Phần A: Các mục tiêu quản lý và biện pháp quản lý.

Các mục tiêu quản lý và biện pháp quản lý được liệt kê dưới đây trực tiếp bắt nguồn và phù hợp với những gì được liệt kê trong ISO/IEC 17799: 2005 từ khoản 5 đến 15. Danh sách dưới đây là chưa đầy đủ, một tổ chức có thể xem xét rằng việc bổ sung mục tiêu kiểm soát và điều khiển là cần thiết. Mục tiêu quản lý và biện pháp quản lý dưới đây được lựa chọn như là 1 phần của quá trình ISMS được quy định trong 4.2.1.

ISO/IEC 17799:2005 từ khoản 5 tới 15 nhằm cung cấp thực hiện và hướng dẫn thực hành tốt nhất trong việc hỗ trợ các kiểm soát theo quy định tại mục A.5 tới A.15.

A.1: Chính sách an ninh thông tin.

Mục đích: cung cấp hướng quản lý và hỗ trợ cho an ninh thông tin để phù hợp yêu cầu kinh doanh và quy định của pháp luật.

A.5.1: Tài liệu chính sách an ninh thông ti n :một tài liệu về chính sách an ninh thông tin sẽ được phê duyệt bởi các nhà quản lý, được xuất bản và thống báo cho các bên có liên quan.

A.5.2: Xem xét các chính sách an ninh thông tin: chính sách an ninh thông tin sẽ được xem xét trong 1 khoảng thời gian và có thể có sự thay đổi nhằm đảm bảo tính phù hợp, hiệu quả.

A.6: Tổ chức an ninh thông tin.

A.6.1: Tổ chức nội bộ.

Mục đích: quản lý an ninh thông tin trong tổ chức.

A.6.1.1: Cam kết quản lý an ninh thông tin: quản lý sẽ hỗ trợ tích cực an ninh trong tổ chức thông qua việc định hướng, phân công rõ ràng, thể hiện cam kết và thừa nhận trách nhiệm an ninh thông tin.

A.6.1.2:Sự phối hợp an ninh thông tin: hoạt động an ninh thông tin được phối hợp bởi các đại diện từ các thành phần khác nhau của tổ chức với các bên chức năng có liên quan.

A.6.1.3: Phân bổ trách nhiệm an ninh thông tin: tất cả trách nhiệm an ninh thông tin phải được chỉ định rõ ràng.

A.6.1.4: Ủy quyền quá trình xử lý thông tin 1 cách tiện lợi:ủy quyền quản lý quá trình cho việc xử lý thông tin mới sẽ được xác định và thực hiện.

A.6.1.5:Thỏa thuận bảo mật: Yêu cầu với việc thỏa thuận bảo mật hoặc không tiết lộ phản ánh nhu cầu của tổ chức về bảo vệ thông tin cần được xác định và đánh giá thường xuyên.

A.6.1.6: Liên hệ với nhà chức trách: việc liên lạc với các cơ quan liên quan phải được duy trì.

A.6.1.7: Liên hệ với các tổ chức lợi ích đặc biệt: Việc liên hệ với các tổ chức lợi ích đặc biêt, các diễn đàn an ninh đặc biệt khác và các hiệp hội chuyên gia phải được duy trì.

A.6.1.8: Đánh giá độc lập an ninh thông tin: Các phương pháp tiếp cận của tổ chức để quản lý an ninh thông tin và thực hiện nó ( mục tiêu kiểm soát, điều khiển, chính sách, quá trình xử lý, thủ tục an ninh thông tin phải được đánh giá độc lập trong khoảng thời gian đã được lên kế hoạch hoặc khi có sự thay đổi quan trọng trong việc thực hiện an ninh xảy ra.

A.6.2: Thành phần bên ngoài.

Mục đích: duy trì an toàn thông tin, xử lý thông tin của tổ chức một cách hiệu quả. Đó là truy cập, xử lý, giao tiếp, hoặc quản lý bởi các thành phần bên ngoài.

A.6.2.1: Xác định những rủi ro có liên quan tới các thành phần bên ngoài: những rủi ro về thông tin và cơ sở vật chất xử lý thông tin của tổ chức từ quá trình kinh doanh liên quan đến thành phần bên ngoài phải được xác định và thực hiện kiểm soát thích hợp trước khi cấp quyền truy cập.

A.6.2.2: Bảo mật khi giao dịch với khách hàng:Tất cả những yêu cầu an ninh đã được xác định phải được giải quyết trước khi cho phép khách hàng truy cập tới thông tin, tài sản của tổ chức.

A.6.2.3: Bảo mật với bên thứ 3 liên quan: giải quyết vấn đề với bên thứ 3 bao gồm việc truy cập, xử lý, giao tiếp hoặc quản lý thông tin của tổ chức cũng như cơ sở vật chất xử lý thông tin hoặc thêm sản phẩm, dịch vụ vào cơ sở vật chất xử lý thông tin phải bao hàm tất cả các yêu cầu an ninh có liên quan.

A.7: Quản lý tài sản.

A.7.1: Trách nhiệm đối với tài sản.

Mục đích: để thực hiện và suy trì việc bảo vệ thích đáng tài sản của tổ chức.

A.7.1.1: Thống kê tài sản: Tất cả tài sản phải được xác định rõ ràng và việc kiểm kê những tài sản quan trọng phải được thiết lập, suy trì.

A.7.1.2: Quyền sở hữu của tài sản: Tất cả thông tin và tài sản có liên quan tới cơ sở vật chất xử lý thông tin phải được sở hữu bởi một phần chỉ định của tổ chức.

A.7.1.3: Chấp nhận sử dụng tài sản: Quy định cho việc sử dụng thông tin và tài sản có liên quan đến cơ sở vật chất sử dụng thông tin phải được xác định, đưa vào tài liệu và thực hiện.

A.7.2: Phân loại thông tin.

Mục đích: để đảm bảo rằng thông tin nhận được một mức bảo vệ thích hợp.

A.7.2.1: Phân loại hướng dẫn: Thông tin sẽ được phân loại về giá trị của nó, yêu cầu pháp lý, tính nhạy cảm và giới hạn.

A.7.2.2 Nhãn thông tin và xử lý thông tin: Một sự thiết lập thích hợp về phương pháp tạo nhãn và xử lý thông tin phải được phát triển và thực hiện theo quy địnhtrong sơ đồ phân loại được thông qua bởi tổ chức.

A.8 Nguồn nhân lực an ninh.

A.8.1 Trước khi làm việc:

Mục đích: để đảm bảo rằng nhân viên, nhà thầu, bên thứ 3 hiểu được trách nhiệm của họ, vai trò mà họ đang giữ và giảm thiểu rủi ro về gian lận, trộm cắp hoặc sử dụng sai mục đích cơ sở vật chất.

A.8.1.1 Vai trò và trách nhiệm: vai trò và trách nhiệm an ninh của nhân viên, nhà thầu, bên thứ 3 phải được xác định, ghi văn bản theo quy định của chính sách an ninh thông tin của tổ chức.

A.8.1.2 Sự bảo hộ: kiểm tra xác minh trên tất cả các ứng cử viên cho vị trí nhân viên, nhà thầu, bên thứ 3 phải được thực hiện theo quy định của pháp luật, điều lệ và đạo đức, tỉ lệ thuận với yêu cầu kinh doanh, phân loại thông tin để truy cập và nhận thức rủi ro.

A.8.1.3 Điều khoản và điều kiện làm việc: là một phần nghĩa vụ hợp đồng.Nhân viên, nhà thầu, bên thứ 3 phải đồng ý và ký vào bản điều khoản và điều kiện làm việc của họ, trong đó phải nêu rõ trách nhiệm của họ và của tổ chức trong an ninh thông tin.

A.8.2 Trong quá trình làm việc

Mục đích: để đảm bảo rằng tất cả các nhân viên, nhà thầu, bên thứ 3 nhận thức được mối đe dọa, mối quan tâm đến an ninh thông tin, trách nhiệm và trách nhiệm pháp lý của họ và được trang bị để hỗ trợ cho chính sách an ninh thông tin của tổ chức trong những lần làm việc của họ và để giảm thiểu rủi ro do lỗi của con người gây ra.

A.8.2.1 Quản lý trách nhiệm: Quản lý sẽ yêu cầu nhân viên, nhà thầu, bên thứ 3 áp dụng việc bảo mật sao cho phù hợp với chính sách đã được thiết lập và những thủ tục của tổ chức.

A.8.2.2 Nhận thức an ninh thông tin, giáo dục và đào tạo: Tất cả nhân viên của tổ chức, những nơi có liên quan, nhà thầu, bên thứ 3 sẽ được đào tạo để có nhận thức thích đáng và thường xuyên cập nhật chính sách, thủ tục của tổ chức cũng như những gì có liên quan đến chức năng công việc của họ.

A.8.2.3 Quá trình kỷ luật: sẽ có một quá trình xử lý kỷ luật cho nhân viên-những người đã cam kết bản vi phạm an ninh.

A.8.3 Chấm dứt hoặc thay đổi việc làm.

Mục đích: để đảm bảo nhân viên, nhà thầu, bên thứ 3 có thể kết thúc hoặc thay đổi công việc với tổ chức một cách có trật tự.

A.8.3.1 Trách nhiệm trong việc kết thúc: trách nhiệm cho việc thực hiện kết thúc hoặc thay đổi công việc phải được xác định và bàn giao rõ ràng.

A.8.3.2 Trả lại tài sản: tất cả các nhân viên, nhà thầu, bên thứ 3 sẽ phải trả lại toàn bộ tài sản của tổ chức khi họ chấm dứt việc làm, hợp đồng hay thỏa thuận.

A.8.3.3 Xóa bỏ quyền truy cập: quyền truy cập của tất cả nhân viên, nhà thầu, bên thứ 3 tới thông tin và cơ sở vật chất xử lý thông tin phải được xóa bỏ khi họ chấm dứt việc làm, hợp đồng hay thỏa thuận hoặc có sự điều chỉnh.

A.9 An ninh vật lý và môi trường.

A.9.1 An ninh khu vực.

Mục đích:để tránh sự truy cập vật lý trái phép, gây thiệt hại và ảnh hưởng đến cơ sở, thông tin của tổ chưc.

A.9.1.1 Giới hạn ( chu vi) an ninh vật lý: chu vi an ninh ( rào cản như tường, thẻ điều khiển nhập cảnh..) phải được sử dụng để bảo vệ những khu vực chứa thông tin và cơ sở vật chất xử lý thông tin.

A.9.1.2 Điều khiển truy nhập vật lý: khu vực an ninh phải được bảo vệ bởi điều khiển truy nhập thích hợp để chắc chắn rằng chỉ người có quyền mới được phép truy nhập.

A.9.1.3 An ninh văn phòng và cơ sở vật chất: an ninh vật lý văn phòng, cơ sở vật chất phải được thiết kế và áp dụng.

A.9.1.4 Bảo vệ chống lại các mối đe dọa từ môi trường bên ngoài: bảo vệ vật lý chống lại thiệt hại từ lửa, lũ lụt, động đất, nổ, những điều khác của thiên nhiên hoặc thảm họa nhân tạo phải được thiết kế và áp dụng.

A.9.1.5 Làm việc trong khu vực an ninh: bảo vệ vật lý và hướng dẫn làm việc trong khu vực an ninh phải được thiết kế và áp dụng.

A.9.1.6 Khu vực truy nhập công cộng, phân phối: Những điểm truy nhập như khu vực phân phối, tải hay những điểm khác-nơi mà những người không được xác thực được phép truy nhập đến thì phải được kiểm soát, nếu có thể thì cô lập với cơ sở vật chất xử lý thông tin để tránh truy nhập trái phép.

A.9.2 Thiết bị an ninh.

Mục đích:để giảm thiểu mất mát, thiệt hại, trộm cắp hoặc làm gián đoạn hoạt đông của tổ chưc.

A.9.2.1 Địa điểm thiết bị và bảo vệ thiết bị: thiết bị phải được xác định địa điểm và được bảo vệ nhằm giảm thiểu rủi ro từ việc trộm cắp thiết bị, các mối nguy hiểm và cơ hội truy cập trái phép.

A.9.2.2 Tiện ích hỗ trợ: thiết bị phải được bảo vệ từ sự cố mất điện và sự gián đoạn khác gây ra bởi sự thất bại trong việc những tiện ích hỗ trợ.

A.9.2.3 An ninh cáp: cáp nguồn và cáp viễn thông mang lại dữ liệu và hỗ trợ dịch vụ thông tin phải được bảo vệ khỏi sự ngăn chặn hoặc thiệt hại.

A.9.2.4 Bảo trì thiết bị:thiết bị phải được bảo trì đúng cách để đảm bảo tính sẵn sàng và tính toàn vẹn của nó.

A.9.2.5 An ninh của các thiết bị ngoài cơ sở: an ninh phải được áp dụng với thiết bị bên ngoài được tính đến những rủi ro khác nhau của những công việc bên ngoài cơ sở của tổ chức.

A.9.2.6 An ninh trong việc xử lý và tái sử dụng thiết bị: tất cả các thành phần của thiết bị có chưa các phương tiện lưu trữ phải được kiểm tra để đảm bảo rằng

bất kỳ dữ liệu nhạy cảm và phần mềm bản quyền nào cũng đã được xóa bỏ hoặc được ghi đè 1 cách an toàn trước khi xử lý.

A.9.2.7 Xóa bỏ tài sản: thiết bị, thông tin hay phần mềm không được mang ra ngoài mà không có sự cho phép.

A.10 Quản lý truyền thông và việc sử dụng.

A.10.1 Thủ tục sử dụng và trách nhiệm.

Mục đích: để đảm bảo hoạt động đúng đắn và an toàn của cơ sở xử lý thông tin.

A.10.1.1 Văn bản thủ tục sử dụng: những thủ tục sử dụng được văn bản hóa, duy trì và làm sẵn để cho những người cần chúng.

A.10.1.2 Thay đổi quản lý: sự thay đổi cơ sở xử lý thông tin và hệ thống phải được kiểm soát.

A.10.1.3 Phân hoạch nhiệm vụ: Nhiệm vụ và vùng trách nhiệm phải được tách biệt để giảm thiểu cơ hội sửa đổi trái phép hoặc vô ý, hoặc lạm dụng tài sản của tổ chưc.

A.10.1.4 Phân hoạch sự phát triển, kiểm thử và sử dụng cơ sở vật chất: sự phát triển, kiểm thử và sử dụng cơ sở vật chất phải được phân hoặc để giảm thiểu rủi ro của truy cập trái phép hoặc thay đổi hệ thống sử dụng.

A.10.2 Quản lý việc cung cấp dịch vụ cho bên thứ 3

Mục đích:để thực hiện và duy trì mức độ thích hợp trong việc cung cấp dịch vụ và an ninh thông tin với sự thỏa thuận của bên thứ 3.

A.10.2.1 Cung cấp dịch vụ: điều này phải được đảm bảo rằng việc kiểm soát an ninh, xác định dịch vụ và mức độ cung cấp, kể cả sự thỏa thuận cung cấp dịch vụ cho bên thứ 3 được thực hiện, vận hành duy trì bởi bên thứ 3.

A.10.2.2 Giám sát và đánh giá dịch vụ bên thứ 3: những dịch vụ, báo cáo, tổng kết được cung cấp bởi bên thứ 3 phải được giám sát, đánh giá và kiểm toán thường xuyên.

A.10.2.3 Quản lý sự thay đổi dịch vụ bên thứ 3: thay đổi để cung cấp dịch vụ bao gồm duy trì và cải thiện chính sách an ninh, thủ tục và sự kiểm soát phải được quản lý, đưa ra tài khoản giới hạn của hệ thống kinh doanh và quá trình tham giá, đánh giá lại những rủi ro.

A.10.3 Quy hoạch và chấp nhận hệ thống.

Mục đích: để tối thiểu hóa rủi ro thất bại của hệ thống.

A.10.3.1 Quản lý công suất: việc sử dụng nguồn tài nguyên phải được giám sát, điều chỉnh và dự thảo những yêu cầu công suất trong lương lai để đảm bảo yêu cầu của hệ thống.

A.10.3.2 Chấp nhận hệ thống: việc chấp nhận các tiêu chuẩn cho hệ thống thông tin mới, nâng cấp và sử dụng phiên bản mới phải được thiết lập và kiểm tra.Những việc làm này phải được tiến hành trong quá trình phát triển và trước khi chấp nhận hệ thống.

A.10.4 Bảo vệ chống lại mã độc hại và mã di động

Mục đích: để bảo vệ tính toàn vẹn của phần mềm và thông tin.

A.10.4.1 Kiểm soát chống lại mã độc hại: phát hiện , phòng ngừa và kiểm soát phục hồi để bảo vệ chống lại mã độc hại và việc nâng cao ý thức người dùng phải được thực hiện.

A.10.4.2 Kiểm soát chống lại các mã di động: trường hợp sử dụng mã di động để xác thực, cấu hình phải được đảm bảo rằng việc mã di động xác thực được phép hoạt động dưới chính sách an ninh đã xác định rõ ràng, mã di động trái phép phải được phòng ngừa từ việc thực hiện.

A.10.5 Sao lưu.

Mục đích: để duy trì tính toàn vẹn, tính sẵn sàng của thông tin và cơ sở vật chất xử lý thông tin.

A.10.5.1 Sao lưu thông tin: việc sao lưu thông tin và phần mềm phải được thực hiện và kiểm tra thường xuyên sao cho phù hợp với chính sách sao lưu.

A.10.6 Quản lý an ninh mạng.

Mục đích: đảm bảo việc bảo vệ thông tin trong mạng và cơ sở hạ tầng.

A.10.6.1 Kiểm soát mạng: mạng phải được quản lý và kiểm soát thích đáng để bảo vệ khỏi các mối đe dọa và duy trì an ninh của hệ thống cũng như ứng dụng đang được sử dụng trong mạng bao gồm thông tin đi qua.

A.10.6.2 An ninh dịch vụ mạng: những yêu cầu quản lý tính năng, mức độ dịch vụ an ninh của tất cả dịch vụ mạng phải được xác định với bất kỳ thỏa thuận dịch vụ mạng nào cho dù là những dịch vụ được thuê ngoài.

A.10.7 Kiểm soát phương tiện truyền thông.

Mục đích: nhằm ngăn chặn sự tiết lộ trái phép, sửa đổi, xóa bỏ, hủy hoại tài sản, làm gián đoạn hoạt động kinh doanh.

A.10.7.1 Quản lý việc phương tiện truyền thông có thể di dời được: phải có thủ tục tại chỗ cho việc quản lý phương tiện truyền thông có thể di dời được.

A.10.7.2 Bố trí phương tiện truyền thông: phương tiện truyền thông phải được bố trí sao cho an toàn và hợp lý, sử dụng thủ tục chính thức.

A.10.7.3 Thủ tục xử lý thông tin: những thủ tục cho việc sử lý và lưu trữ thông tin phải được thiết lập để bảo vệ những thông tin này khỏi sự tiết lộ trái phép hoặc lạm dụng trái phép.

A.10.7.4 An ninh văn bản hệ thống: văn bản hệ thống phải được bảo vệ chống lại sự truy cập trái phép.

A.10.8 Trao đổi thông tin.

Mục đích: để duy trì sự trao đổi thông tin và phần mềm 1 cách an toàn trong tổ chức và bên ngoài tổ chức.

A.10.8.1 Những chính sách và thủ tục trao đổi thông tin: những chính sách, thủ tục, sự kiểm soát trao đổi phải được đặt trong sự bảo vệ về trao đổi thông tin thông qua việc sử dụng tất cả các loại cơ sở phương tiện truyền thông.

A.10.8.2 Thỏa thuận trao đổi: sự thỏa thuận phải được thiết lập cho việc trao đổi thông tin và phần mềm giữa tổ chức và các các bên ngoài tổ chức.

A.10.8.3 Phương tiện truyền thông vật lý: phương tiện truyền thông chưa thông tin phải được bảo vệ chống lại sự truy cập trái phép, lạm dụng hoặc tham nhũng trong quá trình vận chuyển vượt qua khỏi ranh giới vật lý của tổ chức.

A.10.8.4 Tin nhắn điện tử: thông tin có trong tin nhắn điện tử phải được bảo vệ thỏa đáng.

A.10.8.5 Hệ thống thông tin kinh doanh: những chính sách, thủ tục phải được phát triển và thực hiện để bảo vệ thông tin có liên quan đến việc kết nối hệ thống thông tin kinh doanh.

A.10.9 Dịch vụ thương mại điện tử.

Mục đích: để đảm bảo an ninh cho dich vụ thương mại điện tử và việc sử dụng chúng.

A.10.9.1 Thương mại điện tử: thông tin tham gia thương mại điện tử đang được sử dụng trong mạng công cộng phải được bảo vệ khỏi hoạt động lừa đảo, tranh chấp hợp đồng, tiết lộ và sửa đổi trái phép.

A.10.9.2 Giao dịch trực tuyến: thông tin tham gia giao dịch trực tuyến phải được bảo vệ để ngăn chặn việc truyền dẫn không đầy đủ, định tuyến sai, thay đổi thông báo trái phép, tiết lộ trái phép, sao chép thông báo trái phép hoặc phát lại thông báo trái phép.

A.10.9.3 Thông tin công cộng sẵn sàng: tính toàn vẹn của thông tin mà sẵn sằng trên hệ thống công cộng phải được bảo vệ nhằm ngăn chặn sự sửa đổi trái phép.

A.10.10 Giám sát.

Mục đích: để phát hiện những hoạt động xử lý thông tin trái phép.

A.10.10.1 Kiểm tra log: bản ghi hoạt động của người sử dụng, những trường hợp ngoại lệ và những sự kiện an ninh thông tin phải được lưu giữ lại trong khoảng thời gian ấn định để hỗ trợ việc nghiên cứu sau này và giám sát kiểm soát truy cập.

A.10.10.2 Giám sát sử dụng hệ thống: những thủ tục giám sát việc sử dụng cơ sở vật chất xử lý thông tin phải được thực hiện và kết quả của hoạt động giám sát phải được xem thường xuyên.

A.10.10.3 Bảo vệ nhật ký thông tin: cở sở vật chất ghi nhật ký và nhật ký thông tin phải được bảo vệ chống lại sự can thiệp và truy cập trái phép.

A.10.10.4 Nhật ký quản trị và điều hành: hoạt động quản trị và điều hành hệ thống phải được ghi lại.

A.10.10.5 Nhật ký lỗi: các lỗi phải được ghi lại, phân tích, đưa ra tác động thích hợp.

A.10.10.6 Đồng bộ hóa đồng hồ: tất cả đồng hồ của hệ thống xử lý thông tin trong 1 tổ chức hoặc trong cùng 1 miền an ninh phải được đồng bộ với cùng 1 thời gian.

A.11 Kiểm soát truy cập.

A.11.1 Yêu cầu cho kiểm soát truy cập.

Mục đích: để kiểm soát việc truy cập thông tin.

A.11.1.1 Chính sách kiểm soát truy cập:một chính sách truy cập phải được thiết lập, nên văn bản và đánh giá dựa vào yêu cầu an ninh cho truy cập.

A.11.2 Quản lý người dùng truy cập.

Mục đích: để đảm bảo người dùng truy cập hợp pháp và ngăn chặn truy cập trái phép tới hệ thống thông tin.

A.11.2.1 Đăng ký thành viên: điều này trở thành thủ tục đăng ký thành viên chính thức và xóa đăng ký thay vì cấp và thu hồi quyền truy cập tới tất cả hệ thống và dịch vụ thông tin.

A.11.2.2 Quản lý đặc quyền: việc cấp phát và sử dụng đặc quyền phải được hạn chế và kiểm soát.

A.11.2.3 Quản lý mật khẩu người dùng: việc cấp phát mật khẩu phải được kiểm soát thông qua một quy trình quản lý.

A.11.2.4 Theo dõi quyền truy cập người dùng: quản lý phải theo dõi quyền truy cập người dùng.

A.11.3 Trách nhiệm người dùng.

Mục đích: để ngăn chặn người dùng truy cập trái phép, sự thỏa hiệp hoặc trộm cắp thông tin và cơ sở vật chất xử lý thông tin.

A.11.3.1 Sử dụng mật khẩu: người dùng phải được yêu cầu tuân theo cách thực hành đảm bảo an ninh tốt trong việc lựa chọn và sử dụng mật khẩu.

A.11.3.2 Thiết bị người dùng không được giám sát: người dùng phải đảm bảo rằng những thiết bị không được giám sát phải được bảo vệ thích đáng.

A.11.3.3 Clear desk and clear screen policy:A clear desk policy for papers and removable storage media and a clear screen policy for information processing facilities shall be adopted.

A.11.4 Kiểm soát truy cập mạng.

Mục đích: để ngăn chặn truy cập trái phép tới dịch vụ mạng.

A.11.4.1 Chính sách sử dụng các dịch vụ mạng: người dùng chỉ được truy cập tới những dịch vụ mà họ đã được phép truy cập đến để sử dụng.

A.11.4.2 Xác thực người dùng cho kết nối bên ngoài: phương pháp xác thực hợp lý sẽ được sử dụng để kiểm soát truy cập bởi người dùng truy cập từ xa.

A.11.4.3 Định danh thiết bị trong mạng: định danh thiết bị 1 cách tự động phải được xem như 1 việc chính để xác thực kết nối từ địa điểm và thiết bị cụ thể.

A.11.4.4 Chẩn đoán từ xa và cấu hình cổng bảo vệ: việc truy cập vật lý và logic để chẩn đoán và cấu hình các cổng phải được kiểm soát.

A.11.4.5 Chia mạng: các nhóm dịch vụ thông tin, người dùng, hệ thống thông tin phải được tách riêng ra trong mạng.

A.11.4.6 Kiểm soát kết nối mạng: đối với những mạng chia sẻ, đặc biệt là những vùng mạng mở rộng ngoài tổ chức thì khả năng kết nối tới mạng của người dùng phải được hạn chế sao cho phù hợp với chính sách kiểm soát truy cập và yêu cầu của ứng dụng hoạt động kinh doanh.(xem phần 11.1).

A.11.4.7 Kiểm soát định tuyến mạng: kiểm soát định tuyến phải được thực hiện trong mạng để đảm bảo rằng việc kết nối các máy tính và những luồng thông tin không vi phạm chính sách kiểm soát truy cập của những ứng dụng kinh doanh.

A.11.5 Kiểm soát truy cập hệ thống đang hoạt động.

Mục đích: để ngăn chặn sự truy cập trái phép tới hệ thông đang hoạt động.

A.11.5.1 An toàn thủ tục đăng nhập: việc truy cập tới hệ thống đang hoạt động phải được kiểm soát với thủ tục đăng nhập an toàn.

A.11.5.2 Định danh và xác thực người dùng: tất cả người dùng phải có 1 định danh duy nhất (user ID) để sử dụng và 1 công nghệ xác thực phù hợp phải được lựa chọn để chứng minh sự tồn tại định danh của 1 người dùng.

A.11.5.3 Hệ thống quản lý mật khẩu: hệ thống quản lý mật khẩu phải được hỗ trợ và đảm bảo mật khẩu tốt an toàn.

A.11.5.4 Sử dụng những tiện tích hệ thống: việc sử dụng các chương trình tiện ích mà có khả năng dành quyền hệ thống và kiểm soát ứng dụng phải được hạn chế và kiểm soát chặt chẽ.

A.11.5.5 Giới hạn thời gian kết nối: việc giới hạn thời gian kết nối phải được sử dụng để nâng cao an ninh đối với những ứng dụng có rủi ro cao.

A.11.6 Kiểm soát truy cập ứng dụng và thông tin.

Mục đích: để ngăn chặn truy cập trái phép tới tổ chức thông tin trong hệ thống ứng dụng.

A.11.6.1 Hạn chế truy cập thông tin: Việc truy cập tới htoong tin và những chức năng hệ thống ứng dụng bởi người dùng và người support phải được hạn chế trong sự phù hợp với chính sách kiểm soát truy cập đã đưa ra.

A.11.6.2 Cách ly hệ thống nhạy cảm: những hệ thống nhạy cảm phải có một môi trường hoạt động riêng.

A.11.7 Tính toán và xử lý thông tin lưu động.

Mục đích: để đảm bảo an toàn thông tin khi sử dụng các cơ sở vật chất cho việc tính toán và xử lý thông tin lưu động.

A.11.7.1 Mobile computing and communications: một chính sách chính thức phải được đặt đúng chỗ và các biện pháp an ninh thích hợp phải được thừa nhận để bảo vệ chống lại những rủi ro của việc sử dụng Mobile computing and communications facilities.

A.11.7.2 Teleworking: một chính sách, kế hoạch và những thủ tục phù hợp phải được phát triển và thực thi cho những hoạt động teleworking.

A.12 Tiếp nhận, phát triển và duy trì hệ thống thông tin.

A.12.1 Những yêu cầu an ninh của hệ thống thông tin.

Mục đích: để chắc chắn rằng an ninh là một phần riêng của hệ thống thông tin.

A.12.1.1 Phân tích và thống kê những yêu cầu an ninh:bản báo cáo về những yêu cầu cho hệ thống thông tin mới hoặc cải tiến các hệ thống thông tin đã có phải chi tiết hóa những yêu cầu về kiểm soát an ninh.

A.12.2 Xử lý đúng trong các ứng dụng.

Mục đích: để ngăn chặn các lỗi, mất mát, sửa đổi trái phép hoặc sử dụng sai mục đích thông tin trong các ứng dụng.

A.12.2.1 Kiểm tra dữ liệu đầu vào: dữ liệu đầu vào ứng dụng phải được kiểm tra để đảm bảo rằng dữ liệu này đúng và phù hợp.

A.12.2.2 Kiểm soát việc xử lý nội bộ: kiểm tra tính hợp lệ phải được đưa vào các ứng dụng để phát hiện bất kỳ sự sửa đổi thông tin nào qua việc xử lý lỗi hoặc các hành vi cố ý.

A.12.2.3 Toàn vẹn thông báo: những yêu cầu về đảm bảo tính xác thực và bảo vệ tính toàn vẹn của thông báo trong các ứng dụng phải được xác định, kiểm soát phù hợp và thực hiện.

A.12.2.4 Kiểm tra dữ liệu đầu ra: dữ liệu đầu ra từ các ứng dụng phải được kiểm tra để đảm bảo rằng quá trình lưu trữ thông tin là đúng và hợp lý trong các trường hợp.

A.12.3 Kiểm soát bằng mật mã.

Mục đích: để bảo vệ tính bảo mật, tính xác thực hoặc toàn vẹn của thông tin bằng việc các phương tiện mã hóa.

A.12.3.1 Chính sách về sử dụng kiểm soát bằng mật mã: một chính sách về sử dụng kiểm soát bằng mật mã trong việc bảo vệ thông tin phải được phát triển và thực hiện.

A.12.3.2 Quản lý khóa: việc quản lý khóa phải đúng chỗ để hỗ trợ việc sử dụng kỹ thuật mã hóa của tổ chức.

A.12.4 Bảo mật các file hệ thống.

Mục đích:để đảm bảo sự an toàn của các file hệ thống.

A.12.4.1 Kiểm soát hoạt động phần mềm: phải có các thủ tục để kiểm soát việc cài đặt phần mềm và hoạt động của hệ thống.

A.12.4.2 Bảo vệ dữ liệukiểm tra hệ thống:dữ liệu kiểm tra phải được lựa chọn cẩn thận, bảo vệ và kiểm soát.

A.12.4.3 Kiểm soát truy cập tới mã nguồn chương trình: việc truy cập tới mã nguồn của chương trình phải được hạn chế.

A.12.5 An ninh trong quá trình phát triển và hỗ trợ.

Mục đích: để duy trì an toàn cho phần mềm hệ thống ứng dụng và thông tin.

A.12.5.1 Thay đổi thủ tục kiểm soát: việc thực hiện thay đổi phải được kiểm soát bằng việc sử dụng những thủ tục thay đổi kiểm soát chuẩn.

A.12.5.2 Kỹ thuật xem xét các ứng dụng sau những thay đổi hoạt động hệ thống: sau khi hoạt động hệ thống bị thay đổi thì những ứng dụng quan trọng trong kinh doanh phải được xem xét và kiểm tra để đảm bảo không có những tác động bất lợi tới hoạt đông và an ninh của tổ chức.

A.12.5.3 Hạn chế thay đổi tới các gói phần mềm: sự thay đổi các gói phần mềm phải được hạn chế, tránh thay đổi không cần thiết và tất cả sự thay đổi phải được kiểm soát nghiêm ngặt.

A.12.5.4 Rò rỉ thông tin: cơ hội cho việc rò rỉ thông tin phải được ngăn chặn.

A.12.5.6 Phát triển những phần mềm thuê ngoài: việc phát triển phần mềm thuê ngoài phải được giám sát và theo dõi bởi tổ chức.

A.12.6 Quản lý lỗ hổng kỹ thuật.

Mục đích: để giảm thiểu rủi ro từ việc khai thác lỗ hổng kỹ thuật được publish.

A.12.6.1 Kiểm soát những lỗ hỏng kỹ thuật: những thông tin kịp thời về lỗ hổng kỹ thuật của hệ thống thông tin đang sử dụng phải được thu thập, đánh giá và có những biện pháp thích hợp để giải quyết những rủi ro liên quan.

A.13 Quản lý sự cố an ninh thông tin.

A.13.1 Thông báo các sự kiện và điểm yếu của an ninh thông tin.

Mục đích: để đảm bảo rằng các sự kiện và điểm yếu của an ninh thông tin liên kết hợp với hệ thống thông tin phải được báo cáo để đưa ra các hành động nhằm khắc phục kịp thời.

A.13.1.1 Thông báo các sự kiện an ninh thông tin: các sự kiện an ninh thông tin phải được báo cáo qua các kênh quản lý phù hợp càng nhanh càng tốt.

A.13.1.2 Thông báo các điểm yếu an ninh: tất cả nhân viên, nhà thầu, bên thứ 3 của hệ thống và dịch vụ thông tin được yêu cầu ghi lại và báo cáo lại bất kỳ điểm yếu an ninh nào mà nhìn thấy hoặc nghi ngờ trong hệ thống hoặc dịch vụ.

A.13.2 Quản lý sự cố và cải tiến an ninh thông tin.

Mục đích: để đảm bảo 1 phươn pháp tiếp cận phù hợp và hiệu quả được áp dụng để quản lý các sự cố an ninh thông tin.

A.13.2.1 Trách nhiệm và thủ tục: trách nhiệm và thủ tục quản lý phải được thiết lập để đảm bảo việc phản ứng nhanh chóng, hiệu quả và có trật tự đối với những sự cố an ninh thông tin.

A.13.2.2 Học hỏi từ những sự cố bảo mật thông tin:There shall be mechanisms in place to enable the types, volumes,and costs of information security incidents to be identified andmonitored.

A.13.2.3 Thu thập chứng cứ: Trường hợp một hành động chống lại một người hoặc tổ chức sau một sự cố bảo mật thông tin kéo theo hành động pháp lý ( dân sự hoặc hình sự), thì chứng cứ phải được thu thập, giữ lại, báo cáo sao cho phù hợp với quy tắc về chứng cứ của các bên thẩm quyền có liên quan.

A.14: Quản lý kế hoạch kinh doanh.

A.14.1 Những khía cạnh an ninh thông tin của việc quản lý kế hoạch kinh doanh:

Mục đích: để chống lại sự gián đoạn của hoạt động kinh doanh và bảo vệ những quá trình kinh doanh quan trọng từ những sự ảnh hưởng của việc thất bại của hệ thống thông tin hoặc thiên tai và đảm bảo việc hoạt động trở lại kịp thời.

A.14.1.1 An ninh thông tin trong quá trình quản lý kế hoạch kinh doanh: quá trình quản lý phải được phát triển và duy trì cho kế hoạch kinh doanh thông qua tổ chức để giải quyết những yêu cầu về bảo mật thông tin cần thiết cho kế hoạch kinh doanh của tổ chức.

A.14.1.2 Kế hoạch kinh doanh và đánh giá rủi ro: những sự kiện mà có thể làm gián đoạn hoạt động kinh doanh phải được xác định, cùng với khă năng tác động của sự gián đoạn đó và hâu quả của chúng đối với bảo mật thông tin.

A.14.1.3 Phát triển và thực hiện những kế hoạch liên tục bao gồm an ninh thông tin: các kế hoạch phải được phát triển để duy trì hoặc hồi phục lại hoạt động nhằm đảm bảo tính sẵn sàng của thông tin sau ở mức độ cần thiết và trong thời gian cho phép sau gián đoạn hay thất bại của quá trình kinh doanh quan trọng.

A.14.1.4 Kế hoạch kinh doanh liên tục trên framework: 1 framework đơn của kế hoạch kinh doanh liên tục phải được duy trì để đảm bảo tất cả nhất quán trong giải quyết các yêu cầu bảo mật thông tin và để xác định ưu tiên đối với việc kiểm tra và bảo trì.

A.14.1.5 Kiểm thử, duy trì và đánh giá lại kế hoạch kinh doanh liên tục: kế hoạch kinh doanh liên tục phải được kiểm thử và cập nhật thường xuyên để đảm bảo rằng chúng vẫn hiệu quả.

A.15 Sự tuân thủ

A.15.1 Tuân thủ những yêu cầu pháp lý.

Mục đích: để tránh vi phạm bất kỳ 1 luật, nghĩa vụ pháp lý, nghĩa vụ hợp đồng hay yêu cầu an ninh nào.

A.15.1.1Xác định luật được áp dụng: tất cả điều lệ, quy định ,yêu cầu hợp đồng và phương pháp tiếp cận của tổ chức phải được xác định rõ ràng, đưa vào văn bản và lưu giữ đối với từng hệ thống thông tin cũng như tổ chức.

A.15.1.2 Quyền sở hữu trí tuệ ( IPR): thủ tục thích hợp phải được thực hiện để đảm bảo tuân thủ đúng pháp luật, các yêu cầu theo quy định trong việc sử dụng các sản phẩm phần mềm độc quyên có liên quan tới sự sở hữu trí tuệ.

A.15.1.3 Bảo vệ những hồ sơ của tổ chức: những hồ sơ quan trọng phải được bảo vệ khỏi sự mất mát, phá hủy, giả mạo phù hợp với điều lệ, quy định, hợp đồng và yêu cầu kinh doanh.

A.15.1.4 Bảo vệ dữ liệu và bảo mật thông tin người dùng: Người dùng phải bị ngăn cản tránh khỏi việc sử dụng cơ sở vật chất xử lý thông tin cho mục đích trái phép.

A.15.1.5 Quy định về kiểm soát bằng mật mã: việc kiểm soát bằng mật mã phải được sử dụng sao cho phù hợp với những thỏa thuận, pháp luật và quy định liên quan.

A.15.2 Tuân thủ chính sách, các tiêu chuẩn an ninh và kỹ thuật.

Mục đích: để đảm bảo việc tuân thủ của hệ thống với chính sách và các tiêu chuẩn an ninh của tổ chức.

A.15.2.1 Tuân thủ những chính sách và tiêu chuẩn an ninh: người quản lý phải đảm bảo rằng tất cả các thủ tục an ninh trong khu vực mà họ chịu trách nhiệm phải được đưa ra chuẩn xác để thi hành việc tuân thủ chính sách và tiêu chuẩn an ninh.

A.15.3 Chú ý hệ kiểm nghiệm thống thông tin.

Mục đích: để tối đa hóa hiểu quả và tối thiểu sự can thiệp từ quá trình kiểm nghiệm hệ thống thông tin.

A.15.3.1 Kiểm soát việc kiểm nghiệm hệ thống thông tin: những yêu cầu và hoạt động kiểm nghiệm bao gồm kiểm tra hoạt động hệ thống phải diễn ra cẩn thận, thỏa đáng để tối thiểu hóa rủi ro của sự gián đoạn đến quá trình kinh doanh.

A.15.3.2 Bảo vệ các tool kiểm nghiệm hệ thống thông tin: việc truy cập vào các tool kiểm nghiệm hệ thống thông tin phải được bảo vệ để ngăn chặn bất kỳ sự lạm dụng hoặc can thiệp có thể.