TCVN T I Ê U C H U Ẩ N Q U Ố C G I A
TCVN ISO/IEC xxxx:xxxxISO/IEC 27006:2011
Xuất bản lần 1
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI CÁC CƠ QUAN KIỂM TOÁN VÀ
CHỨNG NHẬN CÁC HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
HÀ NỘI – 2014
ii
Mục lục
Lời nói đầu...............................................................................................................................................1Lời giới thiệu............................................................................................................................................21. Phạm vi áp dụng.............................................................................................................................4
2. Tài liệu viện dẫn.............................................................................................................................43. Thuật ngữ và định nghĩa...............................................................................................................4
4. Nguyên tắc......................................................................................................................................55. Yêu cầu chung................................................................................................................................5
5.1 Các vấn đề pháp lý và hợp đồng..............................................................................................5
5.2 Quản lý tính khách quan...........................................................................................................5
5.3 Trách nhiệm pháp lý và tài chính..............................................................................................6
6. Yêu cầu về cơ cấu..........................................................................................................................6
6.1 Cơ cấu tổ chức và lãnh đạo cao nhất.......................................................................................6
6.2 Ban đảm bảo tính khách quan..................................................................................................6
7. Yêu cầu về nguồn lực....................................................................................................................77.1 Năng lực của lãnh đạo và nhân viên.........................................................................................7
7.2 Cá nhân liên quan đến hoạt động chứng nhận.........................................................................8
7.3 Sử dụng đánh giá độc lập và các chuyên gia kỹ thuật bên ngoài...........................................10
7.4 Hồ sơ nhân sự........................................................................................................................10
7.5 Thuê ngoài..............................................................................................................................10
8. Yêu cầu về thông tin....................................................................................................................108.1 Thông tin công khai.................................................................................................................10
8.2 Tài liệu chứng nhận.................................................................................................................11
8.3 Danh bạ Khách hàng được chứng nhận được chứng nhận...................................................11
8.4 Viện dẫn chứng nhận và sử dụng dấu....................................................................................11
8.5 Tính bí mật..............................................................................................................................12
8.6 Trao đổi thông tin giữa tổ chức chứng nhận và Khách hàng được chứng nhận....................12
9. Yêu cầu về quy trình....................................................................................................................12
9.1 Yêu cầu chung........................................................................................................................12
9.2 Đánh giá và chứng nhận ban đâu...........................................................................................17
9.3 Hoạt động giám sát.................................................................................................................21
9.4 Chứng nhận lại........................................................................................................................23
9.5 Đánh giá đặc biệt....................................................................................................................23
9.6 Đình chỉ, thu hồi, hoặc thu hẹp phạm vi chứng nhận..............................................................23
9.7 Yêu cầu xem xét lại.................................................................................................................23
9.8 Khiếu nại.................................................................................................................................23
TCVN XXXX:XXXX
9.9 Hồ sơ người đăng kí chứng nhận và Khách hàng được chứng nhận....................................24
10. Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận......................................................2410.1 Lựa chọn................................................................................................................................24
10.2 Lựa chọn 1 – Yêu cầu về hệ thống quản lý theo TCVN ISO 9001........................................24
10.3 Lựa chọn 2 – Yêu cầu chung về hệ thống quản lý.................................................................24
PHỤ LỤC A (tham khảo). . . Phân tích tính phức tạp của tổ chức Khách hàng được chứng nhận và khía cạnh của từng lĩnh vực cụ thể.....................................................................................................25PHỤ LỤC B (tham khảo) Ví dụ lĩnh vực về năng lực đánh giá viên...................................................29PHỤ LỤC C (tham khảo) Thời gian đánh giá........................................................................................31PHỤ LỤC D (tham khảo) ......Hướng dẫn, soát xét việc thực hiện TCVN ISO/IEC 27001: 2009, Kiểm soát phụ lục A........................................................................................................................................38
iv
TCVN XXXX:XXXX
Lời nói đầu
TCVN ISO/IEC XXXX:XXXX hoàn toàn tương đương với ISO/IEC 27006:2011.
TCVN ISO/IEC XXXX:XXXX do Học viện công nghệ Bưu chính viễn thông (PTIT) biên soạn, Bộ Thông
tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và
Công nghệ công bố.
1
TCVN XXXX:XXXX
Lời giới thiệu
Tiêu chuẩn TCVN ISO/IEC 17021:2011 đưa ra các tiêu chí cho các tổ chức đánh giá và chứng nhận hệ
thống quản lý của các tổ chức đó. Nếu các tổ chức này được công nhận theo tiêu chuẩn TCVN ISO/EC
17021:2011 với mục tiêu đánh giá và xác nhận hệ thống quản lý an toàn thông tin (ISMS) theo TCVN
ISO/IEC 27001:2009, thì một số yêu cầu bổ sung và hướng dẫn trong TCVN ISO/IEC 17021:2011 là
cần thiết và được cung cấp bởi tiêu chuẩn này.
Các văn bản trong tiêu chuẩn này tuân theo cấu trúc của TCVN ISO/IEC 17021:2011, các yêu cầu bổ
sung của ISMS cụ thể và hướng dẫn về việc áp dụng tiêu chuẩn TCVN ISO/IEC 17021:2011 chứng
nhận ISMS được nhận biết bởi cụm từ "IS".
Thuật ngữ "phải" được sử dụng trong suốt tiêu chuẩn này chỉ ra những yêu cầu của TCVN ISO/IEC
17021:2011 và TCVN ISO/IEC 27001:2009 là bắt buộc.Thuật ngữ "nên" được dùng để đưa ra các
khuyến nghị.
Mục đích chung của tiêu chuẩn này là cho phép các tổ chức chứng nhận hài hòa giữa hiệu quả ứng
dụng của họ về các tiêu chuẩn dựa vào đó họ đang bị ràng buộc để đánh giá tổ chức chứng nhận.
Chú ý: Trong tiêu chuẩn này, các thuật ngữ "hệ thống quản lý" và "hệ thống" được sử dụng thay thế
cho nhau. Định nghĩa của một hệ thống quản lý có thể được tìm thấy trong tiêu chuẩn ISO 9000:2005.
Hệ thống quản lý được sử dụng trong tiêu chuẩn này không phải là để nhầm lẫn với các loại hệ thống
khác, chẳng hạn như hệ thống công nghệ thông tin.
2
TCVN XXXX:XXXX
3
T I ÊU C H U Ẩ N Q U Ố C G I A TCVN XXXX:XXXX
Công nghệ thông tin – Các kỹ thuật an toàn – Yêu cầu đối với các cơ quan đánh giá và chứng nhận các hệ thống quản lý an toàn thông tin
Information technology — Security techniques — Requirements for bodies providing audit and
certification of information security management systems
1. Phạm vi áp dụngTiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận
hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021:2011 và
TCVN ISO/IEC 27001: 2009.
Tiêu chuẩn này được dùng để hỗ trợ trong việc tổ chức chứng nhận cung cấp chứng nhận ISMS.
Các yêu cầu đưa ra trong tiêu chuẩn này phải được chứng minh về năng lực và độ tin cậy của bất kì tổ
chức cấp chứng nhận ISMS và hướng dẫn trong tiêu chuẩn này cung cấp giải thích, bổ sung các yêu
cầu cho bất kì tổ chức cung cấp chứng nhận ISMS.
CHÚ THÍCH Tiêu chuẩn này có thể được sử dụng như một tài liệu tiêu chuẩn để được công nhận, đánh giá ngang hàng hoặc
các quá trình đánh giá khác.
2. Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi
năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp
dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
TCVN ISO/IEC 17021:2011 (ISO/IEC 17021:2011), Đánh giá sự phù hợp - Yêu cầu đối với tổ chức
đánh giá và chứng nhận các hệ thống quản lý an toàn thông tin
TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin- các kỹ thuật an toàn – Các hệ
thống quản lý an toàn thông tin – Các yêu cầu
TCVN ISO 19011:2013 (ISO/IEC 19011:2011), Hướng dẫn đánh giá hệ thống quản lý đánh giá
3. Thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa trong tiêu chuẩn TCVN ISO/IEC 27001:2009
TCVN ISO/IEC 17021:2011, cùng với các thuật ngữ và định nghĩa dưới đây.
TCVN XXXX:XXXX
3.1
Chứng chỉ (certificate)
Được ban hành bởi tổ chức chứng nhận, phù hợp với các điều kiện được công nhận và mang một biểu
tượng công nhận hoặc tuyên bố.
3.2
Tổ chức chứng nhận (certification body)
Là bên thứ ba đánh giá và chứng nhận ISMS của một tổ chức Khách hàng được chứng nhận liên quan
đến tiêu chuẩn ISMS được công bố và các tài liệu bổ sung theo yêu cầu của hệ thống.
3.3
Tài liệu chứng nhận (certification document)
Tài liệu chỉ ra ISMS của một tổ chức Khách hàng được chứng nhận phù hợp với các tiêu chuẩn ISMS
cụ thể và các tài liệu bổ sung theo yêu cầu của hệ thống.
3.4
Con dấu (mark)
Thương hiệu đăng kí hợp pháp hoặc biểu tượng bảo vệ được ban hành theo quy định của tổ chức cấp
phép hoặc của tổ chức chứng nhận, chỉ ra sự tin tưởng trong các hệ thống vận hành bởi một cơ quan
đã được chứng minh, các sản phẩm liên quan hoặc cá nhân phù hợp với các yêu cầu của một tiêu
chuẩn cụ thể.
3.5
Tổ chức (organization)
Công ty, tập đoàn, hãng, doanh nghiệp, cơ quan, tổ chức, hoặc một phần hoặc kết hợp, liên kết hoặc
không liên kết, chung hoặc riêng giữa tổ chức trên có chức năng, sự quản trị riêng có thể đảm bảo an
toàn thông tin được thực hiện.
4. Nguyên tắc
Áp dụng các yêu cầu trong điều 4 TCVN ISO/IEC 17021:2011.
5. Yêu cầu chung
5.1 Các vấn đề pháp lý và hợp đồng
Áp dụng các yêu cầu trong điều 5.1 TCVN ISO/IEC 17021:2011.
5.2 Quản lý tính khách quan
Áp dụng các yêu cầu trong điều 5.2 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng.
5
TCVN XXXX:XXXX
5.2.1 IS 5.2 Xung đột về lợi ích
Tổ chức chứng nhận có thể thực hiện các nhiệm vụ sau đây nếu không thì tổ chức chứng nhận được
coi là tư vấn hoặc có sự xung đột về lợi ích:
a) Cấp chứng nhận bao gồm các thông tin cuộc họp, cuộc họp lập kế hoạch, kiểm tra văn bản, đánh
giá (không có đánh giá ISMS nội bộ hoặc soát xét an toàn nội bộ) và theo dõi sự không phù hợp;
b) Sắp xếp và tham gia như một giảng viên trong các khóa đào tạo, với điều kiện các khóa học liên
quan đến quản lý an toàn thông tin, liên quan tới các hệ thống quản lý hoặc đánh giá, tổ chức
chứng nhận có trách nhiệm hạn chế cung cấp thông tin chung và sẵn sàng tư vấn miễn phí trong
phạm vi chung nghĩa là họ sẽ không cung cấp tư vấn cho công ty cụ thể mà trái với yêu cầu của c)
dưới đây;
c) Tạo ra hoặc ban hành thông tin theo yêu cầu mô tả sự giải thích của tổ chức chứng nhận về các
yêu cầu của các tiêu chuẩn đánh giá chứng nhận (xem 9.1.1.1);
d) Các hoạt động trước khi đánh giá nhằm mục đích xác định sự sẵn sàng cho đánh giá chứng nhận,
tuy nhiên hoạt động này sẽ không dẫn đến việc cung cấp các khuyến cáo hoặc các kiến nghị trái
với quy định tại điều này và các tổ chức chứng nhận sẽ có thể xác nhận các hoạt động đó không
trái với yêu cầu này và họ không được sử dụng để chứng minh cho việc giảm thời gian đánh giá
chứng nhận cuối cùng;
e) Thực hiện đánh giá của bên thứ hai và thứ ba theo các tiêu chuẩn hoặc các quy định khác so với
họ là một phần của vi phạm cho phép;
f) Việc thêm vào giá trị trong quá trình đánh giá chứng nhận và số lượt giám sát, ví dụ bằng cách xác
định các cơ hội để cải thiện làm cho chúng trở nên rõ ràng trong quá trình đánh giá mà không cần
đề xuất các giải pháp cụ thể.
Tổ chức chứng nhận phải độc lập với tổ chức hoặc cá nhân( bao gồm bất kì các cá nhân), trong đó
cung cấp các đánh giá ISMS nội bộ của tổ chức khách hàng phải được chứng nhận.
5.3 Trách nhiệm pháp lý và tài chính
Áp dụng các yêu cầu trong điều 5.3 TCVN ISO/IEC 17021:2011
6. Yêu cầu về cơ cấu
6.1 Cơ cấu tổ chức và lãnh đạo cao nhất
Áp dụng các yêu cầu trong điều 6.1 TCVN ISO/IEC 17021:2011
6.2 Ban đảm bảo tính khách quan
Áp dụng các yêu cầu trong điều 6.2 TCVN ISO/IEC 17021:2011
6
TCVN XXXX:XXXX
7. Yêu cầu về nguồn lực
7.1 Năng lực của lãnh đạo và nhân viên
Áp dụng các yêu cầu trong điều 7.1 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng
7.1.1 IS 7.1.1 Lưu ý chung
Các yếu tố thiết yếu của năng lực cần thiết để thực hiện cấp giấy chứng nhận ISMS để lựa chọn, cung
cấp và quản lý các cá nhân có kỹ năng và năng lực tổng thể phù hợp với các hoạt động được đánh giá
và các vấn đề an toàn thông tin liên quan.
7.1.1.1 Phân tích năng lực và soát xét hợp đồng
Tổ chức chứng nhận phải đảm bảo có sự hiểu biết về phát triển công nghệ và pháp lý liên quan đến
ISMS của tổ chức Khách hàng được chứng nhận mà tổ chức đánh giá.
Tổ chức chứng nhận phải có một hệ thống hữu hiệu để phân tích các năng lực trong quản lý an toàn
thông tin mà trong đó tổ chức cần phải sẵn sàng, có liên quan đến tất cả các lĩnh vực kỹ thuật mà tổ
chức hoạt động.
Đối với mỗi Khách hàng được chứng nhận, tổ chức chứng nhận phải chứng minh được rằng đã thực
hiện một phân tích năng lực (đánh giá kỹ năng để đáp ứng nhu cầu thẩm định) những yêu cầu của
từng ngành có liên quan trước khi thực hiện việc soát xét hợp đồng. Sau đó tổ chức chứng nhận phải
soát xét lại các hợp đồng với các tổ chức Khách hàng được chứng nhận, dựa trên kết quả phân tích
năng lực trước đó. Đặc biệt các tổ chức chứng nhận sẽ phải chứng minh rằng nó có năng lực để hoàn
thành các hoạt động sau:
a) Hiểu được các lĩnh vực hoạt động của tổ chức Khách hàng được chứng nhận và những rủi ro liên quan;
b) Xác định các năng lực cần thiết trong các tổ chức chứng nhận để chứng nhận các hoạt động xác
định, và các mối đe dọa an toàn thông tin đối với tài sản, các lỗ hổng và các tác động vào tổ chức
của Khách hàng được chứng nhận;
c) Xác nhận tính sẵn sàng của các năng lực cần thiết.
7.1.1.2 Nguồn lực
Việc quản lý của tổ chức chứng nhận phải có nguồn lực và quy trình cần thiết để xác định có hay
không mỗi đánh giá viên có đủ năng lực cho các nhiệm vụ của họ được yêu cầu thực hiện thuộc phạm
vi cấp chứng nhận mà họ đang hoạt động. Năng lực của các đánh giá viên có thể được xây dựng bằng
kinh nghiệm đã được xác minh và đào tạo hoặc sự hướng dẫn đặc biệt (xem phụ lục B). Tổ chức
chứng nhận phải có khả năng giao tiếp hiệu quả với tất cả Khách hàng được chứng nhận đã cung cấp
dịch vụ.
7
TCVN XXXX:XXXX
7.1.2 IS 7.1.2 Xác định tiêu chí năng lực
Các thông tin bổ sung về kiến thức và kỹ năng được cung cấp trong phụ lục B để hỗ trợ các tiêu chí
năng lực của TCVN ISO/IEC 17021.
7.2 Cá nhân liên quan đến hoạt động chứng nhận
Áp dụng các yêu cầu trong điều 7.2 TCVN ISO/IEC 17021:2011. Ngoài ra các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng:
7.2.1 IS 7.2 Năng lực của nhân viên tổ chức chứng nhận
Tổ chức chứng nhận phải có nhân viên đủ năng lực để:
a) Lựa chọn và xác nhận năng lực của các đánh giá viên ISMS cho các nhóm đánh giá thích hợp để
thực hiện đánh giá;
b) Đánh giá ngắn gọn ISMS và sắp xếp đào tạo bất kì khi cần thiết;
c) Quyết định về việc cấp, duy trì, thu hồi, đình chỉ, gia hạn hoặc giảm bớt các chứng nhận;
d) Thiết lập và vận hành một yêu cầu xem xét lại và quy trình khiếu nại.
7.2.1.1 Đào tạo các nhóm đánh giá
Tổ chức chứng nhận phải có tiêu chí cho việc đào tạo các nhóm đánh giá để đảm bảo:
a) Kiến thức về các tiêu chuẩn ISMS và tài liệu viện dẫn khác có liên quan;
b) Sự hiểu biết về an toàn thông tin;
c) Sự hiểu biết về đánh giá rủi ro và quản lý rủi ro từ góc độ nghiệp vụ;
d) Kiến thức kỹ thuật của hoạt động được đánh giá;
e) Kiến thức chung về yêu cầu pháp lý liên quan đến các ISMS;
f) Kiến thức về các hệ thống quản lý;
g) Sự hiểu biết về các nguyên tắc của đánh giá theo tiêu chuẩn TCVN ISO/IEC 19011:2013;
h) Kiến thức về soát xét hiệu quả ISMS và đo lường hiệu quả kiểm soát.
Các yêu cầu đào tạo áp dụng cho tất cả các thành viên của nhóm đánh giá, ngoại trừ điều d), có thể
được chia sẻ giữa các thành viên của nhóm đánh giá.
7.2.1.1.1 Việc lựa chọn nhóm kiêm toán cho việc đánh giá cụ thể, tổ chức chứng nhận phải có
trách nhiệm đảm bảo trình độ chuyên môn mang lại cho mỗi công việc được giao là thích hợp. Nhóm
đánh giá phải:
a) Có kiến thức kỹ thuật phù hợp cho các hoạt động cụ thể trong phạm vi của ISMS được chứng
nhận đang tìm kiếm và ở những nơi thích hợp, với các thủ tục có liên quan, các rủi ro an toàn
8
TCVN XXXX:XXXX
thông tin tiềm ẩn của họ (các chuyên gia kỹ thuật không phải là các đánh giá viên có thể thực hiện
chức năng này);
b) Có sự hiểu biết về các tổ chức Khách hàng được chứng nhận để thực hiện đánh giá độ tin cậy
ISMS của Khách hàng được chứng nhận trong việc quản lý các khía cạnh an toàn thông tin về các
hoạt động, sản phẩm và dịch vụ của mình;
c) Có sự hiểu biết phù hợp về các yêu cầu, quy định áp dụng đối với ISMS của Khách hàng được chứng
nhận.
7.2.1.1.2 Khi cần, các nhóm đánh giá có thể được bổ sung bởi các chuyên gia kỹ thuật có năng lực
cụ thể trong lĩnh vực công nghệ phù hợp với việc đánh giá. Lưu ý khi thực hiện bổ sung các chuyên gia
kỹ thuật không thể sử dụng để thay cho đánh giá viên ISMS nhưng có thể tư vấn cho đánh giá viên về
các vấn đề kỹ thuật thích hợp trong điều kiện hệ thống quản lý đang chịu sự đánh giá. Tổ chức đánh
giá phải có thủ tục:
a) Lựa chọn đánh giá viên và các chuyên gia kỹ thuật dựa trên cơ sở năng lực, trình độ đào tạo, trình
độ chuyên môn và kinh nghiệm của họ;
b) Đánh giá bước đầu về việc thực hiện của các đánh giá viên và chuyên gia kỹ thuật trong quá trình
đánh giá chứng nhận và sau đó giám sát hoạt động của các đánh giá viên và chuyên gia kỹ thuật.
7.2.1.2 Quản lý quy trình ra quyết định
Các chức năng quản lý phải có năng lực kỹ thuật và khả năng quản lý quy trình ra quyết định liên quan
đến việc cấp, duy trì, gia hạn, giảm bớt, đình chỉ, thu hồi của chứng nhận ISMS với các yêu cầu của
tiêu chuẩn TCVN ISO/IEC 27001:2009.
7.2.1.3 Mức độ, điều kiện cần của giáo dục, kinh nghiệm làm việc, đào tạo đánh giá viên và kinh nghiệm đánh giá của đánh giá viên thực hiện đánh giá ISMS
7.2.1.3.1 Các tiêu chí sau đây được áp dụng cho từng đánh giá viên trong nhóm đánh giá ISMS.
Đánh giá viên phải có:
a) Có trình độ học vấn đánh giá ở mức 2;
b) Có ít nhất 4 năm kinh nghiệm làm việc thực tế trong ngành công nghệ thông tin, trong đó có ít nhất
hai năm kinh nghiệm trong vai trò hoặc chức năng liên quan tới an toàn thông tin;
c) Hoàn thành tốt 5 ngày trong chương trình đào tạo với phạm vi mà trong đó bao gồm việc đánh giá
ISMS và quản lý đánh giá được cho là thích hợp;
d) Đã có kinh nghiệm trong toàn bộ quy trình đánh giá an toàn thông tin trước khi đảm nhận trách
nhiệm để thực hiện như một đánh giá viên, kinh nghiệm này cần phải có bằng cách tham gia đào
tạo tối thiểu bốn giấy chứng nhận đánh giá trong tổng số ít nhất 20 ngày, bao gồm việc soát xét tài
liệu, phân tích rủi ro, đánh giá thực thi và báo cáo đánh giá;
e) Có kinh nghiệm mà hiện tại được coi là phù hợp;
9
TCVN XXXX:XXXX
f) Có thể đưa ra các hoạt động phức tạp với quan điểm rộng để hiểu được vai trò của các đơn vị, cá
nhân riêng trong các tổ chức Khách hàng được chứng nhận lớn hơn;
g) Phát triển những kỹ năng và kiến thức về an toàn thông tin và đánh giá được cập nhật thông qua
việc phát triển chuyên môn liên tục.
Các chuyên gia kỹ thuật cần thực hiện theo các tiêu chí a), b), e) và f).
7.2.1.3.2 Ngoài các yêu cầu trong 7.2.1.3.1, trưởng nhóm đánh giá phải thực hiện đầy đủ các yêu
cầu sau, trong đó thể hiện ở việc đánh giá theo hướng dẫn và giám sát:
a) Có kiến thức và kỹ năng để quản lý quy trình đánh giá chứng nhận;
b) Là một đánh giá viên trong ít nhất ba lần đánh giá ISMS hoàn chỉnh;
c) Chứng minh được khả năng giao tiếp hiệu quả, cả bằng lời nói và văn bản.
7.3 Sử dụng đánh giá độc lập và các chuyên gia kỹ thuật bên ngoài
Áp dụng các yêu cầu trong điều 7.3 TCVN ISO/IEC 17021:2011. Ngoài ra các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng.
7.3.1 IS 7.3 Sử dụng đánh giá viên và chuyên gia kỹ thuật bên ngoài trong nhóm đánh giá
Khi sử dụng các đánh giá viên hoặc các chuyên gia kỹ thuật bên ngoài như là một phần của nhóm
đánh giá, tổ chức chứng nhận phải đảm bảo họ có năng lực và tuân thủ theo các quy định hiện hành
của ấn phẩm này, không được tham gia trực tiếp hay gián tiếp thông qua nhân viên của tổ chức với
những thiết kế, thực thi hoặc duy trì của một ISMS hoặc hệ thống quản lý có liên quan mà trong đó tính
khách quan bị tổn hại.
7.3.1.1 Sử dụng các chuyên gia kỹ thuật
Các chuyên gia kỹ thuật có kiến thức cụ thể liên quan đến các quy trình, các vấn đề liên quan đến an
toàn thông tin và sự ảnh hưởng của luật pháp đến tổ chức Khách hàng được chứng nhận, nhưng
không đáp ứng tất cả các tiêu chí theo điều 7.2 có thể là một phần của đội đánh giá. Các chuyên gia kỹ
thuật sẽ làm việc dưới sự giám sát của đánh giá viên.
7.4 Hồ sơ nhân sự
Áp dụng các yêu cầu trong điều 7.4 TCVN ISO/IEC 17021:2011.
7.5 Thuê ngoài
Áp dụng các yêu cầu trong điều 7.5 TCVN ISO/IEC 17021:2011.
8. Yêu cầu về thông tin
8.1 Thông tin công khai
Áp dụng các yêu cầu trong điều 8.1 TCVN ISO/IEC 17021:2011. Ngoài ra các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng.
10
TCVN XXXX:XXXX
8.1.1 IS 8.1 Thủ tục cấp, duy trì, gia hạn, giảm bớt, đình chỉ và thu hồi chứng nhận
Tổ chức chứng nhận có trách nhiệm yêu cầu các tổ chức Khách hàng được chứng nhận phải có một
tài liệu và thực thi ISMS phù hợp với tiêu chuẩn TCVN ISO/IEC 27001:2009 và các văn bản khác theo
yêu cầu của giấy chứng nhận.
Tổ chức chứng nhận phải có các thủ tục văn bản để:
a) Khởi tạo việc đánh giá chứng nhận của ISMS của Khách hàng được chứng nhận phù hợp với các
quy định của tiêu chuẩn ISO/IEC 17021 và các văn bản khác có liên quan;
b) Giám sát và đánh giá chứng nhận lại ISMS của Khách hàng được chứng nhận theo tiêu chuẩn
ISO/IEC 27021 một cách định kì cho phù hợp với các yêu cầu có liên quan, thẩm tra và ghi lại xem
tổ chức Khách hàng được chứng nhận có hành động khắc phục một cách kịp thời để điều chỉnh
tất cả các sự không phù hợp đó.
8.2 Tài liệu chứng nhận
Áp dụng các yêu cầu trong điều 8.2 TCVN ISO/IEC17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng:
8.2.1 IS 8.2 Tài liệu chứng nhận ISMS
Tổ chức chứng nhận phải cung cấp cho mỗi Khách hàng được chứng nhận có ISMS được chứng
nhận, giấy chứng nhận như là một dấu hiệu hoặc một chứng chỉ có chữ kí của giám đốc người chịu
trách nhiệm chính của tổ chức chứng nhận. Đối với mỗi tổ chức Khách hàng được chứng nhận và các
hệ thống thông tin của họ nằm trong phạm vi các chứng nhận, thì các tài liệu này phải xác định phạm vi
của chứng nhận được cấp và hệ thống ISMS theo tiêu chuẩn TCVN ISO/IEC 27001:2009 đã được
chứng nhận. Ngoài ra giấy chứng nhận sẽ bao gồm một tham chiếu đến các phiên bản cụ thể của
thông báo áp dụng.
CHÚ THÍCH Sự thay đổi của thông báo áp dụng mà không làm thay đổi độ bao phủ, phạm vi kiểm soát của chứng nhận thì
không cần yêu cầu bản cập nhật của giấy chứng nhận.
8.3 Danh bạ Khách hàng được chứng nhận được chứng nhận
Áp dụng các yêu cầu trong điều 8.3 TCVN ISO/IEC 17021:2011.
8.4 Viện dẫn chứng nhận và sử dụng dấu
Áp dụng các yêu cầu trong điều 8.4 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng
8.4.1 IS 8.4 Biện pháp kiểm soát dấu chứng nhận
Tổ chức chứng nhận phải thực hiện biện pháp kiểm soát phù hợp về quyền sở hữu, sử dụng và thể
hiện của ISMS có dấu chứng nhận riêng. Nếu tổ chức chứng nhận trao quyền sử dụng con dấu để cấp
giấy chứng nhận của một ISMS, thì tổ chức chứng nhận có trách nhiệm đảm bảo rằng các Khách hàng
được chứng nhận sử dụng các con dấu quy định chỉ được ủy quyền bằng văn bản của cơ quan chứng
11
TCVN XXXX:XXXX
nhận. Tổ chức chứng nhận không được cho phép các Khách hàng được chứng nhận sử dụng con dấu
này vào trong sản phẩm hoặc trong cách mà có thể hiểu là biểu thị phù hợp cho sản phẩm.
8.5 Tính bí mật
Áp dụng các yêu cầu trong điều 8.5 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng
8.5.1 IS 8.5 Truy cập hồ sơ tổ chức
Trước khi đánh giá chứng nhận, tổ chức chứng nhận phải yêu cầu Khách hàng được chứng nhận báo
cáo nếu bất kì hồ sơ ISMS không sẵn sàng để soát xét bởi nhóm đánh giá do chúng có chứa thông tin
bí mật và nhạy cảm. Tổ chức chứng nhận có trách nhiệm xác định xem ISMS có thể được đánh giá
đầy đủ trong trường hợp không có những hồ sơ này. Nếu tổ chức chứng nhận kết luận rằng nó không
đúng, có thể thực hiện đánh giá đầy đủ các ISMS mà không cần xem xét các hồ sơ bí mật hoặc nhạy
cảm đó, tổ chức sẽ tư vấn cho Khách hàng được chứng nhận việc đánh giá chứng nhận không thể xảy
ra cho đến khi đạt được sự thỏa thuận thích hợp về truy cập.
8.6 Trao đổi thông tin giữa tổ chức chứng nhận và Khách hàng được chứng nhận
Áp dụng các yêu cầu trong điều 8.6 TCVN ISO/IEC 17021:2011.
9. Yêu cầu về quy trình9.1 Yêu cầu chung
Áp dụng các yêu cầu trong điều 9.1 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng.
9.1.1 IS 9.1.1 Yêu cầu chung về đánh giá ISMS
9.1.1.1 Tiêu chí đánh giá chứng nhận
Dựa vào các tiêu chí ISMS của Khách hàng được chứng nhận được đánh giá phải là những điều được
nêu trong ISMS theo TCVN ISO/IEC 27001:2009 và các văn bản khác theo yêu cầu giấy chứng nhận
liên quan đến chức năng thực hiện. Nếu lời giải thích được yêu cầu để áp dụng cho các văn bản vào
các chương trình chứng nhận cụ thể thì lời giải thích đó được đưa ra bởi một ban hoặc người sở hữu
những năng lực kĩ thuật cần thiết có liên quan và được công bố bởi tổ chức xác nhận.
9.1.1.2 Các chính sách và thủ tục
Tài liệu của tổ chức chứng nhận phải bao gồm các chính sách và thủ tục cho quy trình thực hiện
chứng nhận, gồm kiểm tra việc sử dụng và ứng dụng của tài liệu trong chứng nhận các ISMS và xác
nhận ISMS của Khách hàng được chứng nhận.
9.1.1.3 Nhóm đánh giá
Nhóm đánh giá phải được chỉ định chính thức và được cung cấp các tài liệu làm việc thích hợp. Kế
hoạch và thời gian đánh giá phải được thỏa thuận với Khách hàng được chứng nhận. Nhiệm vụ của
12
TCVN XXXX:XXXX
nhóm đánh giá sẽ được xác định rõ ràng và cho Khách hàng được chứng nhận biết, phải yêu cầu các
nhóm đánh giá kiểm tra cấu trúc, các chính sách và thủ tục của tổ chức Khách hàng được chứng nhận,
và xác nhận rằng những yếu tố này đáp ứng tất cả các yêu cầu liên quan đến phạm vi của chứng nhận
và các thủ tục được thực hiện, như vậy là tạo sự tin tưởng vào ISMS của Khách hàng được chứng
nhận.
9.1.2 IS 9.1.2 Phạm vi chứng nhận
Nhóm đánh giá phải thực hiện đánh giá ISMS của Khách hàng được chứng nhận trong phạm vi được
xác định đối với tất cả các yêu cầu chứng nhận được áp dụng. Tổ chức chứng nhận phải đảm bảo
phạm vi và giới hạn ISMS của Khách hàng được chứng nhận được xác định rõ ràng về đặc điểm của
nghiệp vụ, tổ chức, vị trí, các tài sản và công nghệ. Tổ chức chứng nhận phải xác nhận trong phạm vi
ISMS của họ, mà các tổ chức Khách hàng được chứng nhận giải quyết các yêu cầu quy định tại điều
1.2 của TCVN ISO/IEC 27001:2009.
Tổ chức chứng nhận phải đảm bảo rằng việc đánh giá rủi ro và xử lý rủi ro an toàn thông tin của Khách
hàng được chứng nhận phản ánh đúng các hoạt động của tổ chức và mở rộng ranh giới hoạt động của
mình theo quy định của ISMS theo TCVN ISO/IEC 27001:2009. Tổ chức chứng nhận phải xác nhận
điều này được phản ánh trong phạm vi tổ chức Khách hàng được chứng nhận của ISMS và thông báo
áp dụng.
Tổ chức chứng nhận phải đảm bảo các giao tiếp với các dịch vụ hoặc các hoạt động mà không hoàn
toàn nằm trong phạm vi của ISMS được nêu ra để cấp chứng nhận và nằm trong việc đánh giá rủi ro
an toàn thông tin của Khách hàng được chứng nhận. Một ví dụ cho một tình huống như vậy là sự chia
sẻ các phương tiện (như hệ thống công nghệ thông tin, cơ sở dữ liệu, hệ thống viễn thông) với các tổ
chức khác.
9.1.3 IS 9.1.3 Thời lượng đánh giá
Tổ chức chứng nhận phải cho phép đánh giá viên có đủ thời gian để thực hiện tất cả các hoạt động
liên quan đến đánh giá ban đầu, đánh giá giám sát hoặc đánh giá chứng nhận lại. Thời gian được phân
bổ phải xem xét dựa vào các yếu tố sau:
a) Quy mô của phạm vi chứng nhận ISMS (ví dụ như số lượng hệ thống thông tin được sử dụng, số lượng
lao động);
b) Sự phức tạp của ISMS (ví dụ tính quan trọng của các hệ thống thông tin, tình huống rủi ro của
ISMS), xem thêm phụ lục A;
c) Các loại hình nghiệp vụ thực hiện trong phạm vi của hệ thống ISMS;
d) Mức độ và tính đa dạng của công nghệ được dùng trong việc triển khai các thành phần riêng biệt của
ISMS (như các kiểm soát thực thi, tài liệu, kiểm soát tiến trình, dự phòng/khắc phục hành động…);
e) Số lượng các điểm đánh giá;
13
TCVN XXXX:XXXX
f) Hiệu năng của ISMS đã được chứng minh;
g) Mức độ của nguồn nhân lực bên ngoài và các thỏa thuận của bên thứ ba sử dụng trong phạm vi
của ISMS;
h) Các tiêu chuẩn và quy định áp dụng cho việc cấp giấy chứng nhận.
Phụ lục C cung cấp các hướng dẫn về thời gian đánh giá. Tổ chức chứng nhận phải có sự chuẩn bị để
chứng minh cho khoảng thời gian sử dụng trong đánh giá ban đầu, giám sát đánh giá và đánh giá
chứng nhận lại.
9.1.4 IS 9.1.4 Lấy mẫu đa điểm
9.1.4.1 Quyết định lấy mẫu đa điểm trong lĩnh vực cấp giấy chứng nhận của ISMS là phức tạp hơn
so với quyết định tương tự cho các hệ thống quản lý chất lượng. Trường hợp tổ chức Khách hàng
được chứng nhận có số lượng vị trí đạt các tiêu chí từ a) đến c) dưới đây, tổ chức chứng nhận có thể
xem xét sử dụng phương pháp tiếp cận dựa trên các mẫu để đánh giá chứng nhận nhiều vị trí;
a) Tất cả các vị trí được đánh giá đang hoạt động trong cùng một ISMS được quản lý tập trung, được
đánh giá, và dưới sự đánh giá, soát xét quản lý tập trung.
b) Tất cả các vị trí được đánh giá nằm trong chương trình đánh giá nội bộ ISMS của Khách hàng
được chứng nhận;
c) Tất cả các vị trí được đánh giá nằm trong chương trình soát xét quản lý ISMS của Khách hàng
được chứng nhận.
9.1.4.2 Các tổ chức chứng nhận có nhu cầu sử dụng một phương pháp tiếp cận dựa trên mẫu phải
có thủ tục tại chỗ để đảm bảo những điều sau đây:
a) Xác định việc soát xét hợp đồng bước đầu ở mức cao nhất có thể, sự khác biệt giữa các vị trí, các
vị trí mà mức độ đầy đủ của mẫu được xác định.
b) Một số đại diện của các vị trí được lấy mẫu bởi tổ chức chứng nhận, để ý tới:
1) Kết quả đánh giá nội bộ của trụ sở chính và các vị trí,
2) Kết quả của soát xét quản lý,
3) Những thay đổi trong kích thước của các vị trí,
4) Những thay đổi trong mục đích nghiệp vụ của các vị trí,
5) Tính phức tạp của ISMS,
6) Tính phức tạp của hệ thống thông tin ở các vị trí khác nhau,
7) Những thay đổi trong thực tiễn làm việc,
8) Những thay đổi trong các hoạt động thực hiện,
14
TCVN XXXX:XXXX
9) Khả năng tương tác với các hệ thống thông tin quan trọng hoặc các hệ thống xử lý thông tin
nhạy cảm,
10) Bất kì các yêu cầu pháp lý khác nhau.
c) Một mẫu đại diện được chọn từ tất cả các vị trí trong phạm vi ISMS của Khách hàng được chứng
nhận; sự lựa chọn này dựa trên sự phán đoán để phản ánh các yêu tố trình bày trong điều b) ở
trên như là một yếu tố ngẫu nhiên.
d) Mỗi vị trí nằm trong ISMS chịu rủi ro đáng kể được đánh giá bởi tổ chức chứng nhận trước khi cấp
giấy chứng nhận.
e) Chương trình đánh giá đã được thiết kế trong bối cảnh các quy định nêu trên và các mẫu đại diện
trong phạm vi của chứng nhận ISMS trong khoảng thời gian ba năm.
f) Trong trường hợp quan sát thấy có sự không phù hợp tại trụ sở chính hoặc tại một vị trí duy nhất
thì các thủ tục hành động khắc phục áp dụng cho trụ sở chính và tất cả các vị trí nằm trong phạm
vi của giấy chứng nhận.
Đánh giá được mô tả trong IS 9.1.5 dưới đây sẽ giải quyết các hoạt động của trụ sở chính của Khách
hàng được chứng nhận để đảm bảo rằng một ISMS duy nhất áp dụng cho tất cả các vị trí và cung cấp
quản lý tập trung ở mức vận hành. Việc đánh giá sẽ giải quyết tất cả các vấn đề nêu trên.
9.1.5 IS 9.1.5 Phương pháp đánh giá
Tổ chức chứng nhận phải có các thủ tục, yêu cầu Khách hàng được chứng nhận có khả năng chứng
minh việc đánh giá nội bộ ISMS được lên kế hoạch, các chương trình và các thủ tục được hoạt động
và có thể hiển thị các hoạt động đó.
Thủ tục cấp giấy chứng nhận của tổ chức không được giả định trước một cách cụ thể cho việc thực thi
ISMS hoặc định dạng đặc biệt cho các hồ sơ và các tài liệu. Thủ tục cấp giấy chứng nhận tập trung vào
việc thiết lập ISMS của Khách hàng được chứng nhận đáp ứng các yêu cầu theo TCVN ISO/IEC
27001:2009 và các chính sách, mục tiêu của Khách hàng được chứng nhận.
Kế hoạch đánh giá phải xác định những kỹ thuật đánh giá có mạng lưới hỗ trợ sẽ được sử dụng trong
quá trình đánh giá.
CHÚ THÍCH Mạng lưới hỗ trợ các kỹ thuật đánh giá có thể bao gồm ví dụ như hội nghị truyền hình, hội nghị web,
truyền thông dựa trên web tương tác, truy cập từ xa đến các tài liệu trong hệ thống ISMS hoặc các tiến trình ISMS. Trọng tâm
của các kỹ thuật đó là để nâng cao hiệu quả đánh giá và hỗ trợ tính toàn vẹn của quy trình đánh giá.
9.1.6 IS 9.1.6 Báo cáo đánh giá chứng nhận
9.1.6.1 Thủ tục báo cáo của các tổ chức chứng nhận đảm bảo:
a) Cuộc họp diễn ra giữa nhóm đánh giá và quản lý tổ chức của Khách hàng được chứng nhận trước
khi rời khỏi cơ sở của Khách hàng được chứng nhận mà tại đó nhóm đánh giá cung cấp;
15
TCVN XXXX:XXXX
1) Một chỉ dẫn bằng văn bản hoặc bằng miệng liên quan đến sự phù hợp ISMS của Khách hàng
được chứng nhận với các yêu cầu cấp giấy chứng nhận cụ thể,
2) Một cơ hội để các tổ chức Khách hàng được chứng nhận đặt câu hỏi về những kết luận và
căn cứ của mình.
b) Nhóm đánh giá cung cấp cho tổ chức chứng nhận một báo cáo đánh giá các kết quả như một sự
phù hợp ISMS của Khách hàng được chứng nhận với tất cả các yêu cầu cấp giấy chứng nhận.
9.1.6.2 Báo cáo đánh giá phải cung cấp các thông tin hoặc một tham chiếu sau đây:
a) Báo cáo đánh giá bao gồm một bản tóm tắt của việc soát xét tài liệu;
b) Báo cáo đánh giá chứng nhận phân tích rủi ro an toàn thông tin của Khách hàng được chứng nhận;
c) Tổng thời gian đánh giá được sử dụng, các chỉ dẫn kĩ thuật chi tiết thời gian dành cho soát xét tài
liệu, đánh giá phân tích rủi ro, đánh giá tại chỗ và báo cáo đánh giá;
d) Các câu hỏi về đánh giá như lí do cho sự lựa chọn của họ và phương pháp sử dụng.
9.1.6.3 Báo cáo đánh giá phải chi tiết đầy đủ để tạo điều kiện và hỗ trợ cho việc ra quyết định cấp
giấy chứng nhận. Báo cáo bao gồm:
a) Lĩnh vực được đánh giá (ví dụ như các yêu cầu về chứng nhận, các vị trí đã được đánh giá), bao
gồm đánh giá quan trọng theo vệt và sử dụng các phương pháp đánh giá (xem điều IS 9.1.5);
b) Thực hiện quan sát cả mặt tích cực (ví dụ như các tính năng đáng lưu ý) và tiêu cực (ví dụ như sự
không phù hợp tiềm ẩn);
c) Chi tiết của bất kì sự không phù hợp sẽ được xác định, hỗ trợ bởi các bằng chứng khách quan và
tài liệu tham khảo của các sự không phù hợp với các yêu cầu theo TCVN ISO/IEC 27001:2009
hoặc những văn bản phục vụ cho việc cấp chứng nhận;
d) Các ý kiến về sự phù hợp về ISMS của Khách hàng được chứng nhận với các yêu cầu chứng
nhận, hoặc một tuyên bố rõ ràng về sự không phù hợp, hay một tham chiếu tới các phiên bản của
thông báo áp dụng và có thể ứng dụng ở đâu, bất kì sự so sánh hữu ích nào với kết quả đánh giá
chứng nhận trước của Khách hàng được chứng nhận.
Các câu hỏi hoàn chỉnh, danh sách kiểm tra, quan sát, các bản ghi hoặc các ghi chú của đánh giá viên
có thể là một phần không thể tách rời của báo cáo đánh giá. Những phương pháp được sử dụng, thì
các tài liệu này sẽ được trình lên tổ chức chứng nhận làm bằng chứng để hỗ trợ cho quyết định cấp
giấy chứng nhận. Thông tin về các mẫu đánh giá trong suốt quá trình đánh giá sẽ được nằm trong báo
cáo đánh giá hoặc trong các tài liệu chứng nhận khác.
Báo cáo sẽ xem xét tính đầy đủ của nội bộ tổ chức và các thủ tục được thông qua bởi tổ chức Khách
hàng được chứng nhận để tạo độ tin cậy trong ISMS.
Ngoài những yêu cầu của báo cáo trong 9.1.10 TCVN ISO/IEC 17021:2011, thì báo cáo còn bao gồm:
16
TCVN XXXX:XXXX
- Mức độ phù hợp có thể được đặt trên đánh giá nội bộ ISMS và soát xét quản lý;
- Một bản tóm tắt của các quan sát quan trọng tích cực cũng như tiêu cực có liên quan đến việc thực
thi và hiệu quả của ISMS;
- Khuyến nghị của nhóm đánh giá xem xét liệu việc ISMS của Khách hàng được chứng nhận cần
được chứng nhận hoặc không với những thông tin để chứng minh khuyến nghị đó.
9.2 Đánh giá và chứng nhận ban đâu
Áp dụng các yêu cầu trong điều 9.2 TCVN ISO/IEC 17021:2011. Ngoài ra các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng.
9.2.1 IS 9.2.1 Năng lực của nhóm đánh giá
Ngoài các yêu cầu được liệt kê tại điều 7.2 thì các yêu cầu sau áp dụng cho đánh giá chứng nhận. Đối
với hoạt động giám sát chỉ có những yêu cầu liên quan tới kế hoạch hoạt động giám sát được áp dụng.
Các yêu cầu chung sau đây được áp dụng cho nhóm đánh giá:
a) Trong từng lĩnh vực sau có ít nhất một thành viên trong nhóm đánh giá phải đáp ứng các tiêu chí
của tổ chức chứng nhận và có trách nhiệm:
1) Quản lý nhóm,
2) Quản lý các hệ thống và quy trình áp dụng đối với ISMS,
3) Có kiến thức về các yêu cầu quy phạm pháp luật trong lĩnh vực an toàn thông tin cụ thể,
4) Xác định các mối đe dọa liên quan đến an toàn thông tin và xu hướng sự cố,
5) Xác định các điểm yếu của tổ chức Khách hàng được chứng nhận và hiểu biết về khả năng
khai thác, tác động, giảm nhẹ và kiểm soát các điểm yếu đó,
6) Kiến thức về kiểm soát và thực thi ISMS,
7) Kiến thức về soát xét hiệu quả ISMS và kiểm soát đo lường,
8) Có liên quan đến tiêu chuẩn ISMS, thực tiễn tốt nhất, chính sách bảo mật và các thủ tục,
9) Kiến thức về phương pháp xử lý sự cố và tính liên tục của nghiệp vụ,
10) Kiến thức về tài sản thông tin hữu hình, vô hình và phân tích tác động,
11) Kiến thức về công nghệ hiện tại nơi các vấn đề về an toàn có thể có liên quan hoặc phát sinh,
12) Kiến thức về các phương thức và tiến trình quản lý rủi ro.
b) Nhóm đánh giá có thẩm quyền theo dõi các dấu hiệu của sự cố an ninh trong ISMS của Khách
hàng được chứng nhận và trở lại các yếu tố thích hợp của ISMS.
c) Nhóm đánh giá có kinh nghiệm làm việc phù hợp và ứng dụng thực tiễn ở các điều đã nêu trên
(điều này không có nghĩa là một đánh giá viên cần có kinh nghiệm trong tất cả các lĩnh vực an toàn
17
TCVN XXXX:XXXX
thông tin, nhưng nhóm đánh giá phải có đủ kinh nghiệm và đánh giá dàn trải để bao trùm toàn bộ
phạm vi của ISMS được đánh giá).
Nhóm đánh giá có thể là một người với điều kiện người đó đáp ứng được tất cả các tiêu chí đề ra trong
điều a) nêu trên.
9.2.1.1 IS 9.2.1.1 Chứng minh năng lực đánh giá viên
Đánh giá viên phải có khả năng chứng minh kiến thức và kinh nghiệm của họ như đã nêu trên, ví dụ:
a) Xác nhận trình độ chuyên môn ISMS cụ thể;
b) Đăng kiểm như một đánh giá viên;
c) Được phê duyệt qua các khóa đào tạo ISMS;
d) Liên tục cập nhật hồ sơ về sự phát triển chuyên môn cá nhân;
e) Trải nghiệm thực tế thông qua việc chứng kiến các việc làm của đánh giá viên thông qua quá trình
đánh giá ISMS của Khách hàng được chứng nhận.
9.2.2 IS 9.2.2 Chuẩn bị chung cho việc đánh giá ban đầu
Tổ chức chứng nhận sẽ phải yêu cầu tổ chức Khách hàng được chứng nhận chuẩn bị tất cả mọi việc
cần thiết cho việc thực hiện đánh giá chứng nhận, bao gồm việc cung cấp các tài liệu kiểm tra, truy cập
vào tất cả các lĩnh vực, các hồ sơ (bao gồm báo cáo đánh giá nội bộ, báo cáo đánh giá độc lập về an
toàn thông tin) và nhân sự cho mục đích của đánh giá chứng nhận, đánh giá chứng nhận lại và giải
quyết khiếu nại.
Ít nhất các thông tin sau đây được cung cấp bởi Khách hàng được chứng nhận trước khi đánh giá
chứng nhận tại chỗ
a) Thông tin chung liên quan đến ISMS và các hoạt động bao trùm;
b) Một bản sao tài liệu ISMS yêu cầu trong tiêu chuẩn TCVN ISO/IEC 27001:2009 tại 4.3.1 và các tài
liệu liên quan nếu cần.
9.2.3 IS 9.2.3 Đánh giá chứng nhận ban đầu
9.2.3.1 IS 9.2.3.1 Đánh giá giai đoạn 1
Trong giai đoạn này của đánh giá, tổ chức chứng nhận sẽ có được tài liệu về thiết kế của hệ thống
ISMS bao gồm các tài liệu cần thiết như trong 4.3.1 của TCVN ISO/IEC 27001:2009.
Mục tiêu của đánh giá giai đoạn 1 là cung cấp cái nhìn chung cho kế hoạch đánh giá giai đoạn 2 bằng
cách đạt được một sự hiểu biết hệ thống ISMS trong điều kiện, chính sách, mục tiêu của Khách hàng
được chứng nhận và đặc biệt là trạng thái của tổ chức Khách hàng được chứng nhận chuẩn bị sẵn
sàng cho việc đánh giá.
18
TCVN XXXX:XXXX
Đánh giá giai đoạn 1 sẽ bao gồm nhưng không được hạn chế việc soát xét tài liệu. Tổ chức chứng nhận sẽ
thỏa thuận với Khách hàng được chứng nhận khi nào và ở đâu thực hiện việc soát xét tài liệu. Trong mọi
trường hợp, việc soát xét tài liệu sẽ được hoàn thành trước khi bắt đầu của đánh giá giai đoạn 2.
Các kết quả của đánh giá giai đoạn 1 sẽ được ghi lại trong một bản báo cáo bằng văn bản. Tổ chức chứng
nhận có trách nhiệm xem xét lại báo cáo đánh giá giai đoạn 1 trước khi quyết định tiến hành đánh giá giai
đoạn 2 và lựa chọn thành viên trong nhóm có năng lực cần thiết cho đánh giá giai đoạn 2.
9.2.3.2 Đánh giá giai đoạn 2
9.2.3.2.1 Đánh giá giai đoạn 2 luôn diễn ra tại mọi vị trí của tổ chức Khách hàng được chứng nhận.
Trên cơ sở các kết quả ghi nhận trong báo cáo đánh giá giai đoạn 1, các tổ chức chứng nhận dự thảo
một kế hoạch đánh giá để tiến hành đánh giá giai đoạn 2. Mục tiêu của đánh giá giai đoạn 2 là:
a) Để xác nhận tổ chức Khách hàng được chứng nhận tuân thủ các chính sách, thủ tục và mục tiêu riêng;
b) Để xác nhận ISMS phù hợp với tất cả các yêu cầu theo quy chuẩn ISMS trong TCVN ISO/IEC
27001:2009 và đạt được mục tiêu, chính sách của tổ chức Khách hàng được chứng nhận.
9.2.3.2.2 Để thực hiện đánh giá giai đoạn 2 thì việc đánh giá phải tập trung vào các tổ chức của
Khách hàng được chứng nhận
a) Đánh giá rủi ro liên quan tới an toàn thông tin, so sánh sản phẩm và kết quả sau khi đánh giá;
b) Các yêu cầu về tài liệu được liệt kê tại 4.3.1 của tiêu chuẩn TCVN ISO/IEC 27001:2009;
c) Lựa chọn các mục tiêu kiểm soát và các biện pháp kiểm soát dựa trên các quy trình đánh giá và
xử lý rủi ro;
d) Soát xét lại hiệu quả của ISMS và các phép đo về hiệu quả của việc kiểm soát an toàn thông tin,
báo cáo và xem xét lại các mục tiêu của ISMS;
e) Đánh giá nội bộ ISMS và soát xét quản lý;
f) Trách nhiệm quản lý đối với các chính sách an toàn thông tin;
g) Sự tương ứng giữa lựa chọn và kiểm soát thực thi, thông báo áp dụng, các kết quả của đánh giá
rủi ro, tiến trình xử lý rủi ro, mục tiêu và các chính sách ISMS;
h) Thực hiện kiểm soát (xem phụ lục D), xét đến các phép đo của của tổ chức về tính hiệu quả của
việc kiểm soát [xem điều d ở trên] để xác định xem việc kiểm soát được thực hiện và có hiệu quả
để đạt được mục tiêu đã nêu;
i) Các chương trình, tiến trình, thủ tục, hồ sơ, đánh giá nội bộ, và các soát xét về hiệu quả của ISMS
nhằm đảm bảo đây là dấu vết theo dõi để quyết định quản lý, chính sách, mục tiêu của ISMS.
9.2.2.3 IS 9.2.3.3 Các yếu tố cụ thể của đánh giá ISMS
Vai trò của các tổ chức chứng nhận là thiết lập các tổ chức Khách hàng được chứng nhận phù hợp
trong việc thiết lập và duy trì các thủ tục cho việc xác định, kiểm tra và đánh giá các mối đe dọa liên
19
TCVN XXXX:XXXX
quan đến tài sản, các điểm yếu và ảnh hưởng của điểm yếu đến tác động tới tổ chức Khách hàng
được chứng nhận. Tổ chức chứng nhận có trách nhiệm:
a) Yêu cầu Khách hàng được chứng nhận chứng minh việc phân tích các mối đe dọa liên quan đến
an toàn là có và phù hợp cho các hoạt động của Khách hàng được chứng nhận;
CHÚ THÍCH Khách hàng được chứng nhận có trách nhiệm xác định các tiêu chí mà các rủi ro liên quan đến an toàn
thông tin của mình và được xác định là quan trọng và để phát triển cho các thủ tục cho việc làm này.
b) Xác định các thủ tục của tổ chức Khách hàng được chứng nhận để nhận biết, kiểm tra và đánh giá
các mối đe dọa có liên quan đến tài sản, các điểm yếu và ảnh hưởng của điểm yếu; và kết quả của
việc ứng dụng các thủ tục của khách hàng là phù hợp với chính sách, các mục tiêu của tổ chức
Khách hàng được chứng nhận.
Tổ chức chứng nhận phải xác minh các thủ tục được sử dụng trong việc phân tích có ý nghĩa và thực
thi một cách đúng đắn. Nếu mối đe dọa liên quan đến an toàn thông tin đối với tài sản, điểm yếu, hoặc
các tác động vào tổ chức Khách hàng được chứng nhận được xác định là quan trọng, nó sẽ được
quản lý trong ISMS.
9.2.3.3.1 Tuân thủ quy định và pháp luật
Việc duy trì và đánh giá tuân thủ quy định và pháp luật là trách nhiệm của các tổ chức Khách hàng
được chứng nhận. Tổ chức chứng nhận có trách nhiệm kiểm tra và lấy mẫu để thiết lập độ tin cậy cho
các chức năng của ISMS. Tổ chức chứng nhận có trách nhiệm xác minh tổ chức Khách hàng được
chứng nhận có một hệ thống quản lý tuân thủ các quy định của pháp luật và áp dụng đối với các rủi ro
an toàn thông tin và các tác động.
9.2.3.3.2 Tích hợp các tài liệu của ISMS với hệ thống quản lý khác
Các tổ chức Khách hàng được chứng nhận có thể kết hợp các tài liệu cho ISMS và các hệ thống quản
lý khác (như chất lượng, sức khỏe, an toàn và môi trường) để ISMS có thể xác định rõ ràng cùng với
các giao diện phù hợp với hệ thống khác.
9.2.3.3.3 Đánh giá hệ thống quản lý kết hợp
Một tổ chức chứng nhận có thể cấp chứng nhận hệ thống quản lý khác có liên kết với chứng nhận
ISMS, hoặc có thể chỉ cấp chứng nhận ISMS.
Đánh giá ISMS có thể được kết hợp với đánh giá các hệ thống quản lý khác. Sự kết hợp này có thể
được cung cấp, nó có thể được chứng minh rằng việc đánh giá sẽ đáp ứng tất cả các yêu cầu của
chứng nhận ISMS. Tất cả các yếu tố quan trọng để một ISMS được xuất hiện rõ ràng và có thể nhận
biết trong các báo cáo đánh giá. Chất lượng của đánh giá không bị ảnh hưởng bởi sự kết hợp này.
9.2.4 IS 9.2.4 Thông tin cấp giấy chứng nhận ban đầu
Để cung cấp cơ sở cho việc ra quyết định cấp giấy chứng nhận, tổ chức chứng nhận phải lập báo cáo
rõ ràng, cung cấp đầy đủ thông tin để đưa ra quyết định này.
20
TCVN XXXX:XXXX
Các báo cáo của nhóm đánh giá đến tổ chức chứng nhận được yêu cầu từ các giai đoạn khác nhau
trong quá trình đánh giá chứng nhận. Việc kết hợp các thông tin được tổ chức trên một tập hồ sơ, các
báo cáo này sẽ có chứa ít nhất các thông tin yêu cầu trong IS 9.1.6.
9.2.5 IS 9.2.5 Quyết định chứng nhận
Một thực thể có thể là một cá nhân có thể quyết định cấp/rút một chứng nhận trong tổ chức chứng
nhận, kết hợp với mức trình độ kiến thức và kinh nghiệm trong mọi lĩnh vực đủ để đánh giá quy trình
đánh giá và kiến nghị có liên quan được thực hiện bởi nhóm đánh giá.
Quyết định có hay không xác nhận ISMS của Khách hàng được chứng nhận được thực hiện bởi tổ
chức chứng nhận dựa trên cơ sở các thông tin thu thập được trong quá trình chứng nhận và các thông
tin khác có liên quan. Những người đưa ra quyết định cấp giấy chứng nhận sẽ không tham gia vào việc
đánh giá. Quyết định này được dựa trên những kết quả và đề nghị cấp giấy chứng nhận của nhóm
đánh giá theo quy định tại báo cáo đánh giá chứng nhận của họ (xem 9.1.6) và các thông tin liên quan
có sẵn cho các tổ chức chứng nhận.
Thực thể quyết định việc cấp giấy chứng nhận không nên phủ định các khuyến nghị của nhóm đánh
giá. Nếu trường hợp này xảy ra, tổ chức cấp giấy chứng nhận phải lập tài liệu và chứng minh cho việc
phủ định các khuyến nghị đó.
Dựa trên mục đích của quyết định cấp giấy chứng nhận, TCVN ISO/IEC 17021:2011 không đề cập đến
một giới hạn cụ thể mà đưa ra việc hoàn thành ít nhất một đánh giá nội bộ ISMS và soát xét quản lý
của ISMS của Khách hàng được chứng nhận.
Tổ chức chứng nhận có thể chỉ định một giới hạn cụ thể như vậy. Bất kể tổ chức chứng nhận đã lựa
chọn số lượng tối thiểu, các tiêu chuẩn sẽ được thiết lập bởi tổ chức chứng nhận để đảm bảo hiệu quả
cho các quy trình soát xét quản lý và đánh giá nội bộ ISMS của Khách hàng được chứng nhận.
Giấy chứng nhận sẽ không được cấp cho Khách hàng được chứng nhận tới khi có đủ bằng chứng để
chứng minh sự sắp xếp cho việc soát xét quản lý, đánh giá nội bộ ISMS được thực hiện, có hiệu quả
và được duy trì.
9.3 Hoạt động giám sát
Áp dụng các yêu cầu trong điều 9.3 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng
dẫn ISMS cụ thể sau đây được áp dụng
9.3.1 IS 9.3 Đánh giá giám sát
9.3.1.1 Các thủ tục đánh giá giám sát phải phù hợp với chứng nhận đánh giá của ISMS của Khách
hàng được chứng nhận như đã trình bày trong tiêu chuẩn này.
Mục đích của hoạt động giám sát là để kiểm tra việc áp dụng ISMS có tiếp tục được thực hiện, xem xét
các tác động của sự thay đổi tới hệ thống ban đầu như kết quả của sự thay đổi trong hoạt động của
21
TCVN XXXX:XXXX
Khách hàng được chứng nhận và xác nhận việc tuân thủ các yêu cầu của chứng nhận. Các chương
trình giám sát đánh giá phải bao gồm:
a) Các thành phần để duy trì hệ thống như đánh giá nội bộ ISMS, soát xét quản lý, và hành động
khắc phục, phòng ngừa;
b) Thông tin liên lạc từ bên ngoài theo yêu cầu của ISMS theo TCVN ISO/IEC 27001:2009 và các
tài liệu khác theo yêu cầu cấp giấy chứng nhận;
c) Sự thay đổi của hệ thống tài liệu;
d) Sự thay đổi các lĩnh vực chủ đề;
e) Thành phần được chọn của TCVN ISO/IEC 27001:2009;
f) Các lựa chọn phù hợp khác.
9.3.1.2 Tối thiểu, việc giám sát của tổ chức chứng nhận phải xem xét những điều sau đây:
a) Hiệu quả của ISMS đối với việc đạt được các mục tiêu của chính sách an toàn thông tin Khách hàng
được chứng nhận;
b) Đặc trưng của các thủ tục định lượng và soát xét của quy định pháp luật về an toàn thông tin liên quan.
c) Các hành động không phù hợp được xác định trong đánh giá cuối cùng.
9.3.1.3 Giám sát của tổ chức chứng nhận sẽ chỉ ra các yêu cầu cho việc đánh giá giám sát trong
TCVN ISO/IEC 17021:2011. Ngoài ra còn bao gồm các vấn đề sau đây:
a) Tổ chức chứng nhận phải có khả năng thích ứng với chương trình giám sát của mình tới các vấn
đề an toàn thông tin, các mối đe dọa tới tài sản, các điểm yếu, các ảnh hưởng tới Khách hàng
được chứng nhận, và các xác nhận cho điều này.
b) Chương trình giám sát của tổ chức chứng nhận được xác định bởi tổ chức chứng nhận. Thời gian cụ
thể của các buổi làm việc được thỏa thuận với Khách hàng được chứng nhận được chứng nhận.
c) Đánh giá giám sát có thể được kết hợp với các đánh giá của hệ thống quản lý khác. Bản báo cáo
sẽ chỉ ra rõ các khía cạnh liên quan tới mỗi hệ thống quản lý.
d) Tổ chức chứng nhận có trách nhiệm giám sát việc sử dụng phù hợp giấy chứng nhận.
Trong suốt quá trình đánh giá giám sát, các tổ chức chứng nhận sẽ kiểm tra các hồ sơ yêu cầu xem
xét lại và khiếu nại được đưa tới và nơi nào không phù hợp hoặc không đáp ứng các yêu cầu của việc
cấp giấy chứng nhận có liên quan mà Khách hàng được chứng nhận đã thu thập trên ISMS của họ và
các thủ tục, hành đông khắc phục phù hợp.
Một báo cáo giám sát bao gồm thông tin liên quan đến sự không phù hợp trước đó một cách rõ ràng.
Tối thiểu là các báo cáo phát sinh từ giám sát được xây dựng từ các yêu cầu tổng thể ở điều a) trên.
22
TCVN XXXX:XXXX
9.4 Chứng nhận lại
Áp dụng các yêu cầu trong điều 9.4 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng
9.4.1 IS 9.4 Đánh giá chứng nhận lại
Thủ tục đánh giá chứng nhận lại phải phù hợp với việc đánh giá chứng nhận của ISMS của Khách
hàng được chứng nhận được mô tả trong tiêu chuẩn này.
Tổ chức chứng nhận phải có các thủ tục rõ ràng với các trường hợp và điều kiện chứng nhận sẽ được
duy trì. Sự giám sát hoặc đánh giá chứng nhận lại, sự không phù hợp được tìm thấy, cũng như sự
không phù hợp phải được hiệu chỉnh đúng đắn trong thời gian cho phép của tổ chức chứng nhận. Sự
hiệu chỉnh không được thực hiện trong thời gian được phép thì phạm vi của chứng nhận sẽ bị giảm bớt
hoặc đình chỉ hoặc thu hồi. Thời gian thực hiện hiệu chỉnh phải phù hợp với mức độ nghiêm trọng của
sự không phù hợp và rủi ro để đảm bảo các yêu cầu về sản phẩm dịch vụ của Khách hàng được
chứng nhận.
9.5 Đánh giá đặc biệt
Áp dụng các yêu cầu của tiêu chuẩn ISO/IEC 17021:2011 tại điều 9.5. Ngoài ra các yêu cầu và hướng
dẫn của hệ thống ISMS cụ thể sau đây được áp dụng.
9.5.1 IS9.5 Trường hợp đặc biệt
Các hoạt động cần thiết để thực hiện đánh giá đặc biệt phải chịu các quy định đặc biệt nếu Khách hàng
được chứng nhận với một ISMS đã được chứng nhận làm thay đổi hệ thống của mình hoặc các thay
đổi khác diễn ra làm ảnh hưởng đến cơ sở cấp giấy chứng nhận.
9.6 Đình chỉ, thu hồi, hoặc thu hẹp phạm vi chứng nhận
Áp dụng các yêu cầu trong điều 9.6 TCVN ISO/IEC 17021:2011.
9.7 Yêu cầu xem xét lại
Áp dụng các yêu cầu trong điều 9.7 TCVN ISO/IEC 17021:2011.
9.8 Khiếu nại
Áp dụng các yêu cầu trong điều 9.8 TCVN ISO/IEC 17021:2011. Ngoài ra, các yêu cầu và hướng dẫn
ISMS cụ thể sau đây được áp dụng
9.8.1 IS 9.8 Các khiếu nại
Các khiếu nại thể hiện một nguồn thông tin sự không phù hợp. Tổ chức chứng nhận phải yêu cầu
Khách hàng được chứng nhận xác nhận khi nhận được đơn khiếu nại, Khách hàng được chứng nhận
phải thiết lập các báo cáo thích hợp dựa trên các nguyên nhân của việc khiếu nại, bao gồm mọi nhân
tố xác định trước (hoặc nguy cơ) trong ISMS của Khách hàng được chứng nhận.
23
TCVN XXXX:XXXX
Tổ chức chứng nhận phải đảm bảo các Khách hàng được chứng nhận đang được sử dụng để điều tra
để khắc phục hậu quả/hành động khắc phục, trong đó bao gồm các biện pháp để:
a) Thông báo cho các cơ quan thích hợp nếu cần theo quy định;
b) Khôi phục phù hợp;
c) Ngăn cản tái diễn;
d) Đánh giá và giảm thiểu bất kì sự cố an toàn bất lợi và các tác động có liên quan;
e) Đảm bảo sự tương tác phù hợp với các thành phần khác của ISMS;
f) Đánh giá hiệu quả của khắc phục hậu quả /biện pháp khắc phục được chấp nhận.
Tổ chức chứng nhận phải yêu cầu mỗi Khách hàng được chứng nhận có ISMS đã được chứng nhận
khi có yêu cầu, hồ sơ của tất cả các khiếu nại và hành động khắc phục đã thực hiện phù hợp với
những yêu cầu của TCVN ISO/IEC 27001:2009.
9.9 Hồ sơ người đăng kí chứng nhận và Khách hàng được chứng nhận
Áp dụng các yêu cầu trong điều 9.9 TCVN ISO/IEC 17021:2011.
10. Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận 10.1 Lựa chọn
Áp dụng các yêu cầu trong điều 10.1 TCVN ISO/IEC 17021:2011.
10.2 Lựa chọn 1 – Yêu cầu về hệ thống quản lý theo TCVN ISO 9001
Áp dụng các yêu cầu trong điều 10.2 TCVN ISO/IEC 17021:2011
10.3 Lựa chọn 2 – Yêu cầu chung về hệ thống quản lý
Áp dụng các yêu cầu trong tiêu chuẩn ISO/IEC 17021:2011 tại điều 10.3. Ngoài ra, các yêu cầu và
hướng dẫn ISMS cụ thể sau đây được áp dụng
10.3.1 IS 10.3 Thực thi ISMS
Đề nghị tổ chức giấy chứng nhận thực thi ISMS theo TCVN ISO/IEC 27001:2009.
24
TCVN XXXX:XXXX
PHỤ LỤC A(tham khảo)
Phân tích tính phức tạp của tổ chức Khách hàng được chứng nhận và khía cạnh của từng lĩnh vực cụ thể
A.1 Rủi ro tiềm ẩn của tổ chức
Tính phức tạp của phạm vi ISMS cần được xem xét khi đưa ra thời gian đánh giá và năng lực của
đánh giá viên. Phụ lục này cung cấp một ví dụ về phân tích tính phức tạp của tổ chức Khách hàng
được chứng nhận cho mục đích này.
Danh mục độ phức tạp đã được phân loại tới phạm vi của ISMS có thể sử dụng để quyết định:
a) Các yêu cầu năng lực của đánh giá viên thực hiện đánh giá ISMS (một ví dụ được đưa ra trong
phụ lục B)
b) Các yêu cầu về thời gian đánh giá cho đánh giá ISMS (ví dụ được đưa ra trong phục lục C).
Bảng A.1 là một dấu hiệu chung của các hệ số có thể được xem xét khi xác định độ phức tạp của
phạm vi ISMS. Nó cần phải thích nghi với tình huống cụ thể hoặc bất kì các hệ số cụ thể.
Bằng cách sử dụng các tiêu chí phức tạp (trong bảng A.1) riêng biệt, các khía cạnh của sự phức tạp
trong phạm vi ISMS có thể được phân lớp thành ba mức: “cao”, “trung bình”, “thấp”, sử dụng một số hệ
số khác nhau. Các phân loại có hiệu lực chung của sự phức tạp có thể được xem như các phân loại tối
đa của tất cả các hệ số được xem xét và kết quả là các loại hệ số được đưa ra là: “cao”, “trung bình”
hoặc “thấp”.
Bảng A.1 - Tiêu chí cho sự phức tạp của phạm vi ISMS
Hệ số phức tạp
Phân loạiÝ nghĩa
Cao Trung bình ThấpSố lượng nhân
viên + nhân
viên nhà thầu
≥1000 ≥200 ¿200 Quy mô thực thi ISMS
Hệ thống quản lý thông tin
Hệ thống quản lý liên quan tới
sản xuất
Hệ thống có liên quan đến bán
hàng/ phân phối/ các dịch vụ
chung
Công nghệ thông tin/ các dịch
vụ thông tin và các hệ thống có
liên quan
Hệ thống kỹ thuật có liên quan
25
TCVN XXXX:XXXX
tới xây dựng/đóng tàu/nhà máy
Số người sử
dụng
≥1tri ệu ≥200.000 ¿200.000 Các hệ thống tài chính
Hệ thống các bệnh viện, trường
học, chính phủ
Số lượng các
vị trí
≥5 ≥2 1 Quy mô thực thi hệ thống ISMS
An toàn vật lý và môi trường
(TCVN ISO/IEC 27001:2009,
A.9)
Số lượng máy
chủ
≥100 ≥10 ¿10 Quy mô thực thi hệ thống ISMS
An toàn vật lý và môi trường
(A9)
Kiểm soát truy nhập (TCVN
ISO/IEC 27001:2009, A.11)
Viễn thông và Quản lý vận hành
(TCVN ISO/IEC 27001:2009, A.10)
Số máy trạm
+máy cá nhân
+ xách tay
≥300 ≥50 ¿50 Kiểm soát truy nhập (TCVN
ISO/IEC 27001:2009, A.11)
Số lượng ứng
dụng phát triển
và nhân viên
bảo trì
≥100 ≥200 ¿20 Hệ thống thông tin tiếp nhận,
phát triển, và bảo trì (TCVN
ISO/IEC 27001:2009, A.12)
Mạng và công
nghệ mã hóa
Kết nối
Internet/bên
ngoài với
các yêu cầu
PKI/chữ kí
số mã hóa
Kết nối
Internet/bên
ngoài với việc
sử dụng mã
hóa trong xây
dựng các
phương tiện
tiêu chuẩn
mà không
cần các yêu
cầu về chữ kí
số/PKI
Kết nối
Internet/Bên
ngoài mà
không cần các
yêu cầu về
chữ kí số/PKI
Quản lý vận hành và truyền
thông (TCVN ISO/IEC
27001:2009, A.10)
Kiểm soát truy nhập
( TCVNISO/IEC 27001:2005,
A.11)
Tấm quan
trọng trong
việc tuân thủ
Việc không
làm theo
pháp luật có
Việc không
tuân theo
pháp luật dẫn
Việc không
tuân theo pháp
luật dẫn tới
Luật và các hướng dẫn (TCVN
ISO/IEC 27001:2009, A.15)
26
TCVN XXXX:XXXX
pháp luật thể dẫn đến
bị truy tố
tới hình phạt
tài chính hoặc
gây thiệt hại
hình phạt tài
chính hoặc gây
thiệt hại
Khả năng ứng
dụng của rủi ro
lĩnh vực cụ thể
(tham khảo A.2
cho ví dụ về
danh mục lĩnh
vực cụ thể của
các rủi ro an
toàn thông tin)
Lĩnh vực cụ
thể của
pháp luật và
quy định áp
dụng
Không áp
dụng luật và
quy định cho
lĩnh vực cụ
thể nhưng áp
dụng rủi ro
cho lĩnh vực
cụ thể quan
trọng
Không áp dụng
luật và quy
định cho lĩnh
vực cụ thể và
không áp dụng
rủi ro cho lĩnh
vực cụ thể
quan trọng
Quy mô thực thi hệ thống ISMS
Luật và các hướng dẫn (TCVN
ISO/IEC 27001:2009, A.15)
Những con số trong bảng chỉ mang tính minh họa, các tổ chức chứng nhận phải xác định các giá trị
của mình.
A.2 Danh mục các lĩnh vực cụ thể về rủi ro an toàn thông tin
Các rủi ro đối với thông tin có thể cụ thể cho từng thông tin đã được xem xét hoặc trong từng lĩnh vực
mà trong đó tổ chức hoạt động. Các ví dụ sau đây minh họa các loại rủi ro khác nhau
Danh mục cụ thể áp dụng cho tất cả các tổ chức:
tiền lương, lương hưu, bảo hiểm y tế, hồ sơ tổ chức, thông tin liên ngành và nội bộ…
bất kì thông tin cá nhân khác;
bất kì thông tin thương mại nhạy cảm/ thông tin quan trọng khác, ví dụ như thông tin về nghiên
cứu phát triển, thông tin thiết kế, chi tiết các Khách hàng được chứng nhận, các dự báo và kết
quả tài chính, kế hoạch nghiệp vụ, quyền sở hữu trí tuệ quy trình sản xuất…
Các thông tin quan trọng/ nhạy cảm của chính phủ:
thông tin chung;
các ứng dụng của chính phủ điện tử;
tổ chức thông tin về công dân (ví dụ. sức khỏe, lợi ích, thuế, hồ sơ…);
thông tin được xử lý bởi các nhà cung cấp và các nhà sản xuất của chính phủ như các thiết kế
ICT, cơ sở vật chất, các sản phẩm, dịch vụ…
Các danh mục cụ thể áp dụng cho các phân loại của tổ chức
quản trị nghiệp vụ- nghiệp vụ được niêm yết (có thể có các tổ chức lớn khác).
Các danh mục cụ thể áp dụng cho các lĩnh vực nghiệp vụ:
chăm sóc sức khỏe;
27
TCVN XXXX:XXXX
giáo dục;
hàng không vũ trụ;
viễn thông;
dịch vụ tài chính;
tổ chức từ thiện và các tổ chức phi lợi nhuận.
28
TCVN XXXX:XXXX
PHỤ LỤC B (tham khảo)
Ví dụ lĩnh vực về năng lực đánh giá viên
B.1 Xem xét năng lực chung
Có một vài cách để đánh giá viên có thể chứng minh kiến thức và kinh nghiệm của họ. Kiến thức và
kinh nghiệm có thể được đánh giá, Ví dụ, bằng cách sử dụng bằng cấp đã được công nhận. Hồ sơ
đăng kí theo chương trình chứng nhận hành nghề cũng có thể được sử dụng để đánh giá kiến thức và
kinh nghiệm cần thiết. Các yêu cầu về mức năng lực cho nhóm đánh giá phải được thiết lập, tương
ứng với ngành/lĩnh vực công nghệ và các yếu tố phức tạp của tổ chức.
B.2 Xem xét năng lực cụ thể
B.2.1 Kiến thức về TCVN ISO/IEC 27001: 2009, kiểm soát phụ lục A
Những kiến thức điển hình được mô tả dưới đây liên quan đến đánh giá ISMS. Ngoài các lĩnh vực
kiểm soát từ tiêu chuẩn TCVN ISO/IEC 27001: 2009, phụ lục A, được liệt kê trong bảng dưới đây, các
đánh giá viên cũng nên chú ý đến các tiêu chuẩn trong họ tiêu chuẩn 27000.
Kiến thức và kinh nghiệm về các chính sách và việc kinh doanh,
các yêu cầu về an toàn thông tin
Chính sách an toàn
Kiến thức chung và kinh nghiệm vế quy trình nghiệp vụ, thực hành
và cấu trúc tổ chức
Tổ chức an toàn thông tin
Kiến thức về định giá tài sản, hàng tồn kho, phân loại, và các chính
sách sử dụng chấp nhận được
Quản lý tài sản
Kiến thức chung và kinh nghiệm về các thủ tục và tiến trình sử
dụng nguồn nhân lực
An toàn nguồn nhân lực
Kiến thức về an toàn vật lý và môi trường An toàn vật lý và môi trường
Kiến thức cập nhật và kinh nghiệm về các tiêu chuẩn, quy trình, các
kỹ thuật và các phương thức sử dụng cho an toàn thông tin, bao
gồm các biện pháp quản lý cũng như mức độ thích hợp về chuyên
môn kỹ thuật. Điều này bao gồm kiến thức hiện tại của một số hoạt
động kinh doanh thông thường.
Truyền thông và các hoạt động
quản lý
Kiểm soát truy nhập
Hệ thống thông tin tiếp nhận,
phát triển và bảo trì
Cập nhật kiến thức và kinh nghiệm về các quy trình, và các thủ tục
cho quản lý sự cố
Quản lý sự cố an toàn thông tin
Cập nhật kiến thức và kinh nghiệm về các tiêu chuẩn, quy trình, kế
hoạch và các thủ tục kiểm tra cho tính liên tục nghiệp vụ
Quản lý tính liên tục nghiệp vụ
29
TCVN XXXX:XXXX
Cập nhật kiến thức về các vấn đề hợp đồng kinh doanh, các luật
thông thường và các quy định liên quan tới hệ thống ISMS
Tuân thủ
B.2.2 Kiến thức điển hình liên quan đến ISMS
Đánh giá viên phải có kiến thức và sự hiểu biết về các vấn đề đánh giá và ISMS sau:
kế hoạch và chương trình đánh giá,
loại đánh giá và các phương pháp,
rủi ro đánh giá,
phân tích các quy trính an toàn thông tin,
chu trình Deming (PDCA) để cải thiện tính liên tục,
đánh giá nội bộ đối với an toàn thông tin.
Các đánh giá viên cần có kiến thức và sự hiều biết về các yêu cầu quy định sau đây:
sở hữu trí tuệ,
nội dung, bảo vệ và duy trì các hồ sơ tổ chức,
bảo vệ dữ liệu và sự riêng tư,
quy định về các kiểm soát mã hóa,
chống khủng bố,
thương mại điện tử,
chữ kí số và điện tử,
giám sát môi trường làm việc;
ngăn chặn và giám sát các dữ liệu viễn thông (ví dụ như thư điện tử),
lạm dụng máy tính,
thu thập chứng cứ điện tử,
kiểm tra sự thâm nhập,
các yêu cầu cụ thể của từng nước và quốc tế (ví dụ. ngân hàng)
Đánh giá viên cần phải có kiến thức và hiểu biết về các yêu cầu quản lý sau đây:
xử lý các rủi ro an toàn thông tin,
rủi ro an toàn ICT nguồn nhân lực bên ngoài,
rủi ro an toàn thông tin chuỗi cung ứng.
30
TCVN XXXX:XXXX
PHỤ LỤC C(tham khảo)
Thời gian đánh giá
C.1 Giới thiệu
Phụ lục này chứa thêm các thông tin liên quan đến các điều 9.1, 9.2, 9.3 và 9.4 của TCVN ISO/IEC
17021:2011. Phụ lục này cũng cần được đọc đồng thời với các điều IS.9.1.2, IS 9.1.3, 9.1.5 IS, IS
9.1.6, IS 9.2.3.1, 9.2.3.2 IS và IS 9.2.3.3 của tiêu chuẩn này. Phụ lục này cung cấp hướng dẫn cho tổ
chức chứng nhận về việc phát triển các thủ tục riêng của mình để xác định số lượng thời gian cần thiết
cho việc cấp giấy chứng nhận cho ISMS phạm vi kích thước khác nhau và tính phức tạp qua một loạt
các hoạt động của Khách hàng được chứng nhận.
Tổ chức chứng nhận cần xác định khoảng thời gian đánh giá được dành cho chứng nhận ban đầu,
giám sát và chứng nhận lại cho mỗi Khách hàng được chứng nhận và chứng nhận ISMS. Sử dụng phụ
lục này ở giai đoạn lập kế hoạch đánh giá có thể dẫn đến một cách tiếp cận phù hợp để xác định thời
gian đánh giá thích hợp. Đồng thời hướng dẫn tại phụ lục này cho phép sự linh hoạt theo quan điểm
của những gì tìm thấy trong quá trình đánh giá, đặc biệt là trong quá trình đánh giá giai đoạn 1 và sự
phức tạp của phạm vi ISMS được xem xét.
C.2 Thủ tục để xác định thời gian đánh giá
Kinh nghiệm cho thấy phạm vi của ISMS, và số lượng các nhân viên (như trong biểu đồ thời gian đánh
giá viên trong C3 bên dưới), kích thước, đặc điểm, sự phức tạp và tầm quan trong của các khả năng
rủi ro an toàn thông tin (như giải thích chi tiết dưới đây) sẽ điều chỉnh số lượng thời gian cho bất kì
đánh giá ISMS. Điều IS 9.1.3 cũng như các điều IS 9.2.3.1, IS 9.2.3.2 và IS 9.2.3.3 liệt kê các tiêu chí
cần được xem xét khi thiết lập lượng thời gian cần thiết của đánh giá viên. Những điều này và các yếu
tố khác cần phải được kiểm tra trong suốt quá trình xem xét hợp đồng của tổ chức chứng nhận đối với
các tác động tiềm ẩn của họ trên số lượng thời gian đánh giá viên được phân bổ.
Điều quan trọng cần lưu ý là tất cả những yếu tố này cần được xem xét khi xác định thời gian đánh giá,
và biểu đồ thời gian đánh giá viên trong điều C.3 dưới đây không thể được sử dụng độc lập. Các ví dụ
sau đây minh họa các yếu tố có thể ảnh hưởng đến thời gian đánh giá và chi tiết về danh sách các yếu
tố được đưa ra trong điều IS 9.1.3:
các yếu tố liên quan đến kích cỡ của phạm vi ISMS (ví dụ. số lượng hệ thống thông tin được sử
dụng, khối lượng thông tin xử lý, số lượng người dùng, số lượng người dùng được ưu tiên, số
nền tảng công nghệ thông tin, số lượng mạng và kích thước của chúng);
các yếu tố liên quan đến độ phức tạp của ISMS (ví dụ. các hệ thống thông tin quan trọng, tình
hình rủi ro của hệ thống ISMS, khối lượng và loaị thông tin nhạy cảm và quy trình xử lý thông
tin quan trọng, số lượng và các loại giao dịch điện tử, số lượng và kích thước của bất kì dự án
phát triển, quy mô của nơi làm việc từ xa, mức độ của các tải cho ISMS)
31
TCVN XXXX:XXXX
các kiểu nghiệp vụ thực hiện trong phạm vi ISMS và các yêu cầu về an toàn, luật pháp, quy
định, hợp đồng và nghiệp vụ có liên quan đến các loại hình nghiệp vụ;
quy mô và sự đa dạng của công nghệ sử dụng trong việc thực thi các thành phần khác nhau
của ISMS (chẳng hạn như kiểm soát thực thi, tài liệu/ kiểm soát quy trình, hành động khắc
phục/phòng ngừa, các hệ thống công nghệ thông tin, mạng, ví dụ cố định, di động, không dây,
nội bộ , bên ngoài);
số lượng các vị trí trong ISMS, sự giống nhau và khác nhau giữa các vị trí là như thế nào, và
liệu tất cả các vị trí hoặc 1 mẫu sẽ được đánh giá;
thực thi các chứng minh trước đây của ISMS;
quy mô nguồn nhân lực bên ngoài và các thỏa thuận của bên thứ 3 được sử dụng trong phạm
vi của hệ thống ISMS và sự phụ thuộc vào các dịch vụ này;
các tiêu chuẩn, luật pháp và các quy định áp dụng cho việc cấp chứng nhận và các yêu cầu của
lĩnh vực cụ thể có thể áp dụng.
Việc chứng nhận ISMS thường tiêu tốn thời gian hơn việc cấp giấy chứng nhận hệ thống quản lý chất
lượng hoặc một hệ thống quản lý môi trường, do sự gia tăng các yêu cầu về hệ thống quản lý an toàn
thông tin thông qua các nhu cầu cụ thể của một ISMS chẳng hạn như chính sách ISMS, quản lý rủi ro,
điều khiển và kiểm soát mục tiêu ISMS. Tổ chức chứng nhận được yêu cầu đến:
a) đánh giá tính đúng đắn và nhất quán của phương pháp mà theo đó các Khách hàng được chứng
nhận xác định tầm quan trọng của các rủi ro an toàn thông tin và các tác động của nó;
b) xác nhận rằng hệ thống được thiết kế để đạt được sự tuân thủ (với tất cả luật pháp có liên quan và
các yêu cầu khác áp dụng cho ISMS) và hệ thống này được thực thi và duy trì;
c) xác nhận mục tiêu kiểm soát và điều khiển đã được chọn một cách chính xác và được thực thi, đó
là hiệu quả của họ được đo và quy trình để đạt được “phòng ngừa và đáp ứng thích hợp để thất
bại an toàn” là có cơ sở và tuân thủ;
d) xác nhận các yêu cầu tài liệu của ISMS của Khách hàng được chứng nhận được đáp ứng;
e) phản ứng với các yêu cầu gia tăng phát sinh từ việc đánh giá giai đoạn 1.
C.3 Biểu đồ thời gian đánh giá viên
C.3.1 Khái quát
Biểu đồ thời gian đánh giá viên cung cấp dưới đây đưa ra số ngày trung bình của đánh giá ban đầu
(con số này bao gồm các ngày đối với đánh giá giai đoạn 1 và giai đoạn 2), kinh nghiệm cho thấy là
phù hợp cho phạm vi ISMS với số lượng đã cho của nhân viên. Kinh nghiệm cũng đã chứng minh cho
phạm vi ISMS có quy mô tương tự, một số sẽ cần thêm thời gian.
32
TCVN XXXX:XXXX
Sự thay đổi về thời gian dành cho mỗi chứng nhận phụ thuộc vào một số yếu tố bao gồm kích thước,
phạm vi đánh giá, tính logic, sự phức tạp của tổ chức và đó là trạng thái chuẩn bị cho đánh giá (xem
C.2 ở trên). Những yếu tố này và các yếu tố khác cần phải được kiểm tra trong quá trình xem xét hợp
đồng của tổ chức chứng nhận đối với tác động tiềm ẩn của họ trên số lượng thời gian đánh giá viên
được phân bổ. Do đó biểu đồ thời gian đánh giá không thể sử dụng độc lập.
Biểu đồ thời gian đánh giá viên dưới đây cung cấp khuôn khổ có thể được sử dụng để lập kế hoạch
đánh giá bằng cách xác định một điểm khởi đầu dựa trên tổng số nhân viên cho tất cả các thay đổi và
điều chỉnh này dựa trên các yếu tố quan trọng để áp dụng tới phạm vi ISMS được đánh giá và thuộc
tính cho từng yếu tố bổ sung hoặc giảm bớt trọng số để thay đổi biểu đồ. Các thuật ngữ được sử dụng
trong biểu đồ này được giải thích trong điều C.3.2 dưới đây:
Bảng C.3 - Biểu đồ thời gian đánh giá viên
Số lượng nhân viên
Thời gian đánh giá viên
QMS cho đánh giá ban
đầu (ngày đánh giá)
Thời gian đánh giá viên EMS cho đánh
giá ban đầu (ngày đánh
giá)
Thời gian đánh giá hệ thống ISMS
cho đánh giá ban đầu (ngày
đánh giá)
Các yếu tố bổ sung hoặc giảm
bớt
Tổng thời gian đánh giá
1~ 10 2 3 5 Xem phụ lục C.2
11~25 3 7 Xem phụ lục C.2
26~45 4 6 8.5 Xem phụ lục C.2
46~65 5 10 Xem phụ lục C.2
66~85 6 11 Xem phụ lục C.2
86~125 7 8 12 Xem phụ lục C.2
126~175 8 13 Xem phụ lục C.2
176~275 9 14 Xem phụ lục C.2
276~425 10 15 Xem phụ lục C.2
426~625 11 12 16.5 Xem phụ lục C.2
626~875 12 17.5 Xem phụ lục C.2
876~1,175 13 18.5 Xem phụ lục C.2
1,176~1,550 14 19.5 Xem phụ lục C.2
1,551~2,125 15 18 21 Xem phụ lục C.2
33
TCVN XXXX:XXXX
2,026~2,675 16 22 Xem phụ lục C.2
2,676~3,450 17 23 Xem phụ lục C.2
3,451~4,350 18 24 Xem phụ lục C.2
4,351~5,450 19 25 Xem phụ lục C.2
5,451~6800 20 26 Xem phụ lục C.2
6,801~8500 21 27 Xem phụ lục C.2
8,501~10,700 22 28 Xem phụ lục C.2
>10,700Theo sự phát
triển trên
Theo sự phát
triển trênXem phụ lục C.2
C.3.2 Giải thích từ ngữ
"Nhân viên" như tham chiếu trong biểu đồ thời gian đánh giá viên là tất cả các cá nhân có hoạt động
làm việc liên quan đến phạm vi của ISMS. Tổng số lượng các nhân viên cho tất cả các thay đổi là điểm
khởi đầu để xác định thời gian đánh giá.
Số lượng hiêu quả của nhân viên bao gồm nhân viên không cố định (theo thời vụ, tạm thời và hợp
đồng phụ) sẽ có mặt tại thời điểm đánh giá. Một tổ chức chứng nhận cần thống nhất với Khách hàng
được chứng nhận được đánh giá thời gian của đánh giá mà sẽ chứng minh tốt nhất trong phạm vi đầy
đủ của tổ chức. Việc xem xét có thể bao gồm các đợt, tháng, ngày/thời gian và các thay đổi cho phù
hợp.
Nhân viên bán thời gian được coi là tương đương với nhân viên toàn thời gian. Việc xác định này sẽ
phụ thuộc vào số giờ làm việc so với nhân viên toàn thời gian.
“Thời gian đánh giá viên” bao gồm thời gian được dùng bởi một nhóm đánh giá hoặc một đánh giá viên
trong đánh giá giai đoạn 1, giai đoạn 2 và việc lập kế hoạch (kể cả các vị trí đánh giá tài liệu, nếu thích
hợp); giao tiếp với tổ chức, nhân sự, hồ sơ, tài liệu và quy trình; và viết báo cáo. Người ta cho rằng
“thời gian đánh giá viên” tham gia vào việc lập kế hoạch và báo cáo tổng hợp không nên giảm các đặc
trưng trên tổng “thời gian đánh giá viên” ít hơn 70% thời gian thể hiện trong biểu đồ thời gian đánh giá
viên. Trường hợp cần thêm thời gian theo yêu cầu cho việc lập kế hoạch hoặc viết báo cáo, điều này
sẽ không có lý do gì để giảm bớt cho thời gian đánh giá viên. Thời gian đánh giá viên đi lại không được
bao gồm trong tính toán này và bổ sung cho thời gian đánh giá viên được tham chiếu trong biểu đồ
thời gian đánh giá viên.
CHÚ THÍCH 1 70% là một yếu tố dựa trên kinh nghiệm của các đánh giá viên ISMS.
Nếu các kỹ thuật đánh giá từ xa như tương tác dựa trên web, các hội nghị web, hội nghị từ xa, hoặc
xác minh điện tử của các quá trình của tổ chức được sử dụng để giao tiếp với nhau, các hoạt động này
34
TCVN XXXX:XXXX
phải được xác định trong kế hoạch đánh giá (xem 9.1.5), và có thể được coi là một phần đóng góp vào
tổng “thời gian đánh giá viên tại chỗ”.
Nếu tổ chức chứng nhận có các kế hoạch cho một kế hoạch đánh giá các hoạt động đánh giá từ xa
chiếm hơn 30% kế hoạch đánh giá tại chỗ, tổ chức chứng nhận phải biện minh cho kế hoạch đánh giá
và được sự chấp thuận từ các tổ chức kiểm định trước khi thực thi.
CHÚ THÍCH 2 Thời gian đánh giá tại chỗ có liên quan tới việc phân bổ thời gian đánh giá tại chỗ cho các vị trí riêng biệt.
Đánh giá của các vị trí từ xa được coi là đánh giá từ xa, ngay cả khi đánh giá điện trên thực tế được thực hiện ngay trên cơ
sở của Khách hàng được chứng nhận.
“Thời gian đánh giá viên” như tham chiếu trong biểu đồ được trình bày trong điều kiện của “ngày đánh
giá viên” được dùng cho việc đánh giá. Một “ngày đánh giá viên” thường là một ngày làm việc đầy đủ
bình thường.
Đối với chu kì đánh giá chứng nhận ban đầu, thời gian giám sát cho một tổ chức phải tỷ lệ thuận với
thời gian sử dụng tại đánh giá ban đầu trên tổng số thời gian sử dụng hàng năm về giám sát là khoảng
1/3 thời gian sử dụng cho việc đánh giá ban đầu. Thời gian giám sát kế hoạch nên được xem xét để
giải thích cho những thay đổi trong tổ chức, hệ thống trưởng thành,…và ít nhất là tại thời điểm đánh
giá chứng nhận lại.
Tổng số thời gian dành cho việc thực hiện đánh giá chứng nhận lại sẽ phụ thuộc vào kết quả của việc
tổng quan định nghĩa ở IS 9.1.6 của tiêu chuẩn này và điều 9.4 của tiêu chuẩn TCVN ISO/IEC
17021:2011. Lượng thời gian dành cho đánh giá chứng nhận lại nên được tỷ lệ thuận với thời gian mà
được sử dụng vào đánh giá chứng nhận ban đầu của cùng một tổ chức và cần khoảng 2/3 thời gian sẽ
được yêu cầu để đánh giá chứng nhận ban đầu của cùng một tổ chức tại thời điểm mà nó được đánh
giá chứng nhận lại. Thời gian đánh giá chứng nhận lại được sử dụng như trên và vượt ra ngoài thời
gian giám sát thông thường, nhưng khi đánh giá chứng nhận lại được thực hiện cùng lúc như một lần
giám sát theo kế hoạch thông thường, đánh giá chứng nhận lại sẽ đủ để đáp ứng các yêu cầu đối với
việc giám sát. Bất chấp những kết luận được thực hiện, thì hướng dẫn trong điều IS9.1.2 đều được áp
dụng.
Một điểm khởi đầu chung để xác định thời gian đánh giá viên yêu cầu đã được thực hiện đối với phạm
vi ISMS thông thường với số lượng nhận viên được chỉ định, một số điều chỉnh cần được xem xét để
giải thích cho sự khác biệt có thể ảnh hưởng đến thời gian đánh giá thực tế yêu cầu để thực hiện một
cuộc đánh giá hiệu quả cho hệ thống ISMS cụ thể đã được đánh giá ngoài việc được liệt kê trong điều
C.2.
Ví dụ yếu tố cần thêm thời gian đánh giá viên có thể:
tính logic phức tạp liên quan tới nhiều hơn một vị trí hoặc xây dựng trong phạm vi ISMS;
nhân viên biết nói nhiều hơn một ngôn ngữ (yêu cầu người phiên dịch hoặc ngăn ngừa các
nhân đánh giá viên làm việc độc lập);
mức độ cao của quy định;
35
TCVN XXXX:XXXX
ISMS bao gồm các quy trình phức tạp cao, số lượng tương đối cao hoặc các hoạt động khác
thường;
các quy trình liên quan đến sự kết hợp của phần cứng, phần mềm, quy trình và dịch vụ;
các hoạt động yêu cầu đến các vị trí tạm thời để xác nhận các hoạt động của các vị trí cố định
mà có hệ thống quản lý phải được chứng nhận (xem chú thích 3 dưới đây).
Ví dụ các yếu tố cho phép ít thời gian đánh giá viên có thể:
không có/ sản phẩm rủi ro thấp/ quy trình;
kiến thức sẵn có của Khách hàng được chứng nhận (ví dụ nếu Khách hàng được chứng nhận
đã được chứng nhận tiêu chuẩn khác bởi cùng tổ chức chứng nhận)
Khách hàng được chứng nhận đã sẵn sàng cho việc chứng nhận (ví dụ, đã được xác nhận
hoặc công nhận bởi kế hoạch của bên thứ 3);
các quy trình liên quan đến một hoạt động chung duy nhất (ví dụ. chỉ có 1 dịch vụ duy nhất);
tính kỹ càng của hệ thống quản lý tại chỗ;
tỷ lệ phần trăm cao của các nhân viên thực hiện các nhiệm vụ đơn giản.
CHÚ THÍCH 3 trong trường hợp Khách hàng được chứng nhận chứng nhận hoặc tổ chức chứng nhận cung cấp các sản
phẩm hoặc dịch vụ của họ tại các địa điểm tạm thời thì điều quan trọng là đánh giá các vị trí được tích hợp vào các chương
trình đánh giá chứng nhận và giám sát.
Một vị trí tạm thời là một vị trí khác so với các vị trí/hoặc địa điểm được xác định trong tài liệu chứng
nhận đang hoạt động, trong phạm vi cấp chứng nhận được thực hiện trong một thời gian xác định.
Những vị trí này có thể nằm trong khoảng từ vị trí quản lý dự án lớn đến các vị trí cài đặt/dịch vụ nhỏ
hơn. Sự cần thiết phải thăm các vị trí và mức độ lấy mẫu phải được dựa trên một đánh giá về những
rủi ro của sự thất bại của một sản phẩm hoặc dịch vụ để đáp ứng nhu cầu/ sự mong đợi do hệ thống
không phù hợp. Mẫu của các vị trí được lựa chọn phải đại diện cho nhiều nhu cầu năng lực của tổ
chức và các biến thể của dịch vụ đã được xem xét đến quy mô, loại hình hoạt động, và các giai đoạn
khác nhau của tiến độ các dự án.
Tất cả các thuộc tính của phạm vi ISMS, quy trình, và các sản phẩm/dịch vụ phải được xem xét và điều
chỉnh hợp lý làm cho những yếu tố có thể biện minh có việc cần nhiều hay ít thời gian đánh giá cho một
cuộc đánh giá có hiệu quả. Các yếu tố bổ sung có thể nằm ngoài vị trí bởi các yếu tố bớt đi. Trong tất
cả các trường hợp được điều chỉnh để thời gian cung cấp trong bảng thời gian đánh giá viên, bằng
chứng đầy đủ và các hồ sơ phải được duy trì để chứng minh cho sự thay đổi.
Đồ thị sau đây minh họa khả năng tương tác của các yếu bổ sung và các yếu tố bớt đi trên thời gian
đánh giá được tìm thấy trong biểu đồ trên
-Tổ chức/hệ thống phức tạp +
36
TCVN XXXX:XXXX
+Thuộc tính của tổ chức -
Điểm bắt đầu từ lưu đồ thời gian kiểm toán viên
Rộng - Phức tạp Rộng - Đơn giản
Nhỏ - Đơn giản Nhỏ - Phức tạp
Nhiều vị trí
Ít quy trình
Quy trình lặp lại
Phạm vi hẹp
Ít quy trình
Phạm vi hẹp
Quy trình lặp lại
Nhiều vị trí
Nhiều quy trình
Phạm vi rộng
Tiến trình duy nhất
Tiến trình/ sản phẩm rủi ro cao
Nhiều quy trình
Tiến trình/ sản phẩm rủi ro cao
Phạm vi rộng
Tiến trình duy nhất
37
TCVN XXXX:XXXX
PHỤ LỤC D (tham khảo)
Hướng dẫn, soát xét việc thực hiện TCVN ISO/IEC 27001: 2009, Kiểm soát phụ lục AD.1 Mục đích
Phụ lục này cung cấp hướng dẫn, soát xét việc thực hiện của các kiểm soát trong tiêu chuẩn TCVN
ISO/IEC 27001:2009, phụ lục A, và việc thu thập chứng cứ đánh giá như hiệu năng của khách hàng
được chứng nhận trong suốt quá trình đánh giá ban đầu và kiểm tra, giám sát tiếp theo. Việc thực hiện
tất cả các kiểm soát lựa chọn bởi Khách hàng được chứng nhận cho ISMS (theo thông báo áp dụng)
cần được soát xét trong giai đoạn 2 của đánh giá ban đầu và trong quá trình giám sát và các hoạt động
chứng nhận lại.
Các bằng chứng mà tổ chức chứng nhận cần phải thu thập đủ để đưa ra kết luận về việc các biện
pháp kiểm soát này liệu có hiệu quả. Làm thế nào kiểm soát được dự tính sẽ được xác định trong các
chính sách và thủ tục của Khách hàng được chứng nhận đã được tuyên bố hoặc tham khảo từ Thông
báo áp dụng. Rõ ràng là các kiểm soát bên ngoài phạm vi của hệ thống ISMS sẽ không được đánh giá.
D.1.1 Chứng cứ đánh giá
Chứng cứ đánh giá chất lượng tốt nhất được thu thập từ sự quan sát của đánh giá viên (ví dụ. một cánh
cửa đã được đóng khóa có bị khóa hay không, mọi người kí một hợp đồng bảo mật, đăng kí tài sản hiện có
và bao gồm các tài sản trực quan, thiết lập hệ thống phù hợp, …). Chứng cứ có thể được thu thập từ các
kết quả của việc thực thi một biện pháp kiểm soát (ví dụ. bản in quyền truy cập cho những người đã kí bởi
nhân viên được quyền chính thức, các hồ sơ giải quyết sự cố, các thẩm quyền xử lý được chữ bởi viên
chức đươc ủy quyền chính thức, biên bản các cuộc họp…). Chứng cứ cũng có thế là kết quả của việc kiểm
tra trực tiếp (hoặc thực thi lại) các biện pháp kiểm soát bởi đánh giá viên (ví dụ. cố gắng thực hiện các
nhiệm vụ được cho là bị cấm bởi các biện pháp kiểm soát, xác định xem phần mềm bảo vệ chống lại các
mã độc được cài đặt và cập nhật trên các máy, quyền truy cập được cấp (sau khi kiểm tra các chứng thực)
…). Bằng chứng có thể thu được bằng cách phỏng vấn nhân viên/ các nhà thầu về quy trình và các biện
pháp kiểm soát và xác định điều này là đúng với thực tế.
D.2 Cách sử dụng bảng D.1
D.2.1 Cột "Tổ chức kiểm soát " và "kỹ thuật kiểm soát"
Dấu “X” trong cột tương ứng cho biết có sự kiểm soát là một hoặc một kỹ thuật kiểm soát. Một số biện
pháp kiểm soát được dùng trong cả tổ chức và kỹ thuật thì dấu “X” nằm trong cả hai cột.
Chứng cứ về việc thực thi tổ chức kiểm soát có thể thu thập thông qua việc soát xét các hồ sơ thực thi
kiểm soát, các cuộc phỏng vấn, quan sát hoặc kiểm tra thực tế. Chứng cứ về việc thực thi kỹ thuật
kiểm soát có thể thu thập thông qua hệ thống kiểm tra (xem bên dưới) hoặc thông qua sử dụng các
dụng cụ báo cáo/ kiếm toán chuyên dụng.
38
TCVN XXXX:XXXX
D.2.2 Cột "kiểm tra hệ thống"
“Kiểm tra hệ thống” có nghĩa là trực tiếp xem xét hệ thống (ví dụ, xem xét lại các cài đặt và cấu hình hệ
thống). Các câu hỏi của đánh giá viên có thể được trả lời tại hệ thống giao tiếp hoặc bằng cách đánh
giá kết quả của các công cụ kiểm tra. Nếu Khách hàng được chứng nhận có một công cụ được sử
dụng dựa vào máy tính mà các đánh giá viên biết đến, điều này có thể được sử dụng để hỗ trợ việc
đánh giá hoặc kết quả của việc đánh giá thực hiện bởi Khách hàng được chứng nhận (hoặc các nhà
thầu lại của tổ chức chứng nhận) có thể được xem xét.
Có hai loại đối với việc soát xét kỹ thuật kiểm soát:
“có thể”: kiểm tra hệ thống là có thể thực hiện được cho việc đánh giá thực thi kiểm soát, nhưng
thường là không cần thiết.
“đề nghị”: kiểm tra hệ thống thường là cần thiết.
D.2.3 Cột “Kiểm tra trực quan”
“Kiếm tra trực quan” có nghĩa là các kiểm soát thường yêu cầu kiểm tra bằng mắt tại các vị trí để đánh
giá hiệu quản của họ. Điều này có nghĩa là nó không phải là đủ để soát xét các tài liệu tương ứng trên
giấy hoặc thông qua các cuộc phỏng vấn- các đánh giá viên cần phải xác minh các vị trí được kiểm
soát mà nó thực thi.
D.2.4 Cột “hướng dẫn soát xét đánh giá”
Trong trường hợp nào nó có thể hữu ích để hướng dẫn cho việc đánh giá của một kiểm soát đặc biệt.
Các “chú thích” cột cung cấp cho các lĩnh vực trọng tâm nhất có thể thực hiện cho việc đánh giá kiểm
soát như hướng dẫn thêm cho các đánh giá viên.
Bảng D.1 - Phân loại các biện pháp kiểm soát
Kiếm soát trong TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát tổ chức
Kiểm soát kỹ thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh
giá
A.5 Chính sách an toàn
A.5.1 Chính sách an toàn thông tin
A.5.1.1 Tài liệu chính sách an toàn
thông tin
X Biên bản soát
xét quản lý
A.5.1.2 Soát xét lại chính sách an
toàn thông tin
X
Bảng D.1 (tiếp theo)
39
TCVN XXXX:XXXX
Kiếm soát trong TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát tổ chức
Kiểm soát kỹ thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.6 Tổ chức đảm bảo an toàn
thông tin
A.6.1 Tổ chức nội bộ
A.6.1.1 Cam kết của ban quản lý về
bảo đảm an toàn thông tin
X Biên bản họp
quản lý
A.6.1.2 Phối hợp bảo đảm an toàn
thông tin
X Biên bản họp
quản lý
A.6.1.3 Phân định trách nhiệm bảo
đảm an toàn thông tin
X
A.1.6.4 Quy trình trao quyền cho
phương tiện xử lý thông tin
X
A.1.6.5 Các thỏa thuận về bảo mật X Lấy mẫu một số
bản sao từ các
tập tin
A.1.6.6 Liên lạc với những cơ quan/tổ
chức có thẩm quyền
X
A.1.6.7 Liên lạc với các nhóm chuyên
gia
X
A.1.6.8 Tự soát xét về an toàn thông tin X Đọc các báo cáo
A.6.2 Các bên tham gia bên ngoài
A.6.2.1 Xác định các rủi ro liên quan
đến các bên tham gia bên ngoài
X
A.6.2.2 Giải quyết an toàn khi làm việc
với khách hàng
X
A.6.2.3 Giải quyết an toàn trong các
thỏa thuận với bên thứ ba
X Kiểm tra một số
điều kiện của hợp
đồng
40
TCVN XXXX:XXXX
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát tổ chức
Kiểm soát kỹ thuật
Kiểm tra hệ thống
Kiểm tra trực
quan
Hướng dẫn soát xét đánh
giá
A.7 Quản lý tài sản
A.7.1 Trách nhiệm đối với tài sản
A.7.1.1 Kiểm kê tài sản X Xác định tài sản
A.7.1.2 Quyền sở hữu tài sản X
7.1.3 Sử dụng hợp lý tài sản X
A.7.2 Phân loại thông tin
A.7.2.1 Hướng dẫn phân loại X
A.7.2.2 Gán nhãn và xử lý thông tin X Đặt tên: thư mục,
tập tin, in các báo
báo, phương tiện
ghi nhận (băng,
đĩa, CD), các
thông tin điện tử
và chuyển tập tin
A.8 Đảm bảo an toàn tài nguyên
con người
A.8.1 Trước khi tuyển dụng X
A.8.1.1 Các vai trò và trách nhiệm X
A.8.1.2 Thẩm tra X
A.8.1.3 Điều khoản và điều kiện tuyển
dụng
X
A.8.2 Trong thời gian làm việc
A.8.2.1 Trách nhiệm ban quản lý X
A.8.2.2 Nhận thức, giáo dục và đào
tạo về an toàn thông tin
X yêu cầu nhân
viên nhận thức
41
TCVN XXXX:XXXX
được những mục
cụ thể mà họ cần
được nhận thức
Bảng D.1 (tiếp theo)
Kiếm soát trong TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát tổ chức
Kiểm soát kỹ thuật
Kiểm tra hệ thống
Kiểm tra trực
quan
Hướng dẫn soát xét đánh
giá
A.8.2.3 Xử lý kỷ luật X
A.8.3 Chấm dứt hoặc thay đổi công
việc
A.8.3.1 Trách nhiệm kết thúc hợp đồng
A.8.3.2 Bàn giao tài sản
A.8.3.3 Hủy bỏ quyển truy cập X X Đề nghị
A.9 Đảm bảo an toàn vật lý và môi
trường
A.9.1 Các khu vực an toàn
A.9.1.1 Vành đai an toàn vật lý X
A.9.1.2 Kiểm soát cổng truy cập vật lý X X Có thể X Lưu trữ hồ sơ
truy cập
A.9.1.3 Bảo vệ các văn phòng, phòng
làm việc và vật dụng
X X
A.9.1.4 Bảo vệ chống lại các mối đe
dọa từ bên ngoài và môi trường
X X
A.9.1.5 Làm việc trong môi trường an
toàn
X X
A.9.1.6 Các khu vực truy cập tự do,
phân phối, chuyển hàng
A.9.2 Đảm bảo an toàn trang thiết bị
A.9.2.1 Bố trí và bảo vệ thiết bị X X Có thể X
A.9.2.2 Các tiện ích hỗ trợ X X Có thể X
42
TCVN XXXX:XXXX
A.9.2.3 An toàn cho dây cáp X X
A.9.2.4 Duy trì thiết bị X
A.9.2.5 An toàn cho thiết bị hoạt động
bên ngoài nhà
X X Có thể Mã hóa thiết bị
di động
Bảng D.1 (tiếp theo)
Kiếm soát trong TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát tổ chức
Kiểm soát kỹ thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.9.2.6 An toàn khi loại bỏ và tái sử
dụng thiết bị
X X Có thể X
A.9.2.7 Di dời tài sản X
A.10 Quản lý truyền thông và điều
hành
A.10.1 Các thủ tục và trách nhiệm
điều hành
A.10.1.1Các thủ tục vận hành được
ghi thành văn bản
A.10.1.2 Quản lý thay đổi X X Đề nghị
A.10.1.3 Phân tách nhiệm vụ X
A.10.1.4Phân tách các chức năng phát
triển, kiểm tra và điều hànhX X Có thể
A.10.2Quản lý chuyển giao dịch vụ
bên thứ ba
A.10.2.1 Chuyển giao dịch vụ X
A.10.2.2Giám sát và soát xét các
dịch vụ bên thứ baX X Có thể
A.10.2.3Quản lý sự thay đổi đối với
các dịch vụ của bên thứ baX
A.10.3Lập kế hoạch và chấp nhận
hệ thống
43
TCVN XXXX:XXXX
A.10.3.1 Quản lý năng lực hệ thống X X Có thể
A.10.3.2 Chấp nhận hệ thống X
A.10.4Bảo vệ chống lại mã độc và
mã di động
Bảng D.1 (tiếp theo)
Kiếm soát trong TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát tổ chức
Kiểm soát kỹ thuật
Kiểm tra hệ
thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.10.4.1 Quản lý chống lại mã độc X X Đề nghị
Lấy mẫu của các
máy chủ, máy bà
và các cổng vào
A.10.4.2 Kiểm soát các mã di động X X Có thể
A.10.5 Sao lưu
A.10.5.1 Sao lưu thông tin X X Đề nghị Cố gẳng phục hồi
A.10.6 Quản lý an toàn mạng
A.10.6.1 Kiểm soát mạng X X Có thể
A.10.6.2 An toàn các dịch vụ mạng XSLA’s, tính năng
an toàn
A.10.7 Quản lý phương tiện
A.10.7.1Quản lý các phương tiện có
thể di dờiX X Có thể
A.10.7.2 Loại bỏ phương tiện X
A.10.7.3 Các thủ tục xử lý thông tin X
A.10.7.4An toàn cho các tài liệu hệ
thốngX X Có thể X
A.10.8 Trao đồi thông tin
44
TCVN XXXX:XXXX
A.10.8.1Các chính sách và thủ tục
trao đổi thông tinX
A.10.8.2 Các thỏa thuận trao đổi X
A.10.8.3Vận chuyển phương tiện vật
lýX X Có thể
Mã hóa hoặc bảo
vệ vật lý
45
TCVN XXXX:XXXX
Bảng D.1 (tiếp theo)
Kiếm soát trong TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát tổ chức
Kiểm soát kỹ
thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.10.8.4 Thông điệp điện tử X X Có thể
xác nhận thông
điệp mẫu phù
hợp với chính
sách / thủ tục
A.10.8.5Các hệ thống thông tin
nghiệp vụX
A.10.9Các dịch vụ thương mại điện
tử
A.10.9.1 Thương mại điện tử X X Có thể
A.10.9.2 Các giao dịch trực tuyến X X Đề nghị
Kiểm tra: tính
toàn vẹn và
quyền truy nhập
A.10.9.3 Thông tin công khai X X Có thể
A.10.10 Giám sát
A.10.10.1 Ghi nhật ký đánh giá X X Có thểTrực tuyền hoặc
in
A.10.10.2Giám sát việc sử dụng hệ
thốngX X Có thể
A.10.10.3 Bảo vệ thông tin nhật ký X X Có thể
A.10.10.4Nhật ký người điều hành và
người quản trịX X Có thể
A.10.10.5 Nhật ký lỗi X
A.10.10.6 Đồng bộ thời gian X Có thể
A.11 Quản lý truy cập
A.11.1 Yêu cầu nghiệp vụ cho quản
46
TCVN XXXX:XXXX
lý truy cập
47
TCVN XXXX:XXXX
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát
tổ chức
Kiểm soát kỹ
thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.11.1.1Chính sách kiểm soát truy
nhậpX
A.11.2Quản lý truy cập người sử
dụng
A.11.2.1 Đăng kí thành viên X
Nhân viên mẫu/ nhà thầu
để cho phép tất cả quyền
truy nhập vào tất cả các
hệ thống.
A.11.2.2 Quản lý đặc quyền X X Có thểChuyển giao nội bộ của
nhân viên
A.11.2.3Quản lý mật khẩu người
dùngX
A.11.2.4Soát xét các quyền truy
nhập của người dùngX
A.11.3Các trách nhiệm của người
dùng
A.11.3.1 Sử dụng mật khẩu XKiểm tra hướng dẫn/
chính sách tại chỗ cho
người sử dụng
A.11.3.2Các thiết bị sử dụng không
được quản lý
Kiểm tra hướng dẫn/
chính sách tại chỗ cho
người sử dụng
A.11.3.3Chính sách giữ sạch bàn và
màn hình làm việcX X
A.11.4 Quản lý truy cập mạng
A.11.4.1Chính sách sử dụng các
dịch vụ mạngX
48
TCVN XXXX:XXXX
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát
tổ chức
Kiểm soát kỹ
thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.11.4.2Xác thực người dùng cho
kết nối ra bên ngoàiX X Đề nghị
A.11.4.3 Định danh thiết bị trong mạng X
A.11.4.4Bảo vệ cổng cấu hình và
chuẩn đoán từ xaX Đề nghị
A.11.4.5 Phân tách trên mạng X X Có thể
Sơ đồ mạng: WAN,
LAN, VLAN, VPN, đối
tượng mạng, các phân
đoạn mạng (ví dụ. DMZ)
A.11.4.6 Quản lý kết nối mạng X X Đề nghịChia sẻ mạng không
mấy phổ biến
A.11.4.7 Quản lý định tuyến mạng X X Đề nghị
Tường lửa, thiết bị định
tuyền/thiết bị chuyển
mạch: Quy tắc cơ bản,
các ACL, các chính sách
kiểm soát truy nhập
A.11.5Quản lý truy cập hệ thống
điều hành
A.11.5.1 Các thủ tục đăng nhập an toàn X X Đề nghị
A.11.5.2Định danh và xác thực
người dùngX X Đề nghị
A.11.5.3 Hệ thống quản lý mật khẩu X X Đề nghị
A.11.5.4 Sử dụng tiện ích hệ thống X X Đề nghị
A.11.5.5Thời gian giới hạn của
phiên làm việcX X Có thể X
A.11.5.6 Giới hạn thời gian kết nối X X Có thể X
49
TCVN XXXX:XXXX
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát
tổ chức
Kiểm soát kỹ thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.11.6Điều khiển truy cập thông
tin và ứng dụng
A.11.6.1 Hạn chế truy cập thông tin X X Đề nghị
A.11.6.2 Cách ly hệ thống nhạy cảm X X Có thể
A.11.7Tính toán qua thiết bị di
động và làm việc từ xa
A.11.7.1Tính toán và truyền thông
qua thiết bị di độngX X Có thể
A.11.7.2 Làm việc từ xa X X Có thể
A.12Tiếp nhận, phát triển và duy
trì hệ thống thông tin
A.12.1Yêu cầu đảm bảo an toàn
cho các hệ thống thông tin
A.12.1.1Phân tích và đặc tả các yêu
cầu về an toànX
A.12.2Xử lý đúng trong các ứng
dụng
A.12.2.1Kiểm tra tính hợp lệ của dữ
liệu nhập vàoX X Đề nghị
hướng dẫn phát triển
phần mềm, kiểm tra
phần mềm; xác nhận
trong các ứng dụng
kinh doanh mẫu mà
các yêu cầu kiểm
soát bởi người dùng
tồn tại trong thực tế
50
TCVN XXXX:XXXX
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát
tổ chức
Kiểm soát kỹ
thuật
Kiểm tra hệ thống
Kiểm tra trực
quan
Hướng dẫn soát xét đánh giá
A.12.2.2 Kiểm soát việc xử lý nội bộ X X Có thể
hướng dẫn phát triển
phần mềm, kiểm tra
phần mềm; xác nhận
trong các ứng dụng
kinh doanh mẫu mà
các yêu cầu kiểm soát
bởi người dùng tồn tại
trong thực tế
A.12.2.3 Tính toàn vẹn thông điệp X X Có thể
A.12.2.4Kiểm tra tính hợp lệ của dữ
liệu đầu raX X Có thể
hướng dẫn phát triển
phần mềm, kiểm tra
phần mềm; xác nhận
trong các ứng dụng
kinh doanh mẫu mà
các yêu cầu kiểm soát
bởi người dùng tồn tại
trong thực tế
A.12.3 Quản lý mã hóa
A.12.3.1Chính sách sử dụng các
biện pháp quản lý mã hóaX X Có thể
kiểm tra việc thực hiện
các chính sách thích
hợp
A.12.3.2 Quản lý khóa X XĐề
nghị
A.12.4An toàn cho các tệp tin hệ
thống
A.12.4.1Quản lý các phần mềm điều
hànhX X Có thể
A.12.4.2Bảo vệ dữ liệu kiểm tra hệ
thốngX X Có thể X
51
TCVN XXXX:XXXX
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát
tổ chức
Kiểm soát kỹ
thuật
Kiểm tra hệ thống
Kiểm tra trực
quan
Hướng dẫn soát xét đánh giá
A.12.4.3Quản lý truy cập đến mã
nguồn chương trìnhX X
Đề
nghị
A.12.5Bảo đảm an toàn trong các
quy trình hỗ trợ và phát triển
A.12.5.1 Các thủ tục quản lý thay đổi X
A.12.5.2
Soát xét kỹ thuật các ứng
dụng saukhi thay đổi hệ
thống điều hành
X
A.15.5.3Hạn chế thay đổi các gói
phần mềmX
A.15.5.4 Sự rò rỉ thông tin X X Có thể Các dịch vụ không rõ
A.15.5.5Phát triển phần mềm thuê
khoánX
A.12.6 Quản lý điểm yếu về kỹ thuật
A.12.6.1Quản lý các điểm yếu về
mặt kỹ thuậtX X
Đề
nghịPhân phối bản vá
A.13Quản lý các sự cố an toàn
thông tin
A.13.1Báo cáo sự kiện an toàn thông
tin và và các nhược điểm
A.13.1.1Báo cáo các sự kiện an
toàn thông tinX
A.13.1.2Báo cáo các nhược điểm về
an toàn thông tinX
A.13.2Quản lý sự cố an toàn thông
tin và cải tiến
52
TCVN XXXX:XXXX
A.13.2.1 Các trách nhiệm và thủ tục X
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát
tổ chức
Kiểm soát kỹ
thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.13.2.2Rút kinh nghiệm từ các sự cố
an toàn thông tinX
A.13.2.3 Thu thập chứng cứ X
A.14Quản lý sự hoạt động liên tục
của nghiệp vụ
A.14.1
Các khía cạnh của an toàn
thông tin trong quản lý sự liên
tục của hoạt động nghiệp vụ
Biên bản soát xét
quản lý
A.14.1.1
Tính đến an toàn thông tin trong
các quy trinhg quản lý sự liên
tục của hoạt động nghiệp vụ
X
A.14.1.2Đánh giá rủi ro và sự liên tục
trong hoạt động của tổ chứcX
A.14.1.3
Xây dựng và triển khai các kế
hoạch về tính liên tục, trong đó
bao gồm các vấn đề bảo đảm
an toàn thông tin
X X Có thểKiểm tra vị trí DR,
khoảng cách DR
A.14.1.4Khung hoạch định sự liên tục
trong hoạt động nghiệp vụX
A.14.1.5
Kiểm tra, duy trì và đánh giá lại
các kế hoạch đảm bảo sự liên
tục trong hoạt động của tổ chức
X
A.15 Sự tuân thủ
A.15.1 Tuân thủ các quy định pháp lý
A.15.1.1Xác định các điều luật hiện
đang áp dụng đượcX
53
TCVN XXXX:XXXX
A.15.1.2 Quyền sở hữu trí tuệ (IPR) X
Bảng D.1 (tiếp theo)
Kiếm soát trong tiêu chuần TCVN ISO/IEC 27001:2009, Phụ lục A
Kiểm soát
tổ chức
Kiểm soát kỹ
thuật
Kiểm tra hệ thống
Kiểm tra
trực quan
Hướng dẫn soát xét đánh giá
A.15.1.3 Bảo vệ các hồ sơ tổ chức X X Có thể
A.15.1.4Bảo vệ dữ liệu và sự riêng tư
của thông tin cá nhânX X Có thể
A.15.1.5Ngăn ngừa việc lạm dụng
phương tiện xử lý thông tinX
A.15.1.6 Quy định về quản lý mã hóa X
A.15.2
Sự tuân thủ các chính sách và
tiêu chuẩn an toàn, và tương
thích kỹ thuật
A.15.2.1Sự tuân thủ các chính sách và
các tiêu chuẩn an toànX
A.15.2.2Kiểm tra sự tương thích kỹ
thuậtX X
đánh giá quy trình và
theo dõi
A.15.3Xem xét việc đánh giá các hệ
thống thông tin
A.15.3.1Các biện pháp quản lý đánh giá
các hệ thống thông tinX
A.15.3.2Bảo vệ các công cụ đánh giá hệ
thống thông tinX X Có thể
54