Bản
dịch TIÊU CHUẨN QUỐC TẾ ISO/IEC 27001:2013 tiếng việt (lưu hành nội bộ NQA Việt Nam)
2013-10-01
Công
nghệ thông tin – Các kỹ thuật bảo mật – Hệ thống quản lý an toàn thông tin –
Các yêu cầu
1.
Phạm vi / Scope
Tiêu
chuẩn Quốc tế này định rõ các yêu cầu cho việc thiết lập, thực hiện, duy trì và
cải tiến liên tục một hệ thống quản lý an toàn thông tin trong bối cảnh của tổ
chức. Tiêu chuẩn Quốc tế này cũng bao gồm các yêu cầu cho việc đánh giá và xử
lý các rủi ro bảo mật thông tin tương ứng với nhu cầu của tổ chức. Các yêu cầu
nêu ra trong Tiêu chuẩn Quốc tế này có tính tổng quát và nhắm đến việc áp dụng
cho tất cả các tổ chức, không phân biệt loại hình, quy mô hay bản chất. Việc
loại trừ bất kỳ yêu cầu nào trong phạm vi từ điều 4 đến điều 10 là không thể
chấp nhận được khi một tổ chức tuyên bố phù hợp với Tiêu chuẩn Quốc tế này.
2.
Tiêu chuẩn trích dẫn / Normative references
Các
tài liệu bên dưới, trong toàn bộ hoặc một phần, được trích dẫn trong tài liệu
này và cần thiết cho việc áp dụng của nó. Khi có tham chiếu đến ngày, chỉ phiên
bản được trích dẫn được áp dụng. Khi không có tham chiếu đến ngày, phiên bản
mới nhất của tài liệu trích dẫn (bao gồm mọi sửa đổi) được áp dụng.
ISO/IEC
27000, Công nghệ thông tin – Các kỹ thuật bảo mật – Hệ thống quản lý an toàn
thông tin – Khái quát và từ vựng.
3.
Thuật ngữ và định nghĩa / Terms and definitions
Theo
mục đích của tài liệu này, các thuật ngữ và định nghĩa nêu trong ISO/IEC 27000
được áp dụng.
4.
Bối cảnh của tổ chức / Context of the organization
4.1
Hiểu rõ tổ chức và bối cảnh của tổ chức
4.1
Understanding the organization and its context
Tổ
chức/công ty PHẢI xác định các vấn đề bên ngoài và nội bộ có
liên quan đến mục đích và có ảnh hưởng đến khả năng đạt được các đầu ra dự kiến
của hệ thống quản lý an toàn thông tin của mình.
Chú
thích: Việc xác định những vấn đề này đề cập đến việc thiết lập bối cảnh nội bộ
và bên ngoài của tổ chức/công ty được xem xét tại điều khoản 5.3 ISO 31000 [5]
4.2
Hiểu nhu các nhu cầu và mong đợi của các bên quan tâm
4.2
Understanding the needs and expectations of interested parties
Tổ
chức/công ty PHẢI xác định:
a)
các bên quan tâm có liên quan đến hệ thống quản lý an toàn thông tin; và
b)
các yêu cầu của các bên này có liên quan đến an toàn thông tin
Chú
thích: Các yêu cầu của các bên liên quan này có thể bao gồm các yêu cầu luật
định, chế định và các thỏa thuận trong hợp đồng.
4.3
Xác định phạm vi của hệ thống quản lý an toàn thông tin
4.3
Determining the scope of the information security management system
Tổ chức/công ty PHẢI xác định những ranh giới và
khả năng áp dụng hệ thống quản lý an toàn thông tin để thiết lập ra phạm vi.
Khi xác định phạm vi này, tổ chức/công ty phải xem xét:
a) các vấn đề bên ngoài và nội bộ nêu tại 4.1;
b) các yêu cầu nêu tại 4.2; và
c) sự tương tác và phụ thuộc giữa các hoạt động thực hiện bởi tổ
chức/công ty, và các hoạt động được thực hiện bởi các tổ chức/công ty khác.
Phạm vi phải sẵn có ở dạng thông tin dạng văn bản.
4.4
Hệ thống quản lý an toàn thông tin
4.4
Information security management system
Tổ
chức/công ty PHẢI thiết lập, thực hiện, duy trì và cải tiến
liên tục một hệ thống quản lý an toàn thông tin, theo các yêu cầu của Tiêu
chuẩn Quốc tế này.
5.
Lãnh đạo / Leadership
5.1
Lãnh đạo và cam kết của lãnh đạo
5.1
Leadership and commitment
Lãnh
đạo cao nhất PHẢI chứng minh được vai trò lãnh đạo và cam kết
đối với hệ thống quản lý an toàn thông tin bằng cách:
a)
đảm bảo chính sách an toàn thông tin và các mục tiêu an toàn thông tin được
thiết lập và phù hợp với chiến lược định hướng của tổ chức/công ty;
b)
đảm bảo tích hợp các yêu cầu của hệ thống quản lý an toàn thông tin vào các quá
trình của tổ chức/công ty;
c)
đảm bảo rằng các nguồn lực cần thiết đối với hệ thống quản lý an toàn thông tin
là sẵn có;
d)
truyền thông tầm quan trọng của ảnh hưởng hệ thống quản lý an toàn thông tin và
của sự phù hợp đối với các yêu cầu của hệ thống quản lý an toàn thông tin;
e)
đảm bảo rằng hệ thống quản lý an toàn thông tin đạt được (các) đầu ra dự kiến
của nó;
f)
chỉ dẫn và hỗ trợ nhân sự đóng góp đối với tính hiệu lực của hệ thống quản lý
an toàn thông tin;
g)
thúc đẩy cải tiến liên tục; và
h)
hỗ trợ các vai trò quản lý liên quan khác để chứng minh vai trò lãnh đạo của họ
khi nó được áp dụng trong các phạm vi trách nhiệm của họ.
5.2
Chính sách an toàn thông tin
5.2
Policy
Lãnh
đạo cao nhất PHẢI thiết lập một chính sách an toàn thông tin
như sau:
a)
phù hợp với mục đích của tổ chức/công ty;
b)
bao gồm các mục tiêu bảo mật thông tin (xem 6.2) hoặc cung cấp khuôn khổ cho
việc thiết lập các mục tiêu an toàn thông tin;
c)
bao gồm một cam kết thoả mãn các yêu cầu liên quan đến an toàn thông tin; và
d)
bao gồm một cam kết cải tiến liên tục hệ thống quản lý an toàn thông tin.
Chính
sách an toàn thông tin PHẢI:
e) sẵn
có ở thông tin dạng văn bản
f)
được truyền thông trong tổ chức/công ty; và
g)
sẵn có cho các bên quan tâm, khi thích hợp
5.3
Vai trò tổ chức, trách nhiệm và quyền hạn
5.3
Organizational roles, responsibilities and authorities
Lãnh
đạo cao nhất PHẢI đảm bảo các trách nhiệm và quyền hạn cho các
vai trò liên quan đến an toàn thông tin được phân công và được truyền thông.
Lãnh
đạo cao nhất PHẢI chỉ định trách nhiệm và quyền hạn để:
a)
đảm bảo rằng hệ thống quản lý an toàn thông tin phù hợp với các yêu cầu của
Tiêu chuẩn Quốc tế này; và
b)
báo cáo việc thực hiện hệ thống quản lý an toàn thông tin đến lãnh đạo cao nhất
Chú
thích: Lãnh đạo cao nhất có thể cũng phân công các trách nhiệm và quyền hạn cho
việc báo cáo vệc thực hiện hệ thống quản lý an toàn thông tin bên trong tổ
chức/công ty.
6.
Hoạch định / Planning
6.1
Các hành động giải quyết các rủi ro và cơ hội
6.1
Actions to address risks and opportunities
6.1.1
Khái quát
6.1.1
General
Khi
hoạch định hệ thống quản lý an toàn thông tin, tổ chức/công ty PHẢI xem
xét các vấn đề nêu tại 4.1 và các yêu cầu nêu tại 4.2 và xác định các rủi ro và
các cơ hội cần được giải quyết để:
a)
đảm bảo hệ thống quản lý an toàn thông tin có thể đạt được các đầu ra dự kiến
của mình;
b)
ngăn ngừa, hoặc giảm thiểu, các ảnh hưởng không mong muốn; và
c)
đạt được cải tiến liên tục.
Tổ
chức/công ty PHẢI lập kế hoạch:
d)
các hành động nhằm giải quyết các rủi ro và cơ hội này; và
e)
làm thế nào để
1)
tích hợp và thực hiện các hành động vào trong các quá trình của hệ thống an
toàn thông tin của mình; và
2)
đánh giá hiệu lực của các hành động này.
6.1.2
Đánh giá rủi ro an toàn thông tin
6.1.2
Information security risk assessment
Tổ chức/công ty PHẢI xác định và áp dụng một quá
trình đánh giá rủi ro an toàn thông tin:
a) thiết lập và duy trì các chuẩn mực an toàn thông tin bao gồm:
1) chuẩn mực chấp nhận rủi ro; và
2) chuẩn mực đối với việc thực hiện đánh giá rủi ro an toàn thông
tin;
b) đảm bảo rằng các đánh giá rủi ro an toàn thông tin lặp lại được
thưc hiện nhất quán, tính xác thực và đưa đến các kết quả so sánh được;
c) nhận diện các rủi ro an toàn thông tin:
1) áp dụng quá trình đánh giá rủi ro an toàn thông tin để xác định
các rủi ro liên quan đến việc mất tính bảo mật, tính toàn vẹn và tính sẵn sàng
của thông tin trong phạm vi của hệ thống quản lý an toàn thông tin; và
2) nhận biết chủ sở hữu rủi ro;
d) phân tích rủi ro an toàn thông tin:
1) đánh giá các hậu quả tiềm ẩn đưa đến nếu rủi ro được nhận diện
tại 6.1.2 c) 1) xảy ra;
2) đánh giá khả năng xảy ra của những rủi ro đã nhận diện tại
6.1.2 c) 1); và
3) xác định các mức độ rủi ro;
e) đánh giá rủi ro an toàn thông tin:
1) so sánh kết quả phân tích rủi ro với các chuẩn mực rủi ro đã
thiết lập ở 6.1.2 a); và
2) ưu tiên các rủi ro được phân tích để xử lý rủi ro.
Tổ
chức/công ty phải duy trì thông tin dạng văn bản về
quá trình đánh giá rủi ro an toàn thông tin.
6.1.3
Xử lý rủi ro an toàn thông tin
6.1.3
Information security risk treatment
Tổ chức/công ty PHẢI xác định và áp dụng một quá
trình xử lý rủi ro an toàn thông tin để:
a) lựa chọn các biện pháp xử lý rủi ro an toàn thông tin thích
hợp, có xem xét đến các kết quả đánh giá rủi ro;
b) xác định tất cả các biện pháp kiểm soát cần thiết để thực hiện
các xử lý rủi ro an toàn thông tin đã chọn;
Chú Thích: Các tổ chức/công ty có thể thiết kế các biện pháp kiểm
soát khi được yêu cầu, hoặc nhận biết chúng từ bất kỳ nguồn nào.
c) so sánh các biện pháp xác định được ở 6.1.3 b) bên
trên với các biện pháp kiểm soát đề cập ở Phụ lục A và xác nhận rằng không có
biện pháp kiểm soát cần thiết nào bị bỏ sót;
Chú
Thích 1: Phụ lục A bao gồm một danh sách toàn diện các mục tiêu và biện pháp
kiểm soát. Người sử dụng Tiêu chuẩn Quốc tế này được hướng đến phụ lục A để đảm
bảo rằng không có các biện pháp cần thiết nào bị bỏ qua.
Chú
Thích 2: Các mục tiêu kiểm soát ngầm định bao gồm trong các biện pháp kiểm soát
được chọn. Các mục tiêu kiểm soát và biện pháp kiểm soát liệt kê trong Phụ lục
A không phải là đầy đủ và bổ sung các mục tiêu kiểm soát và các kiểm soát có
thể cần thiết.
d) đưa ra một Tuyên bố Áp dụng bao gồm các biện pháp kiểm soát cần
thiết (xem 6.1.3 b và c) và các lý do loại trừ, cho dù chúng
có được áp dụng hay không, và lý do cho việc loại trừ các biện pháp kiểm soát ở
phụ lục A;
e) xây dựng một kế hoạch xử lý rủi ro an toàn thông tin; và
f) đạt được sự phê duyệt của chủ sở hữu rủi ro về kế hoạch xử lý
rủi ro và chấp nhận các rủi ro an toàn thông tin còn lại.
Tổ chức/công ty phải duy trì thông tin dạng văn
bản về quá trình xử lý rủi ro an toàn thông tin.
Chú
Thích: Quá trình đánh giá và xử lý rủi ro an toàn thông tin trong Tiêu chuẩn
Quốc tế này gắn với các nguyên tắc và hướng dẫn chung cung cấp bởi ISO 31000
[5]
6.2
Các mục tiêu an toàn thông tin và kế hoạch để đạt được các mục tiêu
6.2
Information security objectives and planning to achieve them
Tổ chức/công ty phải lập các mục tiêu an toàn thông tin ở các chức
năng và cấp độ thích hợp.
Các mục tiêu an toàn thông tin PHẢI:
a) nhất quán với chính sách an toàn thông tin;
b) đo lường được (nếu có thể);
c) xem xét đến việc áp dụng các yêu cầu an toàn thông tin, và các
kết quả đánh giá và xử lý rủi ro;
d) được truyền thông; và
e) được cập nhật khi thích hợp.
Tổ chức/công ty phải duy trì thông tin dạng văn
bản về các mục tiêu an toàn thông tin.
Khi hoạch định cách thức để đạt được các mục tiêu an toàn thông
tin của mình, tổ chức/công ty PHẢI xác định:
f) điều gì sẽ được hoàn thành;
g) các nguồn lực gì sẽ được yêu cầu;
h) ai sẽ chịu trách nhiệm;
i) khi nào nó sẽ được hoàn thành; và
j)
các kết quả được đánh giá thế nào;
7.
Hỗ trợ / Support
7.1
Các nguồn lực
7.1
Resources
7.2
Năng lực
7.2
Competence
7.3
Nhận thức
7.3
Awareness
7.4
Trao đổi thông tin
7.4
Communication
7.5
Thông tin dạng văn bản
7.5
Documented information
7.5.1
Khái quát
7.5.1
General
7.5.2
Tạo và cập nhật
7.5.2
Creating and updating
7.5.3
Kiểm soát thông tin dạng văn bản
7.5.3
Control of documented information
8.
Điều hành / Operation
8.1
Hoạch định điều hành và kiểm soát
8.1
Operational planning and control
8.2
Đánh giá rủi ro an toàn thông tin
8.2
Information security risk assessment
8.3
Xử lý rủi ro an toàn thông tin
8.3
Information security risk treatment
9.
Đánh giá kết quả / Performance evaluation
9.1
Theo dõi, đo lường, phân tích và đánh giá
9.1
Monitoring, measurement, analysis and evaluation
9.2
Đánh giá nội bộ
9.2
Internal audit
9.3
Xem xét của lãnh đạo
9.3
Management review
10.
Cải tiến / Improvement
10.1
Sự không phù hợp và hành động khắc phục
10.1
Nonconformity and corrective action
10.2
Cải tiến liên tục
10.2
Continual improvement
Xem thêm:
Đào tạo chuyên gia Đánh giá Nội bộ Hệ thống Quản lý An toàn
Thông tin ISO 27001 – link:
Đào tạo triển khai Hệ thống Quản lý An toàn Thông tin ISO
27001 – link:
Đào tạo Nhận thức Tiêu chuẩn An toàn Thông tin ISO 27001 –
link:
-------------------------
Nguyễn
Đăng Quang
Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal.
Security and Networking System.
Phone: 0944 65 99 37. Skype: c_services_a
Email: dangquang@tuvantieuchuaniso.com
CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp
Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn
ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo
ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai
ISO 27001.
