và việc thực hiện của hệ thống quản lí khoá an toàn
(cũng xem 10.3.5). Thêm vào đó, văn bản hợp pháp có thể cần đạt được, chú ý đến những luật định và
các điều chỉnh mà có thể áp dụng vào việc sử dụng dự tính kĩ thuật mã hoá của tổ chức.

10.3.3 Chữ kí điện tử

Những chữ kí số hoá cung cấp phương tiện bảo vệ tính xác thực và tính trọn vẹn của các tài liệu. Ví dụ
chúng có thể được dùng trong thương mại điện tử nơi có yêu cầu xác minh ai đã kí tài liệu điện tử và
kiểm tra các nội dung của tài liệu được kí có bị thay đổi hay không.

Những chữ kí số hoá có thể được áp dụng đối với bất kì dạng tài liệu nào được xử lí điện tử, ví dụ,
chúng có thể được dùng để kí các khoản trả, những chuyển khoản tài chính, các hợp đồng và các bản
thoả thuận.

Những chữ kí số hoá có thể được thực hiện bằng việc sử dụng công nghệ mật mã dựa trên cặp khoá
quan hệ duy nhất, một khoá được dùng để tạo chữ kí (khoá cá nhân) và khoá kia dùng để kiểm tra chữ kí
(khoá chung).

Cần có sự chú ý để bảo vệ độ tin cậy của khoá cá nhân. Khoá này nên được giữ bí mật khi bất kì ai đó
truy cập khoá này đều có thể kí các tài liệu, ví dụ, các khoản trả, các hợp đồng, bằng cách giả mạo chữ
kí của chủ sở hữu khoá này. Thêm vào đó, việc bảo vệ tính trọn vẹn của khoá chung là rất quan trọng.
Sự bảo vệ này được cung cấp bằng việc sử dụng sự chứng nhận khoá chung (xem 10.3.5).

Cần chú ý đến kiểu loại và chất lượng của thuật toán chữ kí được dùng và độ dài của các khoá được
dùng. Các khoá mã được dùng cho những chữ kí số hoá nên khác với các khoá được dùng cho việc mã
hoá (xem 10.3.2).

Khi dùng chữ kí số hoá, cần chú ý tới bất kì luật định liên quan nào mô tả những điều kiện mà với chúng,
chữ kí số hoá thừa nhận. Ví dụ, trong trường hợp thương mại điện tử, rất cần biết rõ vai trò luật pháp của
các chữ kí số hoá. Rất cần có những hợp đồng thừa nhận hoặc các thoả thuận khác để hỗ trợ việc sử
dụng những chữ kí số hoá, nơi mà cơ cấu luật pháp là không đầy đủ. Lời khuyên luật pháp nên được xin,
lưu ý đến những luật định và các quy định mà có thể áp dụng việc sử dụng định hướng các chữ kí số hoá
của tổ chức.

10.3.4 Tính không thể chối cãi của các dịch vụ

Tính không thể chối cãi của các dịch vụ được sử dụng nhằm trả lời câu hỏi: hành động hoặc sự kiện này
có thể xảy ra hay không, ví dụ, sự tranh cãi bao gồm việc sử dụng chữ kí điện tử trong hợp đồng điện tử
hay thanh toán. Chúng có thể giúp thiết lập chứng cớ để chứng minh rằng sự kiện hoặc hành động có
xảy ra hay không, ví dụ, sự phủ nhận việc gửi chỉ thị bằng cách dùng thư điện tử. Những dịch vụ này dựa
trên việc sử dụng các công nghệ mã hoá và chữ kí điện tử (cũng xem 10.3.2 và 10.3.3).

10.3.5 Quản lí khoá mã

10.3.5.1 Bảo vệ các khoá mã

Việc quản lí các khoá mật mã là cần thiết đối với sự sử dụng hiệu quả các công nghệ mật mã. Bất kì sự
làm tổn hại hoặc đánh mất các khoá mật mã có thể dẫn tới việc làm tổn hại độ tin cậy, độ xác thực
và/hoặc tính toàn vẹn của thông tin. Hệ thống quản lí nên được dùng để hỗ trợ việc sử dụng hai loại công
nghệ mật mã của tổ chức, chúng là:

a) các công nghệ khoá bí mật, nơi mà hai hoặc nhiều bên chia sẻ cùng một khoá và khoá này được dùng
để mã hoá và cả giải mã thông tin. Khoá này phải được giữ bí mật khi bất kì ai truy cập nó đều có thể giải
mã tất cả thông tin được mã hoá bằng khoá này, hoặc để đưa ra thông tin trái phép;

b) các công nghệ khoá chung, nơi mà mỗi người dùng có một cặp khoá, khoá chung (mà có thể được bất
cứ ai phát hiện) và khoá cá nhân (mà được giữ bí mật). Các công nghệ khoá chung có thể được dùng
cho việc mã hoá (xem 10.3.2) và đưa ra những chữ kí số hoá (xem 10.3.3).

Tất cả các khoá nên được bảo vệ chống lại việc sửa đổi và phá hoại, và các khoá cá nhân cần sự bảo vệ
chống lại việc trình bày trái phép. Những công nghệ mật mã cũng có thể được dùng cho mục đích này.
Sự bảo vệ vật lí nên được dùng để bảo vệ trang thiết bị được sử dụng để tạo, chứa và lấy các khoá.

10.3.5.2 Các tiêu chuẩn, các thủ tục và các phương pháp

Hệ thống quản lí khoá dựa trên tập hợp thoả thuận các tiêu chuẩn, các thủ tục và các phương pháp an
toàn cho việc:

a) tạo ra các khoá cho những hệ thống mật mã khác nhau và các ứng dụng khác nhau;

b) tạo ra và nhận các chứng nhận khoá chung;

c) phân phối các khoá tới những người dùng mong đợi, bao gồm việc các khoá được kích hoạt như thế
nào;

d) chứa các khoá, bao gồm việc những người dùng trái phép nhận quyền truy cập các khoá như thế nào;

e) thay đổi hoặc cập nhật các khoá bao gồm những nguyên tắc: khi nào các khoá sẽ được thay đổi và
điều đó sẽ được thực hiện như thế nào;

f) giải quyết các khoá bị làm hư hại;

g) thu hồi các khoá, bao gồm việc các khoá bị huỷ bỏ hoặc được kích hoạt lại như thế nào;

h) phục hồi các khoá bị mất hoặc bị hỏng – là một phần của việc quản lí thương mại, ví dụ, đối với việc
phục hồi thông tin được mã hoá;

i) lưu trữ các khoá, ví dụ, đối với thông tin được lưu trữ hoặc được lưu dự phòng;

j) làm mất hiệu lực các khoá;

k) ghi và kiểm định các hoạt động liên quan đến quản lí khoá.

Để giảm khả năng hư hỏng, các khoá nên có sự hoạt hoá định sẵn và kì hạn tái hoạt động để chúng chỉ
có thể được dùng trong khoảng giới hạn về thời gian. Khoảng thời gian này sẽ phụ thuộc vào những
hoàn cảnh mà với chúng, sự kiểm soát mật mã được sử dụng và nhận thức rủi ro.

Các thủ tục có thể cần được chú ý trong việc giải quyết những yêu cầu luật pháp cho việc truy cập các
khoá mật mã, ví dụ, thông tin mã hoá có thể cần được làm cho sẵn dùng dưới dạng không mã hoá như
là chứng cớ trong phiên toà.

Hỗ trợ cho vấn đề bảo mật được quản lí an toàn và các khoá cá nhân, việc bảo vệ các khoá chung cũng
nên được quan tâm. Có mối đe doạ về việc một số người giả mạo chữ kí số hoá bằng việc thay thế khoá
chung của người dùng bằng cái của họ. Vấn đề này được giải quyết bằng việc sử dụng sự chứng nhận
khoá chung. Những chứng nhận này sẽ được đưa ra bằng cách chấp nhận duy nhất thông tin liên quan
đến chủ sở hữu cặp khoá chung/cá nhân đối với khoá chung. Việc quá trình quản lí để tạo ra các chứng
nhận này được tin cậy vì thế là rất quan trọng. Quá trình này thông thường được tiến hành bởi việc xác
minh sự chứng nhận, mà sẽ là công việc của một tổ chức được tín nhiệm, với những kiểm soát phù hợp
và các thủ tục dùng để cung cấp mức độ tin cậy cần thiết.

Những nội dung của các thoả thuận hoặc hợp đồng với những nhà cung cấp các dịch vụ mật mã bên
ngoài, ví dụ, với sự xác minh chứng nhận, sẽ bao gồm các vấn đề về trách nhiệm pháp lí, độ tin cậy của
các dịch vụ và thời gian phản hồi cho việc cung cấp các dịch vụ (xem 4.2.2).

10.4 Sự bảo mật các tập tin hệ thống

Mục tiêu: Để đảm bảo rằng các đồ án IT và các hoạt động hỗ trợ được quản lí một cách an toàn.

Việc truy cập các tập tin hệ thống nên được kiểm soát.

Việc duy trì tính toàn vẹn hệ thống sẽ là trách nhiệm của người sử dụng hoặc nhóm phát triển, mà làm
chủ hệ thống ứng dụng hoặc phần mềm.

10.4.1 Kiểm soát phần mềm hoạt động

Sự kiểm soát nên được đưa ra để cho việc thực hiện của phần mềm trên các hệ thống vận hành. Để
giảm thiểu rủi ro việc sửa đổi sai lệch các hệ thống vận hành, những kiểm soát sau nên được quan tâm:

a) việc cập nhật các thư viện chương trình vận hành chỉ nên được người quản lí thư viện được chỉ định
thực hiện dựa trên sự cho phép quản lí thích hợp (xem 10.4.3);

b) nếu có thể, các hệ thống vận hành chỉ nên giữ mã thực thi;

c) mã thực thi không nên được thực hiện trên hệ thống vận hành cho đến khi đạt được bằng chứng của
việc kiểm tra thành công và sự chấp nhận người sử dụng, và các thư viện nguồn chương trình tương ứg
được cập nhật;

d) bản ghi kiểm định nên được duy trì đối với tất cả những cập nhật các thư viện chương trình vận hành;

e) những phiên bản phần mềm trước nên được giữ lại;

Người cung cấp phần mềm được dùng trong các hệ thống vận hành nên được duy trì liên lạc. Bất kì
quyết định nâng cấp lên phiên bản mới nên đưa vào trương mục sự bảo mật phiên bản, ví dụ, giới thiệu
chức năng bảo mật mới hoặc số lượng và mức độ của các vấn đề bảo mật tác động đến phiên bản này.
Những sửa chữa phần mềm nên được áp dụng khi mà chúng có thể giúp xoá bỏ hoặc giảm thiểu những
điểm yếu kém bảo mật.

Truy cập vật lí hoặc luận lí chỉ nên được đưa cho các nhà cung cấp cho những mục đích hỗ trợ khi cần
thiết, và với sự phê chuẩn quản lí. Các hoạt động của nhà cung cấp nên được theo dõi.

10.4.2 Bảo vệ hệ thống kiểm tra dữ liệu

Dữ liệu kiểm tra nên được bảo vệ và kiểm soát. Hệ thống và việc kiểm nhận thường đòi hỏi những khối
lượng dữ liệu kiểm tra – càng chặt chẽ càng tốt đối với dữ liệu vận hành. Việc sử dụng các cơ sở dữ liệu
vận hành chứa đựng thông tin cá nhân nên bị ngăn chặn. Nếu thông tin này được dùng, nó nên được
làm cho mất đi tính cá nhân trước khi sử dụng.

Những kiểm soát sau nên được áp dụng để bảo vệ dữ liệu vận hành, khi được dùng cho các mục đích
kiểm tra:

a) các thủ tục kiểm soát truy cập, áp dụng đối với những hệ thống ứng dụng vận hành, cũng nên áp dụng
đối với các hệ thống ứng dụng kiểm tra;

b) nên có sự xác nhận riêng rẽ ở mỗi thời điểm mà thông tin vận hành được sao chép tới hệ thống ứng
dụng kiểm tra;

c) thông tin vận hành nên được xoá khỏi hệ thống ứng dụng kiểm tra ngay lập tức sau khi việc kiểm tra
được hoàn tất;

d) việc sao chép và sử dụng thông tin vận hành nên được ghi lại để cung cấp sự theo dõi kiểm định.

10.4.3 Kiểm soát truy cập tới thư viện chương trình nguồn

Để giảm thiểu việc sửa đổi sai lệch các chương trình máy tính; sự kiểm soát chặt chẽ nên được duy trì
trên việc truy cập các thư viện nguồn chương trình như sau (cũng xem 8.3):

a) khi có thể, các thư viện nguồn chương trình không nên nằm trong những hệ thống vận hành;

b) người quản lí thư viện nên được chỉ định cho mỗi ứng dụng;

c) nhân viên hỗ trợ IT không nên có được sự truy cập không hạn chế các thư viện nguồn chương trình;

d) các chương trình đang trong giai đoạn phát triển hoặc bảo trì không nên nằm trong các thư viện nguồn
chương trình vận hành;

e) việc cập nhật các thư viện nguồn chương trình và việc đưa ra những nguồn chương trình cho các lập
trình viên chỉ nên được người quản lí thư viện được chỉ định thực hiện, dựa trên sự cấp quyền từ quản lí
viên hỗ trợ IT đối với ứng dụng;

f) những danh sách chương trình nên được giữ trong môi trường an toàn (xem 8.6.4);

g) bản ghi kiểm định nên được duy trì đối với tất cả những truy cập tới các thư viện nguồn chương trình;

h) những phiên bản cũ của các chương trình nguồn nên được lưu trữ, với sự chỉ rõ ngày và giờ chính
xác khi chúng hoạt động, cùng với tất cả phần mềm hỗ trợ, kiểm soát công việc, các xác định dữ liệu và
các thủ tục;

i) việc duy trì và sao chép các thư viện nguồn chương trình sẽ là chủ đề đối với các thủ tục kiểm soát
thay đổi chặt chẽ (xem 10.4.1).

10.5 Bảo mật trong việc phát triển và các quá trình hỗ trợ

Mục tiêu: Để duy trì sự bảo mật của phần mềm hệ thống ứng dụng và thông tin.

Dự án và các môi trường hỗ trợ nên được kiểm soát chặt chẽ.

Trách nhiệm của các nhà quản lí đối với những hệ thống ứng dụng cũng là trách nhiệm đối với việc bảo
mật đồ án hoặc môi trường hỗ trợ. Họ nên đảm bảo rằng tất cả những thay đổi hệ thống đề xuất được
xem xét lại để kiểm tra rằng họ không thay đổi sự bảo mật của hệ thống hoặc là môi trường hoạt động.

10.5.1 Các thủ tục kiểm soát thay đổi

Để giảm thiểu sự sửa đổi các hệ thống thông tin, cần có sự kiểm soát chặt chẽ việc thực hiện những thay
đổi. Các thủ tục kiểm soát tha đổi chính thức nên được tuân thủ. Chúng sẽ đảm bảo rằng việc bảo mật
và các thủ tục kiểm soát không bị sửa đổi, rằng các lập trình viên hỗ trợ đươc trao quyền truy cập chỉ
những phần này của hệ thống cần thiết cho công việc của họ, và rằng sự thoả thuận chính thức và sự
phê chuẩn bất kì thay đổi nào đều được tiếp nhận. Việc thay đổi phần mềm ứng dụng có thể tác động
đến môi trường hoạt động.

Tại bất kì nơi nào khả thi, ứng dụng và các thủ tục kiểm soát thay đổi vận hành nên được tích hợp (cũng
xem 8.1.2). Quá trình này sẽ bao gồm:

a) duy trì bản ghi ở các mức độ xác minh được chấp nhận;

b) đảm bảo rằng các thay đổi được những người sử dụng đệ trình;

c) xem xét lại những kiểm soát và các thủ tục tính toàn vẹn để đảm bảo rằng chúng sẽ không bị làm sai
lệch bởi những thay đổi;

d) xác định tất cả phần mềm máy tính, thông tin, các thực thể cơ sở dữ liệu và phần cứng mà đòi hỏi sự
sửa đổi;

e) nhận sự phê chuẩn chính thức đối với các kế hoạch chi tiết trước khi công việc bắt đầu;

f) đảm bảo rằng người sử dụng hợp phép chấp nhận những thay đổi trước khi thực hiện;

g) đảm bảo rằng việc thực hiện được tiến hành để giảm thiểu sự đổ vỡ thương mại;

h) đảm bảo rằng tập hợp tài liệu hệ thống được cập nhật khi hoàn thành mỗi thay đổi và rằng tài liệu cũ
được lưu trữ hoặc bị huỷ bỏ;

i) duy trì việc kiểm soát phiên bản đối với tất cả những cập nhật phần mềm;

j) duy trì việc theo dõi kiểm định đối với tất cả những yêu cầu thay đổi;

k) đảm bảo rằng tài liệu vận hành (xem 8.1.1) và các thủ tục người dùng được thay đổi khi cần là thích
hợp;

l) đảm bảo rằng sự thực hiện những thay đổi xảy ra đúng lúc và không làm xáo trộn quá trình thương mại
liên quan.

Nhiều tổ chức duy trì môi trường mà trong đó những người sử dụng kiểm tra phần mềm mới và nó được
đặt tách biệt với những môi trường phát triển và sản xuất. Nó cung cấp những điều kiện để kiểm soát
phần mềm mới và cho phép việc bảo vệ thông tin vận hành được dùng cho các mục đích kiểm tra.

10.5.2 Xem xét kĩ thuật các thay đổi hệ điều hành

Rất cần có sự thay đổi hệ điều hành định kì, ví dụ, để cài đặt phiên bản phần mềm hỗ trợ mới hoặc
những sửa chữa. Khi những thay đổi diễn ra, các hệ thống ứng dụng nên được xem xét lại và được kiểm
tra để đảm bảo rằng không có tác động bất lợi trong hoạt động hoặc bảo mật. Quá trình này sẽ bao gồm:

a) xem xét lại kiểm soát ứng dụng và các thủ tục tính toàn vẹn để đảm bảo rằng chúng không bị sửa đổi
sai lệch bởi những thay đổi hệ điều hành;

b) đảm bảo rằng kế hoạch hỗ trợ hàng năm và ngân sách sẽ bao gồm những xem xét lại và việc kiểm tra
hệ thống diễn ra như kết quả của những thay đổi hệ điều hành;

c) đảm bảo rằng việc khai báo những thay đổi hệ điều hành được đưa ra kịp thời để cho phép những
xem xét có thể diễn ra trước khi thực hiện;

d) đảm bảo rằng những thay đổi thích hợp được tạo cho các kế hoạch kinh doanh (xem

điều 11).

10.5.3 Những hạn chế trên các thay đổi đối với những gói phần mềm

Những sửa đổi đối với các gói phần mềm nên được ngăn cản. Các gói phần mềm được người bán cung
cấp sẽ được dùng mà không cần sửa đổi. Khi cần sửa đổi gói phần mềm, những điểm sau cần chú ý:

a) rủi ro của những kiểm soát được cài đặt sẵn và các quá trình tính toàn vẹn bị sửa đổi;

b) sự cho phép của nhà cung cấp có đạt được hay không;

c) khả năng đạt được những thay đổi cần thiết từ nhà cung cấp như những cập nhật chương trình tiêu
chuẩn;

d) sự tác động nếu tổ chức chịu trách nhiệm cho việc duy trì phần mềm trong tương lai, như là kết quả
của những thay đổi.

Nếu những thay đổi là cần thiết, phần mềm gốc nên được giữ lại và các thay đổi được áp dụng vào bản
sao. Tất cả những thay đổi nên được kiểm tra và lập tài liệu đầy đủ, để chúng có thể được áp dụng lại
vào những nâng cấp phần mềm trong tương lai nếu cần.

10.5.4 Các kênh chuyển đổi và mã Trojan

Kênh chuyển đổi có thể đưa ra thông tin bằng một số phương tiện không trực tiếp và ít người biết đến.
Nó có thể được kích hoạt qua việc thay đổi tham số, mà có thể truy cập bằng cả các thành phần hệ thống
máy tính an toàn lẫn không an toàn, hoặc bằng cách gắn thông tin vào trong dòng dữ liệu. Mã Trojan
được thiết kế để tác động tới hệ thống theo cách không hợp lệ và không được người nhận hoặc người
sử dụng chương trình chú ý hay yêu cầu. Các kênh chuyển đổi và mã Trojan hiếm khi xảy ra ngẫu nhiên.
Tại nơi nào mà các kênh chuyển đổi hoặc mã Trojan là mối quan tâm, những điều sau cần được chú ý:

a) chỉ mua các chương trình đáng tin;

b) mua các chương trình ở dạng mã nguồn, vì thế mã có thể được xác minh;

c) dùng các sản phẩm đã được đánh giá;

d) kiểm tra tất cả mã nguồn trước khi dùng;

e) kiểm soát truy cập, sửa đổi mã một khi được cài đặt;

f) dùng nhân viên tin cậy để vận hành các hệ thống quan trọng.

10.5.5 Phát triển phần mềm mua ngoài

Khi việc phát triển phần mềm được mua bên ngoài, những điểm sau đây nên được quan tâm:

a) các sắp xếp đăng kí, quyền sở hữu mã và các quyền sở hữu trí tuệ (xem 12.1.2);
b) sự chứng nhận chất lượng và sự chính xác của công việc được tiến hành;

c) các sắp xếp pháp lí trong trường hợp bên thứ ba thiếu khả năng;

d) các quyền truy cập cho việc kiểm định chất lượng và sự chính xác của công việc được thực hiện;

e) những yêu cầu hợp đồng đối với chất lượng của mã;

f) sự kiểm tra trước việc cài đặt để dò tìm mã Trojan.

11. Quản lý tính liên tục trong kinh doanh

11.1 Những khía cạnh quản lý tính liên tục trong kinh doanh

Mục tiêu: Chống lại những gián đoạn trong hoạt động kinh doanh và bảo vệ quy trình kinh doanh trước
ảnh hưởng của thảm họa và các sự cố hỏng hóc.

Cần triển khai quy trình quản lý tính liên tục trong kinh doanh nhằm giảm thiểu sự phá hủy do các thảm
hoạ hoặc các lỗi bảo mật tới mức có thể chấp nhận được thông qua việc kết hợp các quy tắc ngăn chặn
và phục hồi (chẳng hạn các sự phá hủy có thể do các thảm hoạ thiên nhiên gây nên, tai nạn, hỏng hóc
thiết bị và những hành động có chủ tâm).

Cần phân tích hậu quả từ những tai hoạ, các lỗi bảo mật cũng như việc tổn thất từ các dịch vụ.

Cần mở rộng và triển khai các kế hoạch ngắn hạn nhằm đảm bảo rằng các quy trình kinh doanh có thể
được phục hồi trong phạm vi thời gian yêu cầu. Các kế hoạch này cần được duy trì và cải thiện thành
một phần không thể thiếu trong mọi quy trình quản lý khác.

Quản lý tính liên tục trong kinh doanh cần có các quy tắc nhằm xác định và giảm thiểu rủi ro, hạn chế hậu
quả của các sự cố, đảm bảo tính liên tục của các hoạt động mang tính then chốt.

11.1.1 Quy trình quản lý tính liên tục trong kinh doanh

Cần có một quy trình quản lý đối với quá trình phát triển và duy trì tính liên tục trong kinh doanh thông
qua tổ chức. Cần đưa ra một số yếu tố chính của quy trình quản lý tính liên tục trong kinh doanh như sau:

a) nắm được khả năng gặp rủi ro cũng như ảnh hưởng của chúng đối với tổ, bao gồm việc xác định các
quy trình kinh doanh mang tính then chốt cũng như quyền ưu tiên của các quy trình này;

b) nắm được sự ảnh hưởng, khả năng xảy ra gián đoạn đối với doanh nghiệp (điều quan trọng là các giải
pháp đưa ra sẽ xử lý các sự cố nhỏ cũng như các sự cố có tính nghiêm trọng đe dọa khả năng tồn tại
của tổ chức), và thiết lập các mục tiêu kinh doanh của các tài sản tham gia vào quá trình xử lý thông tin;

c) cần tính đến việc mua hợp đồng bảo hiểm sao cho phù hợp, điều này có thể tạo thành một phần của
quá trình kinh doanh liên tục trong doanh nghiệp;

d) cần đưa ra một cách chính xác và lập tài liệu về chiến lược kinh doanh mang tính liên tục sao cho phù
hợp với mục tiêu, quyền ưu tiên về mặt kinh doanh của doanh nghiệp đã được thỏa thuận từ trước;

e) cần đưa ra một cách chính xác và lập tài liệu về kế hoạch kinh doanh mang tính liên tục theo chiến
lược đã được đưa ra từ trước;

f) thường xuyên kiểm tra và cập nhật kế hoạch cũng như các quy trình đã đề ra;
g) đảm bảo rằng việc quản lý tính liên tục trong kinh doanh được kết hợp chặt chẽ với cấu trúc cũng như
các quy trình trong tổ chức. Trách nhiệm đối với việc phối hợp giữa các quy trình quản lý tính liên tục
trong kinh doanh cần đưa ra ở một mức độ thích hợp trong tổ chức, ví dụ, tại các forum về an toàn thông
tin (xem 4.1.1).

11.1.2 Tính liên tục trong kinh doanh và phân tích các yếu tố ảnh hưởng

Kinh doanh mang tính liên tục nên bắt đầu bằng việc xác định những vấn đề mà có thể tạo ra sự gián
đoạn cho quá trình kinh doanh, ví dụ, sự hỏng hóc thiết bị, lũ lụt và hoả hoạn. Điều đó được thực hiện
bằng việc đánh giá rủi ro để xác định được ảnh hưởng đó (kể cả phạm vi thiệt hại lẫn thời gian phục hồi).
Cả hai hành động trên nên được tiến hành với sự tham gia đầy đủ của những người sở hữu các nguồn
tài nguyên cũng như quy trình kinh doanh. Sự đánh giá cần chú ý tới tất cả các quy trình kinh doanh, và
không nên bị hạn chế bởi các tài sản tham gia vào quá trình xử lí thông tin.

Phụ thuộc vào những kết quả của việc đánh giá rủi ro, kế hoạch chiến lược nên được phát triển để xác
định phương pháp mang tính tổng thể cho kinh doanh mang tính liên tục. Một khi kế hoạch đã được tạo
ra, nó nên được xác nhận bằng việc quản lí.

11.1.3 Phác thảo và thực hiện những kế hoạch liên tục

Các kế hoạch nên được phát triển để duy trì hay phục hồi những hoạt động kinh doanh trong những
phạm vi thời gian yêu cầu sau sự gián đoạn, sự bất thành của các quá trình kinh doanh then chốt. Quá
trình lập kế hoạch kinh doanh liên tục nên chú ý những điều sau:

a) xác nhận và thoả thuận tất cả những trách nhiệm và các thủ tục cấp thiết;

b) thực hiện các thủ tục khẩn cấp để cho phép sửa chửa và phục hồi trong phạm vi thời gian yêu cầu.
Chú ý đặc biệt là cần đưa ra sự đánh giá những phụ thuộc kinh doanh bên ngoài và các hợp đồng thay
thế;

c) lập tài liệu những thủ tục và các quá trình đã thoả thuận;

d) sự đào tạo nhân viên phù hợp trong những thủ tục cấp thiết và các quá trình đã thoả thuận bao gồm
sự quản lí khủng hoảng;

e) kiểm tra và cập nhật các kế hoạch;

Quá trình lập kế hoạch nên tập trung vào những mục tiêu kinh doanh cần thiết, ví dụ, phục hồi các dịch
vụ khách hàng đặc biệt với lượng thời gian chấp nhận được. Những dịch vụ và nguồn tài nguyên mà sẽ
có thể cho phép điều đó nên được chú ý, bao gồm cán bộ, những tài nguyên phi xử lí thông tin, cũng như
những sắp xếp dự trữ cho các điều kiện xử lí thông tin.

11.1.4 Cơ cấu lập kế hoạch kinh doanh liên tục

Cơ cấu đơn của các kế hoạch kinh doanh nên được duy trì để đảm bảo rằng tất cả các kế hoạch là phù
hợp, và để xác định những ưu tiên cho việc kiểm tra và duy trì. Mỗi kế hoạch kinh doanh nên xác định rõ
ràng những điều kiện cho sự hoạt động của nó, cũng như những cá nhân có trách nhiệm thực hiện mỗi
phần của kế hoạch. Khi những yêu cầu mới được xác định, những thủ tục cấp thiết đã thiết lập, ví dụ,
các kế hoạch thiếu sót hay bất kì những sắp xếp dự trữ hiện hữu, nên được sửa đổi cho thích hợp.
Cơ cấu lập kế hoạch kinh doanh nên chú ý những điều sau:

a) những điều kiện cho việc kích hoạt các kế hoạch, mô tả quá trình theo sau (làm thế nào để đánh giá
tình hình, ai có liên quan …) trước khi mỗi kế hoạch được kích hoạt;

b) các thủ tục cấp thiết, mô tả những hành động được thực hiện tiếp sau việc có liên quan gây nguy hiểm
cho các hoạt động kinh doanh và/hoặc cuộc sống con người. Nó nên bao gồm những sắp xếp cho việc
quản lí các quan hệ công đồng và cho việc liên lạc hiệu quả với những tổ chức chính quyền thích hợp, ví
dụ, cảnh sát, đội phòng cháy và chính quyền địa phương;

c) các thủ tục dự phòng, mô tả những hành động được thực hiện để chuyển những hoạt động kinh doanh
thiết yếu hoặc các dịch vụ cung cấp tới những địa điểm tạm thời khác, và để đưa các quá trình kinh
doanh hoạt động trở lại trong những phạm vi thời gian yêu cầu;

d) các thủ tục tiếp tục lại, mô tả những hành động được thực hiện để trở về những hoạt động kinh doanh
bình thường;

e) kế hoạch duy trì, xác định làm thế nào và khi nào kế hoạch được kiểm tra, và quá trình duy trì kế
hoạch;

f) những hoạt động nhận thức và đào tạo, được lập để tạo ra sự hiểu biết về các quá trình kinh doanh và
đảm bảo rằng các quá trình tiếp tục tỏ ra có hiệu quả;

g) những trách nhiệm của các cá thể, mô tả ai chịu trách nhiệm thực hiện phần nào trong kế hoạch.
Những lựa chọn khác nên được đề nghị nếu cần;

Mỗi kế hoạch nên có một chủ sở hữu riêng biệt. Những thủ tục cấp thiết, những kế hoạch dự phòng phác
thảo và các kế hoạch tiếp tục lại nên nằm trong trách nhiệm của những chủ sở hữu những tài nguyên
kinh doanh hoặc các quá trình liên quan. Việc sắp xếp các dịch vụ kĩ thuật khác, như là những phương
tiện xử lí thông tin và truyền thông, thông thường là trách nhiệm của các nhà cung cấp dịch vụ.

11.1.5 Thường xuyên kiểm tra, duy trì và đánh giá lại những kế hoạch kinh doanh

11.1.5.1 Kiểm tra các kế hoạch

Các kế hoạch kinh doanh có thể không thành khi được kiểm tra, thường là bởi những giả định không
chính xác, những sơ suất, hoặc những thay đổi trong trang thiết bị hay nhân sự. Vì thế chúng nên được
kiểm tra thường xuyên để đảm bảo rằng chúng được cập nhật và hiệu quả. Những kiểm tra như vậy
cũng sẽ đảm bảo rằng tất cả các thành viên của đội phục hồi và nhân viên liên quan khác quan tâm tới
các kế hoạch.

Lịch kiểm tra kế hoạch kinh doanh nên chỉ định làm thế nào và khi nào mỗi yếu tố trong kế hoạch sẽ
được kiểm tra. Có vẻ tốt hơn nếu kiểm tra những thành phần cá thể trong kế hoạch một cách thường
xuyên. Nhiều công nghệ nên được dùng để cung cấp sự bảo đảm rằng kế hoạch sẽ hoạt động trong thực
tế. Chúng bao gồm:

a) kiểm tra các bản thảo khác nhau (thảo luận những sắp xếp phục hồi kinh doanh dùng những gián
đoạn ví dụ);

b) những mô phỏng (đặc biệt cho việc đào tạo con người trong những vai trò quản lí khủng hoảng của
họ);

c) kiểm tra sửa chữa kĩ thuật (đảm bảo các hệ thống thông tin có thể được phục hồi một cách hiệu quả);

d) kiểm tra việc phục hồi ở vị trí khác (cho hoạt động các quá trình kinh doanh song song với các hoạt
động phục hồi ở xa địa bàn chính);

e) các kiểm tra những điều kiện cung cấp và các dịch vụ (đảm bảo các dịch vụ cung cấp bên ngoài và
các sản phẩm sẽ đáp ứng đúng bản cam kết đã kí);

f) những diễn tập hoàn chỉnh (kiểm tra rằng tổ chức, nhân sự, trang thiết bị, các phương tiện và các quá
trình có thể đương đầu với những gián đoạn);

Các công nghệ có thể được tổ chức dùng và sẽ phản ánh bản chất của kế hoạch phục hồi riêng biệt.

11.1.5.2 Duy trì và đánh giá lại các kế hoạch

Những kế hoạch kinh doanh nên được duy trì bằng những xem xét lại thường xuyên và những cập nhật
để đảm bảo tính hiệu quả không ngừng của chúng (xem 11.1.5.1 tới 11.1.5.3). Các thủ tục nên được bao
gồm bên trong chương trình quản lí thay đổi của tổ chức để đảm bảo rằng những vấn đề kinh doanh
được chú tâm thích hợp. Trách nhiệm nên được ấn định cho việc xem xét thường xuyên mỗi kế hoạch
kinh doanh, sự xác định những thay đổi trong sắp xếp kinh doanh mà chưa phản ánh trong những kế
hoạch kinh doanh nên được tiếp tục bằng việc cập nhật kế hoạch thích hợp. Quá trình kiểm soát thay đổi
chính thức này sẽ đảm bảo rằng những kế hoạch cập nhật được phân bổ và được củng cố bằng những
xem xét thường xuyên bản kế hoạch hoàn chỉnh.

Ví dụ về những hoàn cảnh mà có thể cần phải có bản kế hoạch cập nhật, bao gồm sự thu nhận trang
thiết bị mới, hoặc việc nâng cấp các hệ thống hoạt động và những thay đổi trong:

a) nhân sự;

b) địa chỉ và số điện thoại;

c) chiến lược kinh doanh;

d) địa điểm, phương tiện và tài nguyên;

e) pháp luật;

f) người thầu, nhà cung cấp và khách hàng quan trọng;

g) các quá trình, hoặc những quá trình mới/huỷ bỏ;

h) rủi ro (hoạt động và tài chính);

12 Sự hợp pháp

12.1 Sự hợp pháp với những yêu cầu pháp lí

Mục tiêu: Ngăn ngừa những vi phạm luật hình sự và dân sự, những nghĩa vụ luật định, quy định hoặc
theo hợp đồng và của bất kì những yêu cầu bảo mật nào.

Sự thiết kế, hoạt động, việc sử dụng và quản lí các hệ thống thông tin có thể là chủ thể đối với các yêu
cầu luật định, quy định và bảo mật hợp đồng.

Lời khuyên về những yêu cầu pháp lí riêng biệt nên được lấy ở những cố vấn pháp lí của tổ chức, hoặc
những người hành nghề luật pháp có chứng chỉ thích hợp. Những yêu cầu luật pháp ở từng nước là
khác nhau, và đối với thông tin được tạo ra ở một nước mà sẽ được chuyển tới nước khác (dòng dữ liệu
xuyên biên giới).

12.1.1 Sự xác định phạm vi áp dụng của luật pháp

Tất cả những yêu cầu luật định, quy định và theo hợp đồng liên quan nên được xác định rõ ràng và được
lập tài liệu cho mỗi hệ thống thông tin. Những kiểm soát riêng và những trách nhiệm cá nhân nhằm đáp
ứng những yêu cầu đó cũng nên được xác định và lập tài liệu.

12.1.2 Các quyền sở hữu trí tuệ (iPR)

12.1.2.1 Bản quyền

Những thủ tục thích hợp nên được thực hiện để đảm bảo sự chấp nhận những giới hạn luật pháp trong
việc dùng tài liệu đặc biệt nói về các quyền sở hữu trí tuệ, như là bản quyền, những quyền thiết kế, tên
thương mại. Sự vi phạm bản quyền có thể dẫn đến hành động hợp pháp mà có thể bao gồm những vụ
kiện vi phạm.

Những yêu cầu luật pháp, quy định và theo hợp đồng có thể đặt các giới hạn vào việc sao chép tài liệu
quyền sở hữu. Đặc biệt, chúng có thể đòi hỏi rằng chỉ tài liệu được phát triển bởi tổ chức, hoặc được cấp
phép hay được nhà thiết kế cung cấp cho tổ chức mới có thể được sử dụng.

12.1.2.2 Bản quyền phần mềm

Các sản phẩm phầm mềm quyền sở hữu thông thường được cung cấp với thoả thuận cấp phép để giới
hạn việc sử dụng các sản phẩm đối với những máy riêng biệt và có thể giới hạn việc sao chép tới việc
tạo ra chỉ những bản sao dự phòng. Những kiểm soát sau đây nên được quan tâm:

a) phát hành hợp đồng chấp nhận bản quyền phần mềm, xác định việc sử dụng hợp pháp các sản phẩm
phần mềm và thông tin;

b) đưa ra các tiêu chuẩn đối với những thủ tục cho việc thu nhận các sản phẩm phần mềm;

c) duy trì nhận thức về bản quyền phần mềm và những hợp đồng thu nhận, và đưa ra thông báo mục
đích đưa ra hành động kỉ luật chống lại những nhân viên vi phạm;

d) duy trì những bản đăng kí tài sản thích hợp;

e) duy trì bằng chứng và chứng cớ chủ sở hữu của những giấy phép, các đĩa chủ, sách hướng dẫn …

f) thực hiện những kiểm soát để đảm bảo rằng số người được cho phép tối đa không bị vượt quá;

g) tiến hành những kiểm tra mà chỉ phần mềm và các sản phẩm đã đăng kí được cài đặt;

h) đưa ra điều khoản cho việc duy trì những điều kiện cấp phép thích hợp;

i) đưa ra điều khoản cho việc sắp xếp hoặc lưu chuyển phần mềm;

j) sử dụng các công cụ kiểm toán thích hợp;

k) tuân thủ các điều khoản và những điều kiện đối với phần mềm và thông tin nhận được từ những mạng
công cộng (xem 8.7.6);

12.1.3 Bảo vệ những tài liệu của cơ quan.

Những bản ghi quan trọng của tổ chức nên được bảo vệ khỏi bị mất, phá hoại và làm giả. Một số bản ghi
có thể cần được giữ lại để đáp ứng những yêu cầu luật định hoặc quy định, cũng như để cung cấp
những hoạt động kinh doanh cần thiết. Những ví dụ cho điều này là các bản ghi có thể được yêu cầu như
chứng cứ rằng tổ chức hoạt động trong khuôn khổ những điều lệ luật định hoặc quy định, hoặc để đảm
bảo những biện hộ đầy đủ chống lại hành động vi phạm, hoặc để chứng thực tình trạng tài chính của tổ
chức trước các cổ đông, những đối tác và các kiểm toán viên. Khoảng thời gian và nội dung dữ liệu cho
việc lưu giữ thông tin có thể được luật quốc gia hoặc điều lệ đặt ra. Các bản ghi nên được phân loại
thành các kiểu bản ghi, ví dụ, các bản ghi tài khoản, các bản ghi cơ sở dữ liệu, các bản ghi giao tác, các
bản ghi kiểm toán và những thủ tục hoạt động, mỗi loại với những chi tiết về những khoảng thời gian lưu
giữ và loại phương tiện lưu trữ, ví dụ, giấy tờ, tấm vi phim, quang học. Bất kì khoá mã liên quan nào kết
hợp với những kho trữ mã hoá hoặc các chữ kí số hoá (xem 10.3.2 và 10.3.3) nên được giữ bảo mật và
được làm cho sẵn dùng đối với những người được cấp quyền khi cần.

Chú ý đến khả năng giảm chất lượng của phương tiện dùng cho kho chứa các bản ghi. Kho chứa và các
thủ tục trình bày nên được thực hiện phù hợp với những giới thiệu của hãng sản xuất.

Nơi nào phương tiện kho chứa điện tử được chọn, các thủ tục để đảm bảo khả năng truy cập dữ liệu (cả
phương tiện vật lí và định dạng có thể đọc được) trong suốt khoảng thời gian lưu trữ nên được tính đến,
để bảo vệ chống lại việc bị mất do bởi sự thay đổi công nghệ.

Những hệ thống kho chứa dữ liệu nên được chọn để dữ liệu cần thiết có thể được lấy theo cách có thể
chấp nhận đối với luật, ví dụ, tất cả các bản ghi cần thiết có thể được lấy trong khoảng thời gian có thể
chấp nhận và ở định dạng có thể chấp nhận.

Hệ thống kho chứa và việc trình bày sẽ đảm bảo sự xác nhận rõ ràng các bản ghi và khoảng thời gian
lưu trữ theo luật định hoặc theo quy định. Nó sẽ cho phép việc huỷ các bản ghi sau khi khoảng thời gian
đó nếu chúng không cần cho tổ chức nữa.

Để thoả mãn những nghĩa vụ trên, các bước sau nên được thực hiện bên trong tổ chức:

a) các hướng dẫn nên được đưa ra về việc lưu trữ, chứa, trình bày và huỷ bỏ các bản ghi và thông tin;

b) kế hoạch lưu trữ nên được phác thảo việc xác định những loại bản ghi cần thiết và khoảng thời gian
mà chúng được giữ lại;

c) bản kiểm kê các nguồn tài nguyên thông tin quan trọng nên được duy trì;

d) những kiểm soát thích hợp nên được thực hiện để bảo vệ các bản ghi và thông tin cần thiết không bị
mất, phá hoại và làm giả;

12.1.4 Bảo vệ dữ liệu và sự riêng tư trong thông tin cá nhân

Một số nước đã đưa ra những kiểm soát đưa vào luật định về việc xử lí và trao đổi dữ liệu cá nhân
(thông tin nói chung về các cá nhân). Những kiểm soát này có thể áp đặt trách nhiệm trong việc tập hợp,
xử lí và phổ biến thông tin cá nhân, và có thể giới hạn khả năng chuyển dữ liệu này tới các nước khác.
Sự chấp nhận luật bảo vệ dữ liệu đòi hỏi cấu trúc và sự kiểm soát quản lí thích hợp. Điều này thường đạt
được bằng việc chỉ định giới chức bảo vệ dữ liệu, người mà sẽ cung cấp hướng dẫn các nhà quản lí,
người sử dụng và các nhà cung cấp dịch vụ về trách nhiệm cá nhân của họ và những thủ tục riêng phải
thực hiện. Đó có thể là trách nhiệm của người sở hữu dữ liệu phải thông báo cho giới chức bảo vệ về
các kế hoạch lưu giữ thông tin cá nhân trong hình thức tệp tin, và đảm bảo nhận thức về các nguyên tắc
bảo vệ dữ liệu đã định theo luật pháp.

12.1.5 Ngăn chặn việc lạm dụng các phương tiện xử lí thông tin

Các phương tiện xử lí thông tin của tổ chức được cung cấp cho các mục đích kinh doanh. Việc quản lí sẽ
cho phép việc sử dụng chúng. Việc sử dụng những phương tiện này không vì mục đích kinh doanh hay
cho những mục đích không được phép, thiếu sự chấp thuận, sẽ bị coi là sự sử dụng không đúng các
phương tiện. Nếu hành động như vậy bị phát giác, sẽ bị quản lí nhân sự đưa ra hình thức kỉ luật thích
đáng. Tính hợp pháp của việc theo dõi cách sử dụng ở từng nước là khác nhau và có thể cần các nhân
viên cho ý kiến về việc theo dõi hoặc nhận được sự đồng ý của họ. Thông báo chính thức nên được đưa
ra trước khi thực hiện việc theo dõi.

Rất nhiều nước đang trong quá trình công khai, xây dựng luật để bảo vệ chống lại việc lạm dụng máy
tính. Đó có thể là vi phạm sử dụng máy tính cho những mục đích không cho phép. Vì thế, việc tất cả mọi
người lưu tâm đến ý định truy cập của họ là rất cần thiết.

Ví dụ, có thể làm được điều đó bằng cách đưa cho mọi người giấy phép mà có chữ kí của họ và được tổ
chức giữ lại. Các nhân viên của tổ chức, và những người sử dụng bên thứ ba, nên được cho biết rằng
không truy cập trừ khi được cho phép.

Khi gia nhập, thông điệp cảnh báo nên được xuất hiện trên màn hình máy tính để chỉ rõ rằng đây là hệ
thống riêng và rằng truy cập trái phép không được chấp nhận. Người dùng sẽ hiểu và thao tác lại để tiếp
tục quá trình gia nhập.

12.1.6 Quy định về kiểm soát mật mã

Một số nước có những thoả thuận được thực hiện, những luật lệ, các quy định hoặc các công cụ khác để
kiểm soát truy cập hay việc sử dụng những kiểm soát mật mã. Việc kiểm soát như vậy có thể bao gồm:

a) nhập và/hoặc xuất phần cứng và phần mềm máy tính cho việc thực hiện các chức năng mã hoá;

b) nhập và/hoặc xuất phần cứng và phần mềm máy tính được thiết kế để mang kèm các chức năng mã
hoá;

c) những phương pháp bắt buộc hoặc tuỳ ý truy cập thông tin được mã hoá bởi phần cứng hay phần
mềm để cung cấp khả năng bảo mật nội dung;

Văn bản luật định nên được xin để đảm bảo sự thừa nhận của luật pháp nhà nước. Trước khi thông tin
mã hoá hoặc những kiểm soát mã hoá được chuyển đến nước khác, văn bản luật định nên được thực
hiện.

12.1.7 Tập hợp chứng cớ

12.1.7.1 Những điều lệ về chứng cớ

Việc có chứng cớ đầy đủ là rất quan trọng. Chứng cớ đưa ra sẽ chiếu theo những điều lệ về chứng cớ
tuân thủ luật lệ có liên quan hoặc trong các điều lệ của toà án. Nhìn chung, những điều lệ này gồm:

a) tính có thể chấp nhận của chứng cớ, chứng cớ có thể được sử dụng trên toà hay không;

b) sự thuyết phục của chứng cớ: chất lượng và tính hoàn thiện của chứng cớ;

12.1.7.2 Tính có thể chấp nhận của chứng cớ

Để đạt được tính có thể chấp nhận của chứng cớ, các tổ chức sẽ đảm bảo rằng những hệ thống thông
tin của họ tuân theo tiêu chuẩn hoặc tập hợp chuẩn trên thực tiễn cho việc đưa ra chứng cớ.

12.1.7.3 Chất lượng và tính hoàn thiện của chứng cớ

Để đạt được chất lượng và tính hoàn thiện của chứng cớ, sự theo sát chứng cớ tốt là cần thiết. Nói
chung, sự bám sát như vậy có thể được thiết lập theo những điều kiện sau:

a) đối với những tài liệu giấy tờ: bản gốc được giữ an toàn và nó được ghi lại rằng ai đã tìm thấy nó, nó
được tìm thấy ở đâu, nó được tìm thấy khi nào và ai làm chứng. Cần sự nghiên cứu để đảm bảo rằng
các bản gốc không bị làm giả;

b) đối với thông tin trong phương tiện máy tính: những bản sao của phương tiện có thể chuyển dời,
thông tin trong những ổ cứng hoặc trong bộ nhớ nên được làm cho sẵn dùng. Bản ghi tất cả các hoạt
động trong suốt quá trình sao chép nên được giữ và quá trình nên được kiểm chứng;

12.2 Những xem xét chính sách bảo mật và sự chấp nhận kĩ thuật

Mục tiêu: Để đảm bảo sự chấp nhận các hệ thống với những chính sách bảo mật tổ chức và các tiêu
chuẩn.

Sự bảo mật các hệ thống thông tin nên được xem xét thường xuyên.

12.2.1 Sự chấp nhận chính sách bảo mật

Các nhà quản lí sẽ đảm bảo rằng tất cả những quy trình bảo mật bên trong phạm vi trách nhiệm của họ
được tiến hành chính xác. Hơn nữa, tất cả các khu vực bên trong tổ chức nên được quan tâm xem xét
thường xuyên để đảm bảo sự chấp nhận những chính sách bảo mật và các tiêu chuẩn. Điều này bao
gồm :

a) các hệ thống thông tin;

b) các nhà cung cấp hệ thống;

c) những chủ sở hữu thông tin và các tài sản thông tin;

d) người sử dụng;

e) sự quản lí;

Những chủ sở hữu các hệ thống thông tin (xem 5.1) sẽ có những xem xét thường xuyên sự chấp nhận
các hệ thống của họ với các chính sách bảo mật thích hợp, các tiêu chuẩn và bất kì yêu cầu bảo mật
nào. Việc theo dõi hoạt động của việc sử dụng hệ thống được nói trong 9.7.

12.2.2 Việc kiểm tra chấp nhận kĩ thuật (Kiểm tra sự phù hợp kỹ thuật)
Các hệ thống thông tin nên được kiểm tra việc chấp nhận những tiêu chuẩn thực hiện bảo mật. Kiểm tra
chấp nhận kĩ thuật bao gồm sự nghiên cứu các hệ thống hoạt động để đảm bảo rằng những kiểm soát
phần cứng và phần mềm nên được thực hiện chính xác. Kiểu kiểm tra chấp nhận này yêu cầu sự giúp
đỡ kĩ thuật chuyên gia. Nó nên được thực hiện thủ công (được yểm trợ bởi những công cụ phần mềm
thích hợp, nếu cần) bởi kĩ sư hệ thống có kinh nghiệm, hoặc bởi gói phần mềm tự động mà đưa ra bản
ghi kĩ thuật để chuyên gia kĩ thuật làm sáng tỏ sau đó.

Việc kiểm tra chấp nhận cũng bao gồm, ví dụ, sự kiểm tra thấu suốt, mà có thể được tiến hành bởi
những chuyên viên độc lập được kí hợp đồng phục vụ mục đích này. Điều đó có thể rất có ích trong việc
dò tìm những nơi dễ bị tổn thương trong hệ thống và cho việc kiểm tra rằng những kiểm soát đang ngăn
chặn truy cập trái phép ở những nơi dễ bị tổn thương đó hiệu quả ra sao. Sự thận trọng được hành sử
trong trường hợp kiểm tra thấu suốt thành công có thể dẫn tới việc sắp đặt tính bảo mật của hệ thống.

Sự kiểm tra việc chấp nhận kĩ thuật chỉ nên được tiến hành bởi, hoặc dưới sự giám sát của những người
có quyền và thành thạo.

12.3 Những chú ý khi kiểm định hệ thống

Mục tiêu: Tối đa hiệu quả quá trình kiểm định hệ thống và giảm thiểu sự can thiệp vào quá trình kiểm
định hệ thống.

Cần có những kiểm soát để bảo vệ tính toàn vẹn và ngăn chặn việc lạm dụng các công cụ kiểm định.

12.3.1 Những điều khiển khi kiểm định hệ thống

Các yêu cầu kiểm định và các hoạt động bao gồm những kiểm tra trên hệ thống vận hành nên được lập
kế hoạch kĩ lưỡng và được chấp nhận để giảm thiểu rủi ro của việc đổ vỡ các quá trình kinh doanh.
Những điều sau nên được tuân thủ:

a) các yêu cầu kiểm định nên được thoả thuận với sự quản lí thích hợp;

b) phạm vi của những kiểm tra nên được thoả thuận và được kiểm soát;

c) những kiểm tra nên được giới hạn là truy cập chỉ đọc phần mềm và dữ liệu;

d) sự truy cập khác truy cập chỉ đọc chỉ nên được cho phép đối với những bản sao riêng biệt của các tệp
tin hệ thống, mà sẽ bị xoá khi việc kiểm định hoàn thành;

e) các tài nguyên iT cho việc thực hiện những kiểm tra nên được xác định rõ ràng và được làm cho sẵn
dùng;

f) những yêu cầu cho việc xử lí đặc biệt hoặc hỗ trợ nên được xác định và được thoả thuận;

g) tất cả các truy cập nên được theo dõi và được ghi lại để đưa ra tiến trình tham khảo;

h) tất cả các thủ tục, các yêu cầu và những trách nhiệm nên được lập tài liệu;

12.3.2 Việc bảo vệ các công cụ kiểm định hệ thống

Truy cập các công cụ kiểm định hệ thống, ví dụ, phần mềm hoặc các tệp dữ liệu, nên được bảo vệ để
ngăn chặn việc làm giả hoặc làm tổn hại. Những công cụ như vậy nên được tách riêng khỏi quá trình
phát triển và các hệ thống vận hành, và không được lưu giữ trong băng từ hoặc những khu vực người sử
dụng, trừ khi được bảo vệ hỗ trợ ở mức độ thích hợp.

Theo Vnexperts Research Department - Tổng hợp and Translate from ISO 17799