ISO/IEC 27002:2013 về Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin

ISO/IEC 27002:2013 về Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát an toàn thông tin

ISO/IEC 27002:2013 đưa ra các hướng dẫn về các tiêu chuẩn an toàn thông tin của tổ chức và các thông lệ quản lý an toàn thông tin bao gồm việc lựa chọn, thực hiện và quản lý các biện pháp kiểm soát có tính đến (các) môi trường rủi ro về an toàn thông tin của tổ chức.

Tiêu chuẩn ISO/IEC 27002:2013

Giới thiệu

Bối cảnh 

ISO/IEC 27002:2013 được thiết kế để các tổ chức sử dụng làm tài liệu tham khảo để lựa chọn các biện pháp kiểm soát trong quá trình triển khai Hệ thống quản lý an toàn thông tin (ISMS) dựa trên ISO / IEC 27001 [10] hoặc như một tài liệu hướng dẫn cho các tổ chức thực hiện các biện pháp kiểm soát an toàn thông tin được chấp nhận phổ biến . Tiêu chuẩn này cũng được thiết kế để sử dụng trong việc phát triển các hướng dẫn quản lý an toàn thông tin cụ thể của ngành và tổ chức, có tính đến (các) môi trường rủi ro an toàn thông tin cụ thể của chúng.

Các tổ chức thuộc mọi loại hình và quy mô (bao gồm cả khu vực công và tư nhân, thương mại và phi lợi nhuận) thu thập, xử lý, lưu trữ và truyền tải thông tin dưới nhiều hình thức bao gồm điện tử, vật lý và bằng lời nói (ví dụ: hội thoại và thuyết trình).

Giá trị của thông tin vượt ra ngoài chữ viết, con số và hình ảnh: kiến ​​thức, khái niệm, ý tưởng và thương hiệu là những ví dụ về các dạng thông tin vô hình. Trong một thế giới liên kết, thông tin và các quy trình, hệ thống, mạng lưới và nhân sự liên quan tham gia vào hoạt động, xử lý và bảo vệ của chúng là những tài sản, giống như các tài sản kinh doanh quan trọng khác, có giá trị đối với hoạt động kinh doanh của tổ chức và do đó xứng đáng hoặc cần được bảo vệ trước các mối nguy hiểm khác nhau.

Các tài sản phải chịu cả những mối đe dọa cố ý và ngẫu nhiên trong khi các quy trình, hệ thống, mạng và con người liên quan đều có những lỗ hổng cố hữu. Các thay đổi đối với quy trình và hệ thống kinh doanh hoặc các thay đổi bên ngoài khác (chẳng hạn như luật và quy định mới) có thể tạo ra rủi ro bảo mật thông tin mới. Do đó, với vô số cách mà các mối đe dọa có thể lợi dụng các lỗ hổng để gây hại cho tổ chức, các rủi ro về an toàn thông tin luôn hiện hữu. Bảo mật thông tin hiệu quả làm giảm những rủi ro này bằng cách bảo vệ tổ chức khỏi các mối đe dọa và lỗ hổng bảo mật, sau đó giảm tác động đến tài sản của tổ chức.

An toàn thông tin đạt được bằng cách triển khai một tập hợp các biện pháp kiểm soát phù hợp, bao gồm các chính sách, quy trình, thủ tục, cơ cấu tổ chức và các chức năng phần mềm và phần cứng. Các biện pháp kiểm soát này cần được thiết lập, thực hiện, giám sát, xem xét và cải tiến, khi cần thiết, để đảm bảo rằng các mục tiêu kinh doanh và an ninh cụ thể của tổ chức được đáp ứng. Một ISMS như được quy định trong ISO / IEC 27001 [10] có một cái nhìn tổng thể, phối hợp về các rủi ro an toàn thông tin của tổ chức để triển khai một bộ kiểm soát an toàn thông tin toàn diện trong khuôn khổ tổng thể của một hệ thống quản lý nhất quán.

Nhiều hệ thống thông tin đã không được thiết kế để an toàn theo tiêu chuẩn của ISO / IEC 27001 [10] và tiêu chuẩn này. Sự an toàn có thể đạt được thông qua các phương tiện kỹ thuật bị hạn chế và cần được hỗ trợ bởi các thủ tục và quản lý thích hợp. Việc xác định các biện pháp kiểm soát nào cần được áp dụng đòi hỏi phải lập kế hoạch cẩn thận và chú ý đến từng chi tiết. Một ISMS thành công đòi hỏi sự hỗ trợ của tất cả các nhân viên trong tổ chức. Nó cũng có thể yêu cầu sự tham gia của các cổ đông, nhà cung cấp hoặc các bên bên ngoài khác. Cũng có thể cần sự tư vấn của chuyên gia từ các bên bên ngoài.

Nói một cách tổng quát hơn, bảo mật thông tin hiệu quả cũng đảm bảo với ban quản lý và các bên liên quan khác rằng tài sản của tổ chức được an toàn hợp lý và được bảo vệ khỏi bị tổn hại, do đó hoạt động như một yếu tố thúc đẩy hoạt động kinh doanh.

Yêu cầu về bảo mật thông tin

Điều cần thiết là một tổ chức phải xác định các yêu cầu bảo mật của mình. Có ba nguồn yêu cầu bảo mật chính:

a) việc đánh giá rủi ro đối với tổ chức, có tính đến chiến lược và mục tiêu kinh doanh tổng thể của tổ chức. Thông qua đánh giá rủi ro, các mối đe dọa đối với tài sản được xác định, tính dễ bị tổn thương và khả năng xảy ra được đánh giá và ước tính tác động tiềm tàng;

b) các yêu cầu pháp lý, luật định, quy định và hợp đồng mà một tổ chức, các đối tác thương mại, nhà thầu và nhà cung cấp dịch vụ phải đáp ứng và môi trường văn hóa xã hội của họ;

c) tập hợp các nguyên tắc, mục tiêu và yêu cầu nghiệp vụ đối với việc xử lý, xử lý, lưu trữ, truyền đạt và lưu trữ thông tin mà một tổ chức đã phát triển để hỗ trợ hoạt động của tổ chức đó.

Các nguồn lực được sử dụng để thực hiện các biện pháp kiểm soát cần phải được cân bằng với tác hại kinh doanh có thể gây ra từ các vấn đề an ninh khi không có các biện pháp kiểm soát đó. Kết quả đánh giá rủi ro sẽ giúp hướng dẫn và xác định hành động quản lý thích hợp và các ưu tiên để quản lý rủi ro an toàn thông tin và thực hiện các biện pháp kiểm soát được lựa chọn để bảo vệ khỏi những rủi ro này.

ISO / IEC 27005 [11] cung cấp hướng dẫn quản lý rủi ro an toàn thông tin, bao gồm lời khuyên về đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, giao tiếp rủi ro, giám sát rủi ro và xem xét rủi ro.

Lựa chọn điều khiển

Các điều khiển có thể được chọn từ tiêu chuẩn này hoặc từ các bộ điều khiển khác, hoặc các điều khiển mới có thể được thiết kế để đáp ứng các nhu cầu cụ thể khi thích hợp.

Việc lựa chọn các biện pháp kiểm soát phụ thuộc vào các quyết định của tổ chức dựa trên các tiêu chí để chấp nhận rủi ro, các phương án xử lý rủi ro và cách tiếp cận quản lý rủi ro chung được áp dụng cho tổ chức, đồng thời phải tuân theo tất cả các luật và quy định liên quan của quốc gia và quốc tế. Lựa chọn điều khiển cũng phụ thuộc vào cách thức mà các điều khiển tương tác để cung cấp khả năng phòng thủ theo chiều sâu.

Một số biện pháp kiểm soát trong tiêu chuẩn này có thể được coi là nguyên tắc hướng dẫn quản lý an toàn thông tin và có thể áp dụng cho hầu hết các tổ chức. Các biện pháp kiểm soát được giải thích chi tiết hơn bên dưới cùng với hướng dẫn triển khai. Thông tin thêm về việc lựa chọn các biện pháp kiểm soát và các tùy chọn xử lý rủi ro khác có thể được tìm thấy trong ISO / IEC 27005. [11]

Phát triển các nguyên tắc của riêng bạn

ISO/IEC 27002:2013 có thể được coi là điểm khởi đầu để xây dựng các hướng dẫn cụ thể cho tổ chức. Không phải tất cả các biện pháp kiểm soát và hướng dẫn trong quy tắc thực hành này đều có thể áp dụng được. Hơn nữa, có thể yêu cầu các hướng dẫn và kiểm soát bổ sung không có trong tiêu chuẩn này. Khi các tài liệu được phát triển có chứa các hướng dẫn hoặc kiểm soát bổ sung, có thể hữu ích nếu bao gồm các tham chiếu chéo đến các điều khoản trong tiêu chuẩn này, nếu có thể áp dụng để tạo điều kiện thuận lợi cho việc kiểm tra sự tuân thủ của kiểm toán viên và các đối tác kinh doanh.

Cân nhắc về vòng đời

Thông tin có một vòng đời tự nhiên, từ khi được tạo ra và hình thành thông qua lưu trữ, xử lý, sử dụng và truyền tải cho đến sự hủy diệt hoặc phân rã cuối cùng của nó. Giá trị và rủi ro đối với tài sản có thể thay đổi trong suốt thời gian tồn tại của chúng (ví dụ: tiết lộ trái phép hoặc đánh cắp tài khoản tài chính của công ty ít đáng kể hơn sau khi chúng được công bố chính thức) nhưng bảo mật thông tin vẫn quan trọng ở một mức độ nào đó ở tất cả các giai đoạn.

Hệ thống thông tin có các vòng đời trong đó chúng được hình thành, chỉ định, thiết kế, phát triển, thử nghiệm, triển khai, sử dụng, bảo trì và cuối cùng ngừng hoạt động và thải bỏ. Bảo mật thông tin cần được tính đến ở mọi giai đoạn. Sự phát triển hệ thống mới và những thay đổi đối với các hệ thống hiện có mang lại cơ hội cho các tổ chức cập nhật và cải thiện các biện pháp kiểm soát bảo mật, có tính đến các sự cố thực tế và rủi ro bảo mật thông tin dự kiến ​​và hiện tại.

Các tiêu chuẩn liên quan

Trong khi tiêu chuẩn này đưa ra hướng dẫn về một loạt các biện pháp kiểm soát an toàn thông tin thường được áp dụng trong nhiều tổ chức khác nhau, các tiêu chuẩn còn lại trong bộ ISO / IEC 27000 đưa ra lời khuyên hoặc yêu cầu bổ sung về các khía cạnh khác của quy trình tổng thể quản lý an toàn thông tin.

Tham khảo ISO / IEC 27000 để biết giới thiệu chung về cả ISMS và họ tiêu chuẩn. ISO / IEC 27000 cung cấp bảng thuật ngữ, định nghĩa chính thức hầu hết các thuật ngữ được sử dụng trong họ tiêu chuẩn ISO / IEC 27000 và mô tả phạm vi và mục tiêu cho từng thành viên của họ.

Phạm vi

Tiêu chuẩn ISO/IEC 27002:2013 đưa ra các hướng dẫn về các tiêu chuẩn an toàn thông tin của tổ chức và các thông lệ quản lý an toàn thông tin bao gồm việc lựa chọn, thực hiện và quản lý các biện pháp kiểm soát có tính đến (các) môi trường rủi ro về an toàn thông tin của tổ chức.

Tiêu chuẩn này được thiết kế để sử dụng cho các tổ chức có ý định:

a) lựa chọn các biện pháp kiểm soát trong quá trình triển khai Hệ thống quản lý an toàn thông tin dựa trên ISO / IEC 27001; [10]

b) thực hiện các biện pháp kiểm soát an toàn thông tin được chấp nhận phổ biến;

c) phát triển các hướng dẫn quản lý an toàn thông tin của riêng họ.

Tài liệu tham khảo

Các tài liệu sau đây, toàn bộ hoặc một phần, được viện dẫn một cách chuẩn tắc trong tài liệu này và không thể thiếu cho việc áp dụng nó. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

ISO / IEC 27000, Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

Thuật ngữ và định nghĩa

Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa được đưa ra trong ISO / IEC 27000 được áp dụng.

Tài liệu ISO/IEC 27002:2013 bản pdf

Download tiêu chuẩn ISO/IEC 27002:2013 miễn phí tại đây!

Trên đây là những thông tin về tiêu chuẩn ISO/IEC 27002:2013 mà ISOCERT muốn giới thiệu đến Quý bạn đọc. Hy vọng sẽ cung cấp những kiến thức bổ ích giúp cho các bạn hiểu rõ hơn về tiêu chuẩn này. Mọi thắc mắc và giải đáp vui lòng liên hệ cho chúng tôi qua hotline 0976.389.199 để được hỗ trợ tận tình và chi tiết nhất! 

 

Bài viết liên quan