Tiêu chuẩn quốc gia TCVN 10542:2014 về Công nghệ thông tin - Quản lý kỹ thuật Đo lường - an toàn thông tin

PHỤ LỤC B

(Tham khảo)

Các ví dụ về cấu trúc các phép đo

Dưới đây cung cấp các ví dụ về cấu trúc các phép đo. Các ví dụ mẫu này được đưa ra để diễn tả việc áp dụng tiêu chuẩn này khi sử dụng mẫu tại Phụ lục A.

Bảng mục lục

B.1

Đào tạo về ISMS

B.1.1

...

...

...

B 1.2

Đào tạo về an toàn thông tin

B.1.3

Tuân thủ nhận thức an toàn thông tin

B.2

Các chính sách đặt mật khẩu

B.2.1

Chất lượng mật khẩu - thiết lập thủ công

B.2.2

...

...

...

B.3

Tiến trình soát xét ISMS

B.4

Quản lý các sự cố - cải tiến ISMS thường xuyên

B.4.1

Hiệu lực

B.4.2

Triển khai các hành động khắc phục

B.5

...

...

...

B.6

Bảo vệ chống mã độc

B.7

Biện pháp quản lý truy nhập vào/ra

B.8

Soát xét các file log

B.9

Quản lý bảo trì thường xuyên

B.10

...

...

...

Các quy trình và biện pháp quản lý liên quan (trong TCVN ISO/IEC 27001:2009 hay số biện pháp quản lý trong Phụ lục A)

Các mẫu cấu trúc phép đo (tham chiếu tại Phụ lục này)

Tên mẫu cấu trúc phép đo

Điều 4.2.2 h)

B.4.1

Hiệu lực của quản lý sự cố an toàn thông tin

Điều 5.2.2 d)

B.1.1

...

...

...

Điều 8.2

8.4.2

Triển khai các hành động khắc phục

Biện pháp quản lý A.6.1.8

B.3

Tiến trình soát xét ISMS

Biện pháp quản lý A 6.1.1 và A 6.1.2

B.5

Quản lý các cam kết

...

...

...

B.10

Các thỏa thuận đối với các bên thứ ba

Biên pháp quản lý A.8.2 và A.8.2.2

B.1.2

Đào tạo về an toàn thông tin

Biện pháp quản lý A.8.2 và A.8.2.2

B.1.3

Tuân thủ nhận thức an toàn thông tin

Biện pháp quản lý A.9.1.2

...

...

...

Biện pháp quản lý truy nhập vật lý

Biện pháp quản lý A.9.2.4

B.9

Quản lý bảo trì thường xuyên

Biện pháp quản lý A.10.4.1

B.6

Bảo vệ chống mã độc

Biện pháp quản lý A.10.10.1 và A.10 10.2

B.8

...

...

...

Biện pháp quản lý A.11.3.1

B.2.1

Chất lượng mật khẩu - thiết lập thủ công

Biện pháp quản lý A.11.3.1

B.2.2

Chât lượng mật khẩu - thiết lập tự động

B.1. Đo lường về đào tạo ISMS

B.1.1 Nhân sự đã được đào tạo về ISMS

Thông tin chung của phép đo

...

...

...

Nhân sự đã được đào tạo về ISMS

Số hiệu

Tùy theo quy định của tổ chức.

Mục đích

Để thiết lập các biện pháp quản lý tuân thủ với chính sách an toàn thông tin của tổ chức.

Mục tiêu biện pháp quản lý

Đào tạo, nhận thức và năng lực theo 5.2.2 [TCVN ISO/IEC 27001:2009].

Biện pháp quản lý (1)

5.2.2 d [TCVN ISO/IEC 27001:2009]. Đào tạo, nhận thức và năng lực.

...

...

...

Biện pháp quản lý (2)

Tùy chọn: biện pháp quản lý thêm nữa trong cùng nhóm biện pháp, nếu áp dụng (đã lập kế hoạch hoặc đã được triển khai)

Đối tượng của phép đo và các thuộc tính

Đối tượng

Cơ sở dữ liệu nhân sự.

Thuộc tính

Bản ghi, hồ sơ đào tạo.

Thông tin đặc tả về số đo cơ bản (cho mỗi số đo cơ bản [từ 1 đến n])

Số đo cơ bản

...

...

...

Số nhân sự cần phải đào tạo hệ thống ISMS.

Phương pháp đo

Đếm số lượng người đã được đào tạo về ISMS.

Loại phương pháp đo

Khách quan.

Thang đo

Bằng số.

Loại thang đo

Theo tỷ lệ.

...

...

...

Nhân viên

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Tỷ lệ phần trăm nhân viên được đào tạo hệ thống ISMS

Hàm đo lường

Số nhân viên được đào tạo hệ thống ISMS / số nhân viên cần phải đào tạo hệ thống ISMS * 100.

Thông tin đặc tả về chỉ báo

Chỉ báo

Sử dụng mã màu với các bộ nhận dạng màu. Đồ thị dạng thanh mô tả tương ứng với nhiều giai đoạn lập báo cáo liên quan đến các ngưỡng (đỏ, vàng, xanh lá cây) được xác định tại mô hình phân tích. Số giai đoạn báo cáo được sử dụng trong đồ thị do tổ chức xác định.

...

...

...

Tỷ lệ 0-60%: màu đỏ; 60-90%: màu vàng; 90-100%: màu xanh lá cây. Đối với màu vàng, nếu tỷ lệ tăng không đạt tối thiểu 10% mỗi quý, chỉ báo tự động chuyển sang màu đỏ.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Màu đỏ: cần thiết can thiệp, phải tiến hành phân tích nguyên nhân để xác định lý do chưa phù hợp và hiệu suất kém của đánh giá, Màu vàng, chỉ báo cần được theo dõi chặt chẽ để tránh các trượt giảm xuống màu đỏ.

Màu xanh lá cây: không cần thiết phải hành động.

Kết quả đo

Giải thích chỉ báo

Tùy theo tổ chức cụ thể.

Định dạng báo cáo đo

...

...

...

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Người soát xét phép đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Người sở hữu thông tin

Người quản lý đào tạo - Ban nhân sự.

Bộ phận thu thập thông tin

Ban đào tạo - Phòng nhân sự.

...

...

...

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Tần suất thực hiện

Tần suất thu thập dữ liệu

Hàng tháng (vào ngày làm việc đầu tiên của tháng).

Tần suất phân tích dữ liệu

Hàng quý.

Tần suất lập báo cáo các kết quả đo

Hàng quý.

Tần suất sửa đổi phép đo

...

...

...

Tần suất thực hiện phép đo

Hàng năm.

B.1.2. Đào tạo về an toàn thông tin

Thông tin chung của phép đo

Tên phép đo

Đào tạo về an toàn thông tin

Số hiệu

Tùy theo tổ chức.

Mục đích

...

...

...

Mục tiêu biện pháp quản lý

Biện pháp quản lý theo A.8.2 [TCVN ISO/IEC 27001:2009]. Trong thời gian làm việc.

Đảm bảo rằng mọi cá nhân của tổ chức, người của nhà thầu và bên thứ ba nhận thức được các mối nguy cơ và các vấn đề liên quan tới an toàn thông tin, trách nhiệm và nghĩa vụ pháp lý của họ và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của tổ chức trong quá trình làm việc và giảm thiểu các rủi ro do con người gây ra.

Biện pháp quản lý (1)

Biện pháp quản lý theo A.8.2.2 [TCVN ISO/IEC 27001:2009]. Nhận thức, giáo dục và đào tạo về an toàn thông tin.

Tất cả các cá nhân trong tổ chức, người của nhà thầu và bên thứ ba cần phải được đào tạo nhận thức và cập nhật thường xuyên những thủ tục, chính sách đảm bảo an toàn thông tin của tổ chức như một phần công việc bắt buộc.

Đối tượng của phép đo và các thuộc tính

Đối tượng

Cơ sở dữ liệu nhân sự.

...

...

...

Các giấy tờ trong hồ sơ đào tạo.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

Số cá nhân được đào tạo nâng cao nhận thức an toàn thông tin theo kế hoạch đào tạo hàng năm.

Số cá nhân cần đào tạo nâng cao nhận thức an toàn thông tin.

Phương pháp đo

Đếm số lượng người đã xác nhận là “được đào tạo” nâng cao nhận thức an toàn thông tin.

Loại phương pháp đo

Khách quan

...

...

...

Số lượng

Loại thang đo

Theo tỷ lệ.

Đơn vị đo

Cá nhân.

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Tỷ lệ phần trăm cá nhân được đào tạo nâng cao nhận thức an toàn thông tin hàng năm.

Hàm đo lường

...

...

...

Thông tin đặc tả về chỉ báo

Chỉ báo

Đồ thị dạng thanh mô tả tương ứng với nhiều giai đoạn lập báo cáo liên quan đến các ngưỡng (đỏ, vàng, xanh lá cây) được xác định tại mô hình phân tích, số giai đoạn báo cáo được sử dụng trong đồ thị do tổ chức xác định.

Mô hình phân tích

Tỷ lệ 0-60%: màu đỏ; 60-90%: màu vàng; 90-100%: màu xanh lá cây. Đối với màu vàng, nếu tỷ lệ tăng không đạt tối thiểu 10% mỗi quý, chỉ báo tự động chuyển sang màu đỏ.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Màu đỏ: cần thiết can thiệp, phải tiến hành phân tích nguyên nhân để xác định lý do chưa phù hợp và hiệu suất kém của đánh giá.

Màu vàng: chỉ báo cần được theo dõi chặt chẽ để tránh các trượt giảm xuống màu đỏ.

...

...

...

Kết quả đo

Giải thích chỉ báo

Tùy theo tổ chức.

Định dạng báo cáo đo

Đồ thị dạng thanh với các màu biểu thị dựa trên các tiêu chí quyết định. Tóm tắt ý nghĩa của các số đo và các hành động quản lý khả thi cần được ghi chú kèm theo đồ thị.

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS, Ban quản lý an toàn thông tin, Ban quản lý đào tạo.

Người soát xét phép đo

...

...

...

Người sở hữu thông tin

Cán bộ an toàn thông tin và người quản lý đào tạo.

Bộ phận thu thập thông tin

Ban quản lý đào tạo - Phòng nhân sự.

Bộ phận trao đổi thông tin

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Tần suất thực hiện

Tần suất thu thập dữ liệu

Hàng tháng (vào ngày làm việc đầu tiên của tháng).

...

...

...

Hàng quý.

Tần suất lập báo cáo các kết quả đo

Hàng quý.

Tần suất sửa đổi phép đo

Soát xét sửa đổi hàng năm.

Tần suất thực hiện phép đo

Hàng năm.

B.1.3. Tuân thủ nhận thức an toàn thông tin

Thông tin chung của phép đo

...

...

...

Tuân thủ nhận thức an toàn thông tin.

Số hiệu

Tùy theo quy định của tổ chức.

Mục đích

Đánh giá tình trạng tuân thủ chính sách nhận thức an toàn thông tin giữa những cá nhân có liên quan.

Mục tiêu biện pháp quản lý

Tiến trình A.8.2 [TCVN ISO/IEC 27001:2009]. Trong thời gian làm việc.

Đảm bảo rằng mọi cá nhân của tổ chức, người của nhà thầu và bên thứ ba nhận thức được các mối nguy cơ và các vấn đề liên quan tới an toàn thông tin, trách nhiệm và nghĩa vụ pháp lý của họ và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của tổ chức trong quá trình làm việc và giảm thiểu các rủi ro do con người gây ra.

Biện pháp quản lý (1)

...

...

...

Tất cả các cá nhân trong tổ chức, người của nhà thầu và bên thứ ba cần phải được đào tạo nhận thức và cập nhật thường xuyên những thủ tục, chính sách đảm bảo an toàn thông tin của tổ chức như một phần công việc bắt buộc.

(Triển khai) Tất cả các cá nhân có liên quan đối với hệ thống ISMS phải được đào tạo nhận thức an toàn thông tin trước khi được cấp quyền truy cập hệ thống thông tin.

Biện pháp quản lý (2)

Tiến trình A.8.2.1 [TCVN ISO/IEC 27001:2009]. Trách nhiệm ban quản lý.

Ban quản lý cần phải yêu cầu các cá nhân, người của nhà thầu và bên thứ ba chấp hành an toàn thông tin phù hợp với các thủ tục và các chính sách an toàn thông tin đã được thiết lập của tổ chức.

(Triển khai) Tất cả các cá nhân có liên quan đến ISMS phải ký thỏa thuận người dùng (cam kết) trước khi được cấp quyền truy cập hệ thống thông tin.

Đối tượng của phép đo và các thuộc tính

Đối tượng

1.1. Kế hoạch hoặc lịch trình đào tạo nhận thức an toàn thông tin của tổ chức.

...

...

...

2.1. Kế hoạch/ lịch trình ký kết thỏa thuận người dùng.

2.2. Các cá nhân đã ký kết thỏa thuận.

Thuộc tính

1.1. Các cá nhân được xác định trong bản kế hoạch đào tạo.

1.2. Trạng thái của cá nhân liên quan đến quá trình đào tạo.

2.1. Các cá nhân được xác định trong kế hoạch ký kết thỏa thuận.

2.2. Trạng thái của cá nhân liên quan đến việc ký kết thỏa thuận.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

...

...

...

1.2. Số lượng cá nhân đã ký xác nhận “được đào tạo".

2.1. Số lượng cá nhân được lên kế hoạch ký cam kết (xác định ký kết thỏa thuận đến nay.)

2.2. Số lượng cá nhân đã ký cam kết.

Phương pháp đo

1.1. Đếm số cá nhân theo lịch trình đã ký kết và hoàn thành các đào tạo cho đến nay.

1.2. Yêu cầu người có trách nhiệm cung cấp tỷ lệ phần trăm của những người phải được đào tạo và đã cam kết (trên tổng số nhân viên).

2.1. Đếm số nhân viên đã ký thỏa thuận cho đến hôm nay.

2.2. Đếm số lượng cá nhân có thỏa thuận người dùng đã ký.

Loại phương pháp đo

...

...

...

1.2. Chủ quan

2.1. Khách quan

2.2. Khách quan.

Thang đo

1.1. Số nguyên từ 0 đến vô cùng

1.2. Số nguyên từ 0 đến 100

2.1. Số nguyên từ 0 đến vô cùng

2.2. Số nguyên từ 0 đến vô cùng

Loại thang đo

...

...

...

1.2. Theo tỷ lệ

2.1. Theo thứ tự

2.2. Theo thứ tự

Đơn vị đo

1.1. Số lượng cá nhân

1.2. Tỷ lệ phần trăm

2.1. Số lượng cá nhân

2.2. Số lượng cá nhân

Thông tin đặc tả về số đo dẫn xuất

...

...

...

1. Tiến trình tới nay (D.1: Tổng số nhân sự đã ký và số nhân sự đã có kế hoạch ký).

2. Tiến trình tới nay với việc ký kết thỏa thuận (D2 hay D1/B1*100: Tổng số nhân sự đã ký thỏa thuận tới hôm nay).

Hàm đo lường

1. Bổ sung các tình trạng cho tất cả các nhân sự đã ký thỏa thuận, dự kiến sẽ được hoàn thành đến nay.

2. “Số lượng cá nhân đã ký kết thỏa thuận người dùng đến nay” chia cho “Số lượng cá nhân được xác định ký kết thỏa thuận đến nay”.

Thông tin đặc tả về chỉ báo

Chỉ báo

a) Các tình trạng đã thể hiện như một sự kết hợp của các tỷ lệ và;

b) Xu hướng của đường biểu thị (tăng hoặc giảm).

...

...

...

a) [Tổng số nhân sự đã ký và đã có kế hoạch của Tiến trình đến nay (D.1) / (Số nhân sự đã có kế hoạch ký cho đến hôm nay (B.1)) * 100] và Tiến trình tới hôm nay cùng với ngày ký (D.2).

b) So sánh tình trạng hiện tại và tình trạng trước đó.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

a) Các tỷ lệ kết quả so sánh nên giảm (theo độ dốc của đường biểu thị) tương ứng giữa 0,9 tới 1,1 và giữa 0,99 tới 1,01 để kết luận là đã đạt được mục tiêu quản lý và không cần có hành động can thiệp.

b) Xu hướng của đường biểu thị là đi lên hoặc ổn định ngang.

Kết quả phép đo

Giải thích chỉ báo

Giải thích cho chỉ báo a) như sau:

...

...

...

- Tiêu chí của tổ chức không thỏa mãn tỷ lệ tại [tỷ lệ thứ nhất < 0,9 hoặc tỷ lệ thứ nhất > 1,1 ] và 0,99 £ tỷ lệ so sánh thứ hai £ 1,01; thể hiện bằng kiểu chữ nghiêng.

- Tiêu chí của tổ chức không đạt tại: [tỷ lệ thứ hai < 0,99 hoặc tỷ lệ thứ hai > 1,01]; thể hiện bằng kiểu chữ đậm,

Giải thích cho chỉ báo b) như sau:

- Xu hướng đi lên chỉ ra việc tuân thủ đã được cải tiến, xu hướng đi xuống chỉ ra việc tuân thủ kém đi.

- Độ nghiêng của đường biểu thị cung cấp các thông tin về hiệu lực của việc triển khai biện pháp quản lý.

- Xu hướng đồ thị thay đổi đột ngột cho thấy cần triển khai biện pháp quản lý để tìm ra nguyên nhân tăng hoặc giảm. Nếu có xu hướng giảm tiêu cực có thể yêu cầu người quản lý can thiệp, Xu hướng tăng hoặc tích cực cần được theo dõi để áp dụng.

Định dạng báo cáo đo

- Thể hiện bằng kiểu chữ chuẩn: tiêu chí đã thỏa mãn.

- Thể hiện bằng kiểu chữ nghiêng: tiêu chí chưa thỏa mãn.

...

...

...

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Ban quản lý an toàn thông tin. Ban quản lý đào tạo.

Người soát xét phép đo

Người quản lý an toàn thông tin.

Người sở hữu thông tin

Cán bộ an toàn thông tin và người quản lý đào tạo.

Bộ phận thu thập thông tin

Ban đào tạo - Phòng nhân sự.

...

...

...

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng tháng (vào ngày làm việc đầu tiên của tháng).

Tần suất phân tích dữ liệu

Hàng quý.

Tần suất lập báo cáo các kết quả đo

Hàng quý.

Tần suất sửa đổi phép đo

...

...

...

Tần suất thực hiện phép đo

Hàng năm.

B.2. Đo lường các chính sách đặt mật khẩu

B 2.1. Chất lượng mật khẩu - kiểu thiết lập thủ công

Thông tin chung của phép đo

Tên phép đo

Đo lường Chất lượng mật khẩu - kiểu thiết lập thủ công

Số hiệu

Tùy theo tổ chức.

...

...

...

Đánh giá mức an toàn của mật khẩu do người sử dụng thiết lập để truy cập hệ thống thông tin của tổ chức.

Mục tiêu biện pháp quản lý

Để hạn chế người sử dụng lựa chọn mật khẩu không an toàn.

Biện pháp quản lý (1)

Tiến trình A.11.3.1 [TCVN ISO/IEC 27001:2009]. Sử dụng mật khẩu. Người sử dụng phải được yêu cầu tuân thủ quy tắc thực hành an toàn tốt trong việc lựa chọn và sử dụng mật khẩu.

Triển khai:

Tất cả người sử dụng phải lựa chọn mật khẩu với độ mạnh tối thiểu như sau:

- Độ dài lớn hơn 8 ký tự;

- Không dựa trên thứ gì dễ dàng đoán biết hoặc có sử dụng thông tin về người liên quan, ví dụ: tên, số điện thoại, ngày tháng năm sinh...;

...

...

...

- Mật Khẩu không bao gồm các ký tự liên tiếp giống hệt nhau, các ký tự đều là số hoặc các ký tự đều là chữ cái;

Tất cả các tài khoản người sử dụng và mật khẩu của hệ thống thông tin trong tổ chức phải được quản lý bởi quản trị hệ thống hoặc nhân viên hệ thống.

Đối tượng của phép đo và các thuộc tính

Đối tượng

Cơ sở dữ liệu mật khẩu người sử dụng.

Thuộc tính

Từng mật khẩu người sử dụng.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

...

...

...

2. Dựa trên số lượng mật khẩu người sử dụng thỏa mãn các chính sách Chất lượng mật khẩu đề ra của tổ chức.

Phương pháp đo

1. Đếm số lượng mật khẩu trên cơ sở dữ liệu mật khẩu người sử dụng.

2. Hỏi từng người sử dụng về mật khẩu của họ có thỏa mãn chính sách Chất lượng mật khẩu đề ra của tổ chức hay không.

Loại phương pháp đo

1. Khách quan.

2. Chủ quan.

Thang đo

1. Số nguyên từ 0 đến vô cùng.

...

...

...

Loại thang đo

1. Theo thứ tự.

2. Theo thứ tự.

Đơn vị đo

1. Mật khẩu.

2. Mật khẩu.

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Tổng số lượng mật khẩu tuân theo chính sách Chất lượng mật khẩu của tổ chức.

...

...

...

Tổng của: [Tổng số mật khẩu tuân theo chính sách chất lượng mật khẩu của tổ chức cho mỗi người sử dụng].

Thông tin đặc tả về chỉ báo

Chỉ báo

a) Tỷ lệ mật khẩu phù hợp với chính sách Chất lượng mật khẩu của tổ chức.

b) Tình trạng, xu hướng quan tâm đến chính sách Chất lượng mật khẩu.

Mô hình phân tích

a) Phân số của [Tổng số lượng mật khẩu người sử dụng đã tuân theo chính sách an toàn bảo mật của tổ chức] / [Tổng số lượng mật khẩu đã đăng ký].

b) So sánh tỷ lệ hiện tại với các tỷ lệ trước.

Thông tin đặc tả về tiêu chí quyết định

...

...

...

Mục tiêu biện pháp quản lý đạt được và không phải hành động cần thiết nếu kết quả tỷ lệ là trên 0,9. Nếu tỷ lệ kết quả là giữa 0,8 và 0,9, mục tiêu chưa biện pháp quản lý được, nhưng có xu hướng tích cực. Nếu tỷ lệ kết quả dưới 0,8 cần có biện pháp can thiệp và hành động ngay.

Kết quả phép đo

Giải thích chỉ báo

Giải thích cho chỉ báo a) như sau:

- Tiêu chí của tổ chức về chính sách Chất lượng mật khẩu thỏa mãn: tỷ lệ > 0,9.

- Tiêu chí của tổ chức về chính sách Chất lượng mật khẩu chưa thỏa mãn: 0,8 £ tỷ lệ £ 0,9.

- Tiêu chí của tổ chức về chính sách Chất lượng mật khẩu chưa đáp ứng: tỷ lệ < 0,8.

Giải thích cho chỉ báo b) như sau:

- Xu hướng tăng cho thấy mức tuân thủ được cải tiến, ngược lại xu hướng giảm cho thấy mức tuân thủ xấu đi (Đồ thị).

...

...

...

- Xu hướng tiêu cực cần thiết biện pháp quản lý về nhận thức an toàn thông tin, hoặc các biện pháp kỹ thuật bắt buộc lựa chọn mật khẩu mạnh.

- Xu hướng tăng hoặc tích cực cần được theo dõi, xem xét áp dụng để phù hợp với chính sách Chất lượng mật khẩu của tổ chức.

Ảnh hưởng/ tác động của tiêu chuẩn này là không làm tăng các nguy cơ bảo mật.

Nguyên nhân tiềm tàng bao gồm thiếu nhận thức về an toàn thông tin, sai sót của các biện pháp kỹ thuật và thiếu thời gian để thực thi các chính sách của hệ thống thông tin.

Định dạng báo cáo đo

Xu hướng của đường biểu thị mô tả số lượng mật khẩu phù hợp với chính sách Chất lượng mật khẩu của tổ chức, cùng với đường xu hướng của các báo cáo đo thường kỳ trước đó.

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Người quản lý an toàn thông tin.

...

...

...

Người quản lý an toàn thông tin.

Người sở hữu thông tin

Quản trị hệ thống.

Bộ phận thu thập thông tin

Cá nhân quản trị/ bảo mật hệ thống.

Bộ phận trao đổi thông tin

Cá nhân quản trị/ bảo mật hệ thống.

Tần suất triển khai

Tần suất thu thập dữ liệu

...

...

...

Tần suất phân tích dữ liệu

Hàng năm.

Tần suất lập báo cáo các kết quả đo

Hàng năm.

Tần suất sửa đổi phép đo

Soát xét sửa đổi hàng năm.

Tần suất thực hiện phép đo

Hàng năm.

B.2.2. Chất lượng mật khẩu - kiểu thiết lập tự động

...

...

...

Tên phép đo

Đo lường Chất lượng mật khẩu - kiểu thiết lập tự động

Số hiệu

Tùy theo tổ chức.

Mục đích

Đề ra mức độ an toàn, độ mạnh mật khẩu khi người sử dụng thiết lập mật khẩu truy cập hệ thống thông tin của tổ chức.

Mục tiêu biện pháp quản lý

Để hạn chế người sử dụng lựa chọn mật khẩu không an toàn.

Biện pháp quản lý (1)

...

...

...

Triển khai:

Tất cả người sử dụng phải lựa chọn mật khẩu với độ mạnh tối thiểu như sau:

- Độ dài lớn hơn 8 ký tự;

- Không dựa trên thứ gì dễ dàng đoán biết hoặc có sử dụng thông tin về người liên quan, ví dụ: tên, số điện thoại, ngày tháng năm sinh...;

- Không bao gồm các từ có trong từ điển;

- Mật khẩu không bao gồm các ký tự liên tiếp giống hệt nhau, các ký tự đều là số hoặc các ký tự đều là chữ cái;

- Tất cả các tài khoản người sử dụng và mật khẩu của hệ thống thông tin trong tổ chức phải được quản lý bởi nhân viên quản trị hệ thống hoặc nhân viên hệ thống.

Đối tượng của phép đo và các thuộc tính

Đối tượng

...

...

...

Thuộc tính

Bản ghi, hồ sơ đào tạo.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

1. Tổng số lượng các mật khẩu người sử dụng.

2. Tổng số lượng mật khẩu người sử dụng không thể bẻ khóa.

Phương pháp đo

1. Chạy câu lệnh truy vấn các bản ghi về thông tin tài khoản người sử dụng.

2. Chạy chương trình/ câu lệnh bẻ khóa đối với các bản ghi về thông tin tài khoản người sử dụng bằng phương pháp bẻ khóa hỗn hợp.

...

...

...

1. Khách quan.

2. Khách quan.

Thang đo

1. Số nguyên từ 0 đến vô cùng.

2. Số nguyên từ 0 đến vô cùng.

Loại thang đo

1. Theo thứ tự.

2. Theo thứ tư.

Đơn vị đo

...

...

...

2. Mật khẩu.

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Không có.

Hàm đo lường

Không có.

Thông tin đặc tả về chỉ báo

Chỉ báo

1. Tỷ lệ mật khẩu có thể bẻ khóa trong 4 giờ

...

...

...

Mô hình phân tích

1. Là tỷ số [Số lượng mật khẩu không thể bẻ khóa] / [Tổng số lượng mật khẩu].

2. So sánh tỷ lệ này với các tỷ lệ trước.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Mục tiêu quản lý chất lượng mật khẩu đạt được và không cần có hành động cần thiết nếu kết quả tỷ lệ là trên 0,9. Nếu tỷ lệ kết quả là giữa 0,8 và 0,9 mục tiêu quản lý chưa quản lý được, nhưng có xu hướng tích cực. Nếu tỷ lệ kết quả dưới 0,8, cần có can thiệp và hành động ngay.

Kết quả phép đo

Giải thích chỉ báo

Giải thích cho chỉ báo 1 như sau:

...

...

...

- Tiêu chí của tổ chức về chính sách Chất lượng mật khẩu chưa thỏa mãn: 0,8 £ tỷ lệ £ 0,9.

- Tiêu chí của tổ chức về chính sách Chất lượng mật khẩu chưa đáp ứng: tỷ lệ < 0,8.

Giải thích cho chỉ báo 2 như sau:

- Xu hướng tăng cho thấy mức tuân thủ được cải tiến, ngược lại xu hướng giảm cho thấy mức tuân thủ xấu đi.

- Mức thay đổi của xu hướng cung cấp các thông tin về hiệu lực của việc triển khai biện pháp quản lý.

- Xu hướng tiêu cực cần thiết phải có các biện pháp quản lý về nhận thức an toàn thông tin, hoặc các biện pháp kỹ thuật bắt buộc lựa chọn mật khẩu mạnh.

- Xu hướng tăng hoặc tích cực cần được theo dõi, xem xét áp dụng để phù hợp với chính sách Chất lượng mật khẩu của tổ chức.

- Ảnh hưởng/ tác động của tiêu chí này là không làm tăng các nguy cơ bảo mật.

- Nguyên nhân tiềm tàng bao gồm thiếu nhận thức về an toàn thông tin, sai sót của các biện pháp kỹ thuật và thiếu thời gian để thực thi các chính sách của hệ thống thông tin.

...

...

...

Xu hướng của đường biểu thị mô tả khả năng bẻ khóa mật khẩu, cùng với đường xu hướng của các báo cáo đo thường kỳ trước đó.

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Người quản lý an toàn thông tin.

Người soát xét phép đo

Ban quản lý an toàn thông tin.

Người sở hữu thông tin

Quản trị hệ thống.

Bộ phận thu thập thông tin

...

...

...

Bộ phận trao đổi thông tin

Nhân viên an toàn thông tin.

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng năm

Tần suất phân tích dữ liệu

Hàng năm

Tần suất lập báo cáo các kết quả đo

...

...

...

Tần suất sửa đổi phép đo

Soát xét sửa đổi hàng năm.

Tần suất thực hiện phép đo

Hàng năm.

B.3. Đo lường tiến trình soát xét ISMS

Thông tin chung của phép đo

Tên phép đo

Đo lường tiến trình soát xét ISMS

Số hiệu

...

...

...

Mục đích

Để đánh giá mức hoàn thành của việc soát xét độc lập hệ thống ISMS.

Mục tiêu biện pháp quản lý

Để quản lý an toàn thông tin trong tổ chức.

Biện pháp quản lý (1)

A.6.1.8 [TCVN ISO/IEC 27001:20Q9]. Tự soát xét về an toàn thông tin. Cách tiếp cận quản lý an toàn thông tin của tổ chức và việc triển khai của tổ chức (chẳng hạn như: các mục tiêu và các biện pháp quản lý, các chính sách, các quy trình và các thủ tục đảm bảo an toàn thông tin) phải được tự soát xét tần suất hoặc khi xuất hiện những thay đổi quan trọng liên quan đến an toàn thông tin.

(Triển khai)

Các phương pháp tiếp cận và triển khai quản lý an toàn thông tin của tổ chức được soát xét hàng quý bởi bên thứ ba có tư cách là nhà tư vấn về bảo mật.

Đối tượng đo lường và các thuộc tính

...

...

...

1. Các báo cáo soát xét của bên thứ ba.

2. Các kế hoạch soát xét của bên thứ ba.

Thuộc tính

1. Đã có báo cáo soát xét của bên thứ ba.

2. Đã có kế hoạch soát xét của bên thứ ba.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

1. Một số soát xét đã thực hiện của bên thứ ba.

2. Các kế hoạch soát xét đã thực hiện của bên thứ ba.

...

...

...

1. Đếm số lượng các báo cáo đã tiến hành đánh giá thường xuyên bơi bên thứ ba.

2. Đếm số lượng các kế hoạch soát xét đã triển khai của bên thứ ba.

Loại phương pháp đo

1. Khách quan.

2. Khách quan.

Thang đo

1. Số nguyên từ 0 đến vô cùng.

2. Số nguyên từ 0 đến vô cùng.

Loại thang đo

...

...

...

2. Theo thứ tự.

Đơn vị đo

1. Soát xét.

2. Soát xét.

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Không có.

Hàm đo lường

Không có.

...

...

...

Chỉ báo

Tỷ lệ các soát xét độc lập đã hoàn thành.

Mô hình phân tích

1. Là tỷ số [Các báo cáo soát xét đã thực hiện của bên thứ ba] / [Các kế hoạch soát xét đã thực hiện của bên thứ ba].

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Tỷ lệ kết quả của các chỉ báo sẽ giảm khoảng 0,8 và 1,1 để kết luận đạt được mục tiêu quản lý và không cần có hành động can thiệp; tỷ lệ chỉ báo cần đạt trên 0,6 để đáp ứng các điều kiện chính.

Kết quả phép đo

Giải thích chỉ báo

...

...

...

- Tiêu chí về quản lý an toàn thông tin trong tổ chức được soát xét kỹ lưỡng bởi bên thứ ba thỏa mãn: 0,8 £ tỷ lệ £ 1,1.

- Tiêu chí về quản lý an toàn thông tin trong tổ chức được soát xét kỹ lưỡng bởi bên thứ ba chưa thỏa mãn: 0,6 £ tỷ lệ < 0,8 hoặc tỷ lệ > 1,1, cần thiết giám sát để đảm bảo phù hợp với tiến trình triển khai.

- Tiêu chí chưa đáp ứng: 0 £ tỷ lệ < 0,6, cần thiết có hành động can thiệp để đảm bảo phù hợp với tiến trình triển khai.

- Nếu đến cuối quý thứ hai chỉ báo vẫn chưa thỏa mãn, cần thiết phải có hành động khắc phục và báo cáo đo với người quản lý chịu trách nhiệm hệ thống ISMS.

Nếu đến cuối năm chỉ báo vẫn chưa thỏa mãn, cần thiết phải thông báo và yêu cầu hỗ trợ từ người quản lý cấp cao.

Ảnh hưởng/tác động của tiêu chí này là không đáp ứng được sẽ làm giảm hiệu quả của quá trình soát xét quản lý.

Nguyên nhân tiềm tàng bao gồm ngân sách thấp, triển khai không đúng kế hoạch, thiếu hụt nhân lực/ cam kết quản lý.

Định dạng báo cáo đo

Đồ thị dạng thanh mô tả giá trị qua các giai đoạn báo cáo phù hợp với các ngưỡng tiêu chí quyết định.

...

...

...

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Người quản lý chất lượng hệ thống.

Người soát xét phép đo

Người quản lý an toàn thông tin.

Người sở hữu thông tin

Ngươi quản lý an toàn thông tin,

Bộ phận thu thập thông tin

Kiểm tra viên nội bộ. Trưởng quản lý chất lượng.

Bộ phận trao đổi thông tin

...

...

...

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng quý.

Tần suất phân tích dữ liệu

Hàng quý.

Tần suất lập báo cáo các kết quả đo

Hàng quý.

Tần suất sửa đổi phép đo

Soát xét và chỉnh sửa, cập nhật 2 năm/lần.

...

...

...

Áp dụng trong 2 năm.

B.4. Đo lường việc cải tiến ISMS thường xuyên

B.4.1 Hiệu lực của quản lý sự cố an toàn thông tin

Thông tin chung của phép đo

Tên phép đo

Hiệu lực của quản lý sự cố an toàn thông tin

Số hiệu

Tùy theo tổ chức.

Mục đích

...

...

...

Mục tiêu biện pháp quản lý

Có khả năng nhanh chóng phát hiện các sự kiện an toàn thông tin và phản ứng với các sự cố an toàn thông tin.

Biện pháp quản lý (1)

4.2.2 h) [TCVN ISO/IEC 27001:2009]

Triển khai các thủ tục và các biện pháp quản lý khác có khả năng nhanh chóng phát hiện các sự kiện an toàn thông tin và phản ứng với các sự cố an toàn thông tin.

Đối tượng đo lường và các thuộc tính

Đối tượng

Hệ thống ISMS.

Thuộc tính

...

...

...

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

Số lần xảy ra sự cố có thể chấp nhận được của tổ chức.

Phương pháp đo

Đếm các sự cố về an toàn thông tin được ghi nhận và báo cáo cho đến ngày đo.

Loại phương pháp đo

Khách quan

Thang đo

Số lượng

...

...

...

Theo thứ tự

Đơn vị đo

Sự cố

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Số sự cố vượt quá ngưỡng.

Hàm đo lường

So sánh tổng số lượng các sự cố với ngưỡng sự cố đặt ra.

Thông tin đặc tả về chỉ báo

...

...

...

Biểu đồ đường bao gồm đường ngang không đổi thể hiện ngưỡng sự cố và đường thể hiện tổng số các sự cố theo các báo cáo đo.

Mô hình phân tích

Màu đỏ: tổng số các sự cố vượt quá ngưỡng (đi phía trên);

Màu vàng: tổng số các sự cố nhỏ hơn ngưỡng trong khoảng 10%.

Màu xanh lá cây: tổng số các sự cố nhỏ hơn ngưỡng 10% hoặc hơn.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Màu đỏ: yêu cầu điều tra nguyên nhân tăng số lượng các sự cố ngay lập tức.

Màu vàng: số lượng sự cố cần được giám sát, theo dõi chặt chẽ, nếu không có cải tiến cần thiết phải điều tra nguyên nhân,

...

...

...

Kết quả phép đo

Giải thích chỉ báo

Nếu màu đỏ xuất hiện trong 2 chu kì báo cáo đo, cần thiết phải soát xét các biện pháp quản lý sự cố an toàn thông tin để điều chỉnh, bổ sung các biện pháp phù hợp.

Nếu xu hướng này không đảo ngược trong hai giai đoạn báo cáo đo tiếp theo, cần thiết phải có hành động khắc phục, chẳng hạn như đề nghị mở rộng phạm vi quản lý an toàn thông tin.

Định dạng báo cáo đo

Biểu đồ dạng đường kẻ.

Các bên liên quan

Người yêu cầu đo

Ban quản lý hệ thống ISMS.

...

...

...

Ban quản lý an toàn thông tin.

Ban quản lý sự cố an toàn thông tin.

Người soát xét phép đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Người sở hữu thông tin

Người Quản lý chịu trách nhiệm đối với hệ thống ISMS.

Bộ phận thu thập thông tin

Người quản lý sự cố an toàn thông tin.

Bộ phận trao đổi thông tin

...

...

...

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng tháng.

Tần suất phân tích dữ liệu

Hàng tháng.

Tần suất lập báo cáo các kết quả đo

Hàng tháng.

Tần suất sửa đổi phép đo

6 tháng.

...

...

...

Hàng tháng.

B.4.2. Triển khai các hành động khắc phục

Thông tin chung của phép đo

Tên phép đo

Triển khai các hành động khắc phục

Số hiệu

Tùy theo tổ chức.

Mục đích

Đánh giá khả năng thực hiện của việc triển khai hành động khắc phục.

...

...

...

8.2 [TCVN ISO/IEC 27001:2009] Hành động khắc phục

Tổ chức phải thực hiện hành động Loại bỏ các nguyên nhân không phù hợp đối với yêu cầu của hệ thống ISMS để ngăn ngừa khả năng tái diễn.

Biện pháp quản lý (1)

Thủ tục đã được lập thành tài liệu cho hành động khắc phục phải xác định các yêu cầu cho:

a) Xác định các điểm không phù hợp;

b) Tìm ra nguyên nhân của các điểm không phù hợp trên;

c) Đánh giá sự cần thiết của các hành động đảm bảo điểm không phù hợp sẽ không xuất hiện trở lại;

d) Quyết định và triển khai các hành động khắc phục cần thiết;

e) Lập báo cáo kết quả thực hiện các hành động trên;

...

...

...

(đã triển khai)

.......

Tổ chức xác định các hành động khắc phục yêu cầu và phát hành tài liệu báo cáo về hành động khắc phục nêu những điểm chưa phù hợp, các nguyên nhân của nó và thời gian cho hành động khắc phục.

Khi nhận được báo cáo, người quản lý chịu trách nhiệm cho các khu vực có điểm không phù hợp đã được phát hiện được phải đảm bảo các hành động khắc phục được thực hiện không chậm trễ để loại bỏ những điểm không phù hợp và các nguyên nhân của chúng.

Nếu hành động khắc phục không được triển khai như đã yêu cầu, nguyên nhân của việc không hành động này cần phải được xác định, cũng như các hành động thay thế hành động khắc phục nguyên bản phải được quyết định một cách phù hợp.

Các hành động đã triển khai đúng ngày và kết quả cần phải được ghi lại thành văn bản. Nếu hành động khắc phục không được triển khai như kế hoạch đã định, lý do và các hành động thay thế cũng phải lập thành văn bản để báo cáo kịp thời đến người quản lý an toàn thông tin.

Đối tượng đo lường và các thuộc tính

Đối tượng

Các báo cáo về hành động khắc phục.

...

...

...

Hạn triển khai hành động khắc phục trong báo cáo.

Ngày triển khai hành động khắc phục được đưa vào trong báo cáo.

Lý do trì hoãn và không hành động.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

1. Số hành động khắc phục đã được lên kế hoạch tới nay.

2. Số hành động khắc phục đã được thực hiện theo kế hoạch tới nay.

3. Số hành động khắc phục chưa được thực hiện có lý do tới nay.

Phương pháp đo

...

...

...

2. Đếm số hành động khắc phục được ghi nhận như đã triển khai cho đến nay.

3. Đếm số hành động khắc phục được ghi nhận như đã kế hoạch nhưng chưa thực hiện, có lý do.

Loại phương pháp đo

1 - 3: Khách quan

Thang đo

1 - 3: Số nguyên từ 0 đến vô cùng.

Loại thang đo

1 - 3: Theo thứ tự.

Đơn vị đo

...

...

...

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

a) Hành động khắc phục chưa được triển khai cho đến nay.

b) Hành động khắc phục chưa được triển khai không có lý do hợp lý.

Hàm đo lường

a) [Số hành động khắc phục đã được lên kế hoạch tới nay] - [Số hành động khắc phục đã thực hiện theo kế hoạch tới nay].

b) [Số hành động khắc phục không được triển khai theo kế hoạch có lý do] - [Số hành động khắc phục không được triển khai].

Thông tin đặc tả về chỉ báo

Chỉ báo

...

...

...

b) Tình trạng thể hiện như một tỷ lệ của hành động khắc phục không được triển khai không có lý do.

c) Xu hướng các trạng thái.

Mô hình phân tích

a) [Số hành động khắc phục không được triển khai đến nay] / [Số hành động khắc phục được lên kế hoạch đến nay].

b) [Số hành động khắc phục không được triển khai và không có lý do] / [Số hành động khắc phục được lên kế hoạch đến nay].

c) So sánh tình trạng với các tình trạng đánh giá trước.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Để kết luận đạt được các mục tiêu và không cần hành động, tỷ lệ của chỉ báo a) và b) cần nằm tương ứng giữa 0,4 - 0,0 và giữa 0,2 - 0,0; xu hướng của chỉ số c) cần giảm so với 2 báo cáo đo thường kỳ trước đó. Các chỉ số c) cần được trình bày thể hiện so sánh với các chỉ số trước đây để đưa ra hướng áp dụng triển khai hành động khắc phục.

...

...

...

Giải thích chỉ báo

Giải thích cho các chỉ báo a) và b) như sau:

- Kế hoạch hành động khắc phục phải được triển khai trừ khi ưu tiên của tổ chức thay đổi dẫn đến cần thiết phải triển khai các hành động khắc phục khác hoặc chuyển hướng nguồn lực phân bố để triển khai hành động khắc phục.

Nếu hơn 40% hành động khắc phục không được triển khai bất kể lý do, hoặc hơn 20% hành động khắc phục không được triển khai không có lý do chính đáng, cần thiết phải có hành động quản lý. Hành động khắc phục không triển khai cần được kiểm tra để xác định nguyên nhân. Tùy thuộc vào tỷ lệ phần trăm không triển khai và lý do không triển khai, cần thiết phải có hành động ở mức cao hơn.

Giải thích cho chỉ báo c) như sau:

Một xu hướng trong việc thực hiện hành động khắc phục cần phải được xem xét cho bất kỳ suy giảm tổng thể trong hoạt động hoặc cải tiến đáng kể hiệu suất.

Nếu tỷ lệ phần trăm của hành động khắc phục thực hiện giảm mạnh trong 2 báo cáo đo gần nhất, cần thiết có hành động quản lý bất kể các lý do không tuân thủ.

Ảnh hưởng/tác động của tiêu chí ảnh hưởng đến việc cải tiến hệ thống ISMS.

Nguyên nhân tiềm tàng bao gồm thiếu hụt nguồn lực, lập kế hoạch không chính xác, thiếu nhân sự có chuyên môn và cam kết quản lý.

...

...

...

Đồ thị dạng thanh có ngăn với các đường biểu thị kết quả đo cho phép đưa ra các hành động quản lý thông qua tổng số lượng triển khai hành động khắc phục, tách ra thành đã triển khai, không triển khai có lý do chính đáng, không triển khai và không có lý do chính đáng.

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Người quản lý an toàn thông tin.

Người soát xét phép đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Người sở hữu thông tin

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

...

...

...

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Bộ phận trao đổi thông tin

Người quản lý chịu trách nhiệm đối với hệ thống ISMS.

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng quý.

Tần suất phân tích dữ liệu

Hàng quý.

Tần suất lập báo cáo các kết quả đo

...

...

...

Tần suất sửa đổi phép đo

Soát xét sửa đổi hàng năm.

Tần suất thực hiện phép đo

Hàng năm.

B.5. Cam kết của ban quản lý

Thông tin chung của phép đo

Tên phép đo

Tần suất soát xét của ban quản lý

Số hiệu

...

...

...

Mục đích

Đánh giá cam kết của ban quản lý và các hành động soát xét an toàn thông tin theo các hành động soát xét của ban quản lý

Mục tiêu biện pháp quản lý

A.6.1 [TCVN ISO/IEC 27001:2009]. Nhằm quản lý an toàn thông tin trong tổ chức (đã lập kế hoạch).

Nhằm quản lý an toàn thông tin trong tổ chức thông qua các soát xét của ban quản lý thực hiện thường xuyên.

Biện pháp quản lý (1)

A.6.1.1 [TCVN ISO/IEC 27001:2009]. Cam kết của ban quản lý về bảo đảm an toàn thông tin.

Ban quản lý phải chủ động hỗ trợ bảo đảm an toàn thông tin trong tổ chức bằng các định hướng rõ ràng, các cam kết có thể thấy được, các nhiệm vụ rõ ràng và nhận thức rõ trách nhiệm về bảo đảm an toàn thông tin (đã triển khai).

Tổ chức phải có các cuộc họp hàng tháng về soát xét của ban quản lý để hỗ trợ an toàn thông tin trong tổ chức bằng các định hướng rõ ràng, các cam kết có thể thấy được, các nhiệm vụ rõ ràng và nhận thức rõ trách nhiệm về bảo đảm an toàn thông tin.

...

...

...

Biện pháp quản lý (2)

Tiến trình A.6.1.2 [TCVN ISO/IEC 27001:2009]. Phối hợp bảo đảm an toàn thông tin.

Các hoạt động bảo đảm an toàn thông tin cần phải được phối hợp bởi các đại diện của các ban trong tổ chức với vai trò và nhiệm vụ cụ thể (đã triển khai).

Những người nắm giữ vai trò và trách nhiệm có liên quan thuộc các phòng ban chức năng cần phối hợp và tham gia soát xét của ban quản lý.

Đối tượng đo lường và các thuộc tính

Đối tượng

1. Kế hoạch/ lịch biểu soát xét của ban quản lý an toàn thông tin.

2. Các biên bản cuộc họp soát xét của ban quản lý.

Thuộc tính

...

...

...

1.2. Sự có mặt của ban quản lý tham dự các buổi họp soát xét được lên kế hoạch.

2.1. Những ngày họp soát xét của ban quản lý được ghi lại.

2.2. Sự có mặt của ban quản lý được ghi lại đã tham gia các cuộc họp soát xét.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

1.1. Số lượng các cuộc họp soát xét của ban quản lý được lên kế hoạch cho đến nay.

1.2. Số lượng người quản lý, nắm giữ vai trò và trách nhiệm có liên quan được đặt lịch để tham gia các cuộc họp soát xét của ban quản lý.

2.1.1. Số lượng các cuộc họp soát xét của ban quản lý đã tổ chức theo kế hoạch cho đến nay.

2.1.2. Số lượng các cuộc họp soát xét của ban quản lý đã tổ chức đột xuất hoặc không theo kế hoạch cho đến nay.

...

...

...

2.2. Số lượng người quản lý, nắm giữ vai trò và trách nhiệm có liên quan tham dự các cuộc họp soát xét của ban quản lý cho đến nay.

Phương pháp đo

1.1. Đếm số lượng các cuộc họp soát xét của ban quản lý được đặt lịch cho đến nay.

1.2. Với mỗi cuộc họp soát xét của ban quản lý, đếm số lượng người quản lý, nắm giữ vai trò và trách nhiệm có liên quan tham dự; thêm một bản ghi mới với giá trị mặc định về số lượng người tham dự dành cho các cuộc họp đột xuất, không có kế hoạch định trước.

2.1.1. Đếm số lượng các cuộc họp soát xét của ban quản lý đã tổ chức theo kế hoạch cho đến nay.

2.1.2. Đếm số lượng các cuộc họp soát xét của ban quản lý đã tổ chức đột xuất hoặc không theo kế hoạch cho đến nay.

2.1.3. Đếm số lượng các cuộc họp soát xét của ban quản lý được đặt lịch lại và đã tổ chức cho đến nay.

2.2. Đối với tất cả các cuộc họp soát xét của ban quản lý đã được tổ chức, đếm số lượng lãnh đạo của tổ chức tham dự.

Loại phương pháp đo

...

...

...

1.2. Khách quan hoặc chủ quan.

2.1.1. Khách quan.

2.1.2. Khách quan.

2.1.3. Khách quan.

2.2. Khách quan.

Thang đo

1.1. Số nguyên từ 0 đến vô cùng.

1.2. Số nguyên từ 0 đến vô cùng.

2.1.1. Số nguyên từ 0 đến vô cùng,

...

...

...

2.1.3. Số nguyên từ 0 đến vô cùng.

2.2. Số nguyên từ 0 đến vô cùng.

Loại thang đo

1.1. Theo thứ tự.

1.2. Theo thứ tự.

2.1.1. Theo thứ tự.

2.1.2. Theo thứ tự.

2.1.3. Theo thứ tự.

2.2. Theo thứ tự.

...

...

...

1.1. Cuộc họp.

1.2. Số lượng người.

2.1.1. Cuộc họp.

2.1.2. Cuộc họp.

2.1.3. Cuọc họp.

2.2. Số lượng người.

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

a) Số lượng các cuộc họp soát xét của ban quản lý đã tổ chức cho đến nay.

...

...

...

Hàm đo lường

a) Là tổng của [Số lượng các cuộc họp soát xét của ban quản lý được lên kế hoạch cho đến nay] và [Số lượng các cuộc họp soát xét của ban quản lý đột xuất hoặc không theo kế hoạch cho đến nay] và [Số lượng các cuộc họp soát xét của ban quản lý được đặt lịch lại cho đến nay].

b) Với mỗi cuộc họp soát xét của ban quản lý, là phân số của [Số lượng lãnh đạo của tổ chức tham dự] / [Số lượng lãnh đạo của tổ chức dự kiến tham dự trong danh sách].                                   

Thông tin đặc tả về chỉ báo

Chỉ báo

a) Các cuộc họp soát xét của ban quản lý đã hoàn thành cho đến nay.

b) Tỷ lệ người tham gia trung bình cho đến nay.

Mô hình phân tích

a) Là tỷ số [Số lượng các cuộc họp soát xét của ban quản lý đã triển khai] / [Số lượng các cuộc họp soát xét của ban quản lý được lên kế hoạch].

...

...

...

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Kết quả tỷ lệ của chỉ báo a) giữa 0,7 và 1,1 để kết luận đạt được các mục tiêu quản lý và không cần thiết hành động. Nếu không đạt, tỷ lệ này cần đạt trên 0,5 để đáp ứng các yêu cầu tối thiểu.

Liên quan đến chỉ báo b), tính toán tỷ lệ tham gia dựa trên chênh lệch tiêu chuẩn để đưa ra tỷ lệ tham gia trung bình thực tế có thể đạt được. Nếu tỷ lệ tham gia có dao động lớn, độ sai lệch trong dự đoán sẽ lớn, cần thiết phải có các kế hoạch dự phòng cho các kết quả xấu nhất có thể xảy ra.

Kết quả phép đo

Giải thích chỉ báo

Giải thích cho chỉ báo a) như sau:

Thỏa mãn: 0,7 £ tỷ lệ £ 1,1

Chưa thỏa mãn: 0,5 £ tỷ lệ < 0,7 hoặc tỷ lệ > 1,1

...

...

...

Định dạng báo cáo đo

Biểu đồ đường mô tả chỉ báo với dữ liệu thu thập được và các đường thể hiện tại các báo cáo đo thường kỳ trước, số lượng dữ liệu cần thu thập và số báo cáo đo thường kỳ đưa vào để so sánh phụ thuộc và xác định vào từng tổ chức.

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Người quản lý chất lượng hệ thống.

Người soát xét phép đo

Người có thẩm quyền, quyền truy nhập chương trình đánh giá nội bộ.

Người sở hữu thông tin

Người quản lý chất lượng hệ thống.

...

...

...

Bộ phận thu thập thông tin

Quản lý chất lượng. Người quản lý an toàn thông tin.

Bộ phận trao đổi thông tin

Quản lý chất lượng. Người quản lý an toàn thông tin.

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng tháng.

Tần suất phân tích dữ liệu

...

...

...

Tần suất lập báo cáo các kết quả đo

Hàng quý.

Tần suất sửa đổi phép đo

Soát xét và chỉnh sửa 2 năm/lần.

Tần suất thực hiện phép đo

2 năm/lần.

B.6. Đo lường bảo vệ chống mã độc

Thông tin chung của phép đo

Tên phép đo

...

...

...

Số hiệu

Tùy theo tổ chức.

Mục đích

Đánh giá hiệu lực của hệ thống bảo vệ đối với các phần mềm tấn công độc có chứa mã độc.

Mục tiêu biện pháp quản lý

Biện pháp quản lý A.10.4 [TCVN ISO/IEC 27001:2009] Nhằm bảo vệ tính toàn vẹn của phần mềm và thông tin.

(đã lập kế hoạch)

Nhằm bảo vệ tính toàn vẹn của phần mềm và thông tin đối với các phần mềm độc.

Biên pháp quản lý (1)

...

...

...

Các biện pháp quản lý trong việc phát hiện, ngăn chặn và phục hồi nhằm chống lại các đoạn mã độc và các thủ tục tuyên truyền nâng cao nhận thức của người sử dụng phải được triển khai.

Đối tượng đo lường và các thuộc tính

Đối tượng

1. Các báo cáo sự cố gặp phải.

2. Các file log của phần mềm chống mã độc.

Thuộc tính

Sự cố gây ra bởi phần mềm có chứa mã độc.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

...

...

...

2. Tổng số tấn công đã bị chặn gây ra bởi phần mềm có chứa mã độc.

Phương pháp đo

1. Đếm số lượng.

2. Đếm số lượng.

Loại phương pháp đo

1. Khách quan.

2. Khách quan.

Thang đo

1. Số nguyên từ 0 đến vô cùng.

...

...

...

Loại thang đo

1. Theo thứ tự.

2. Theo thứ tự.

Đơn vị đo        

1. Sự cố an toàn

2. Bản ghi/records.

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Khả năng bảo vệ của phần mềm chống mã độc.

...

...

...

Số lượng sự cố mất an toàn thông tin gây ra bởi phần mềm có chứa mã độc / Số lần phát hiện và ngăn chặn tấn công của mã độc.

Thông tin đặc tả về chỉ báo

Chỉ báo

Xu hướng phát hiện các tấn công không được ngăn chặn theo các báo cáo đo thường kỳ trước.

Mô hình phân tích

So sánh tỷ lệ với các tỷ lệ trong các báo cáo đo thường kỳ trước.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

Đường biểu thị nên nằm dưới một số cụ thể (ngưỡng). Kết quả của xu hướng nên theo chiều hướng giảm hoặc là đường không đổi.

...

...

...

Giải thích chỉ báo

Đường biểu thị có xu hướng tăng cho thấy các nguy cơ xấu, xu hướng giảm cho thấy các cải tiến. Khi có xu hướng tăng lên đáng kể, cần thiết điều tra nguyên nhân và có các biện pháp đối phó.

Định dạng báo cáo đo

Đường biểu thị xu hướng mô tả tỷ lệ phát hiện phần mềm có chứa mã độc, ngăn chặn tỷ lệ tăng so với các đường biểu thị trong các báo cáo đo thường kỳ trước.

Các bên liên quan

Người yêu cầu đo

Người quản lý an toàn thông tin.

Người soát xét phép đo

Người quản lý an toàn thông tin.

...

...

...

Người quản trị hệ thống.

Bộ phận thu thập thông tin

Người quản lý an toàn thông tin. Người quản trị hệ thống. Người quản trị mạng.

Bộ phận trao đổi thông tin

Ban điều phối dịch vụ.

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng ngày.

Tần suất phân tích dữ liệu

...

...

...

Tần suất lập báo cáo các kết quả đo

Hàng tháng.

Tần suất sửa đổi phép đo

Soát xét hàng năm.

Tần suất thực hiện phép đo

Hàng năm.

B.7. Đo lường biện pháp quản lý truy nhập vật lý

Thông tin chung của phép đo

Tên phép đo

...

...

...

Số hiệu

Tùy theo tổ chức.

Mục đích

Cho biết sự tồn tại, mức độ và chất lượng của hệ thống quản lý truy nhập.

Mục tiêu biện pháp quản lý

Biện pháp quản lý A.9.1 [TCVN ISO/IEC 27001:2009]. Các khu vực an toàn.

Nhằm ngăn chặn sự truy cập vật lý trái phép, làm hư hại và cản trở thông tin và tải sản của tổ chức.

Biện pháp quản lý (1)

Biện pháp quản lý A.9.1.2 [TCVN ISO/IEC 27001:2009]. Quản lý cổng truy cập vật lý.

...

...

...

Đối tượng đo lường và các thuộc tính

Đối tượng

Các khu vực an toàn.

Thuộc tính

Báo cáo quản lý danh tính cá nhân.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

Quản lý truy nhập vật lý bằng thẻ truy nhập.

Phương pháp đo

...

...

...

- Sử dụng hệ thống thẻ.

- Sử dụng mã PIN (Personal Identify Number - Mã định danh cá nhân).

- Chức năng truy nhập từ các lần trước (theo file log).

- Xác thực sinh trắc học.

Loại phương pháp đo

Chủ quan.

Thang đo

Có 6 mức từ 0 - 5:

0. Không có hệ thống biện pháp quản lý truy nhập.

...

...

...

2. Hệ thống biện pháp quản lý truy nhập sử dụng thẻ,

3. Sử dụng mã PIN và mã thẻ,

4. 3 + chức năng ghi nhớ truy cập các lần trước.

5. 4 + mã PIN, có thêm xác thực sinh trắc học (vân tay, nhận dạng giọng nói, quét võng mạc...).

Loại thang đo

Theo thứ tự.

Đơn vị đo

Không có.

Thông tin đặc tả về số đo dẫn xuất

...

...

...

Không có.

Hàm đo lường

Không có.

Thông tin đặc tả về chỉ báo

Chỉ báo

Thanh tiến trình. Màu đỏ: 0 đến 0,8; Màu xanh: giữa 0,8 và 1.

Mô hình phân tích

Các phân tích đánh giá.

Thông tin đặc tả về tiêu chí quyết định

...

...

...

Giá trị 3 trở lên: thỏa mãn.

Kết quả phép đo

Giải thích chỉ báo

Dưới giá trị 3: chưa thỏa mãn, cần có các nỗ lực hành động dựa trên mức độ của lỗ hổng an toàn thông tin.

Giá trị 3 trở lên: thỏa mãn, mỗi lớp có thể cho biết các vấn đề liên quan đến đánh giá.

Định dạng báo cáo đo

Đồ thị

Các bên liên quan

Người yêu cầu đo

...

...

...

Người soát xét phép đo

Kiểm toán nội bộ/ kiểm toán bên ngoài.

Người sở hữu thông tin

Người quản lý hạ tầng thông tin.

Bộ phận thu thập thông tin

Đánh giá viên nội bộ/ đánh giá viên bên ngoài.

Bộ phận trao đổi thông tin

Đánh giá viên nội bộ và Người quản lý an toàn thông tin.

Tần suất triển khai

...

...

...

Tần suất thu thập dữ liệu

Hàng năm.

Tần suất phân tích dữ liệu

Hàng năm.

Tần suất lập báo cáo các kết quả đo

Hàng năm.

Tần suất sửa đổi phép đo

12 tháng.

Tần suất thực hiện phép đo

...

...

...

B.8. Đo lường soát xét các file log

Thông tin chung của phép đo

Tên phép đo

Đo lường soát xét các file log

Số hiệu

Tùy theo tổ chức.

Mục đích

Đánh giá tình trạng tuân thủ việc thường xuyên soát xét các file log hệ thống thiết yếu.

Mục tiêu biện pháp quản lý

...

...

...

Nhằm phát hiện các hoạt động xử lý thông tin trái phép (đã lập kế hoạch)

Nhằm phát hiện các hoạt động xử lý thông tin trái phép của các hệ thống thiết yếu từ các file log hệ thống

Biện pháp quản lý (1)

Biện pháp quản lý A.10.10.2 [TCVN ISO/IEC 27001:2009] Giám sát việc sử dụng hệ thống.

Các thủ tục giám sát việc sử dụng các phương tiện xử lý thông tin cần được thiết lập và kết quả giám sát cần phải được xem xét thường xuyên.

Đối tượng đo lường và các thuộc tính

Đối tượng

Hệ thống.

Thuộc tính

...

...

...

Thông tin đặc tả về số đo cơ bản (1)

Số đo cơ bản

Số lượng file log.

Phương pháp đo

Tính tổng số các file log được liệt kê trong danh sách các file log soát xét.

Loại phương pháp đo

Khách quan.

Thang đo

Số nguyên từ 0 đến vô cùng.

...

...

...

Theo thứ tự.

Đơn vi đo

File log.

Thông tin đặc tả về số đo cơ bản (2)

Số đo cơ bản

Số lượng các file log đã soát xét.

Phương pháp đo

Tính tổng số các file log trên toàn bộ hệ thống thuộc phạm vi hệ thống ISMS.

Loại phương pháp đo

...

...

...

Thang đo

Số lượng.

Loại thang đo

Theo tỷ lệ.

Đơn vị đo

File log.

Thông tin đặc tả về số đo cơ bản (3)

Số đo cơ bản

Số của các hệ thống trong phạm vi hệ thống ISMS.

...

...

...

Số định danh của các file log đã soát xét.

Loại phương pháp đo

Khách quan.

Thang đo

Số lượng.

Loại thang đo

Theo tỷ lệ.

Đơn vị đo

File log.

...

...

...

Số đo dẫn xuất

Tỷ lệ phần trăm các file log đánh giá đã soát xét trong mỗi khoảng thời gian.

Hàm đo lường

(Số file log đã soát xét trong một thời gian cụ thể) / (tổng số file log)* 100.

Thông tin đặc tả về chỉ báo

Chỉ báo

Đồ thị đường của xu hướng qua các khoảng thời gian theo tỷ lệ soát xét các file log kiểm tra.

Mô hình phân tích

Xu hướng mong muốn là tăng tới 100%.

...

...

...

Tiêu chí quyết định

Khi kết quả dưới 20%, cần thiết kiểm tra nguyên nhân gây ra hiệu suất kém.

Kết quả phép đo

Giải thích chỉ báo

Giá trị thấp hơn giá trị xác định của tổ chức: không đạt yêu cầu. Cần thiết có hành động quản lý dựa trên lỗ hổng an toàn thông tin.

Giá trị trên giá trị xác định của tổ chức có thể chỉ báo việc đầu tư quá mức ngoại trừ việc những cơ chế quản lý truy nhập này là cần thiết cho mỗi đánh giá rủi ro.

Định dạng báo cáo đo

Đồ thị đường mô tả xu hướng, với tóm tắt các kết quả và đề xuất các hành động quản lý.

...

...

...

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Người quản lý an toàn thông tin.

Người soát xét phép đo

Người quản lý an toàn thông tin

Người sở hữu thông tin

Người quản lý an toàn thông tin

Bộ phận thu thập thông tin

Nhân viên an toàn thông tin.

Bộ phận trao đổi thông tin

...

...

...

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng tháng.

Tần suất phân tích dữ liệu

Hàng tháng.

Tần suất lập báo cáo các kết quả đo

Hàng quý.

Tần suất sửa đổi phép đo

...

...

...

Tần suất thực hiện phép đo

2 năm/lần.

B.9. Đo lường quản lý bảo trì ISMS thường xuyên

Thông tin chung của phép đo

Tên phép đo

Đo lường quản lý bảo trì ISMS thường xuyên

Số hiệu

Tùy theo tổ chức.

Mục đích

...

...

...

Mục tiêu biện pháp quản lý

Biện pháp quản lý A.9.2 [TCVN ISO/IEC 27001:2009] Đảm bảo an toàn trang thiết bị.

Nhằm ngăn ngừa sự mất mát, hư hại đánh cắp hoặc gây hại tài sản và sự gián đoạn hoạt động của tổ chức.

(đã lập kế hoạch)

Nhằm ngăn ngừa sự mất mát, hư hại đánh cắp hoặc gây hại tài sản và sự gián đoạn hoạt động của tổ chức thông qua bảo trì hệ thống thường xuyên.

Biện pháp quản lý (1)

Biện pháp quản lý A.9.2.4 [TCVN ISO/IEC 27001:2009] Duy trì thiết bị. Các thiết bị cần được duy trì một cách thích hợp nhằm đảm bảo luôn sẵn sàng và toàn vẹn.

Đối tượng đo lường và các thuộc tính

Đối tượng

...

...

...

2. Các bản ghi bảo trì hệ thống.

Thuộc tính

1. Ngày kế hoạch/ dự kiến bảo trì hệ thống.

2. Ngày hoàn thành bảo trì hệ thống.

Thông tin đặc tả về số đo cơ bản

Số đo cơ bản

1. Ngày dự kiến bảo trì hệ thống.

2. Ngày hoàn thành bảo trì hệ thống,

3. Số lần bảo trì hệ thống đã lên kế hoạch.

...

...

...

Phương pháp đo

1. Trích ngày dự kiến bảo trì hệ thống trong kế hoạch.

2. Trích ngày hoàn thành bảo trì hệ thống từ bản ghi.

3. Đếm số lần bảo trì hệ thống đã lên kế hoạch trong bản kế hoạch bảo trì hệ thống.

4. Đếm số lượng bản ghi bảo trì hệ thống.

Loại phương pháp đo

Khách quan.

Thang đo

1. Thời gian.

...

...

...

3. Số nguyên từ 0 đến vô cùng.

4. Số nguyên từ 0 đến vô cùng.

Loại thang đo

1. Danh sách.

2. Danh sách.

3. Theo thứ tự.

4. Theo thứ tự.

Đơn vị đo

1. Khoảng thời gian.

...

...

...

3. Sự kiện bảo trì.

4. Sự kiện bảo trì.

Thông tin đặc tả về số đo dẫn xuất

Số đo dẫn xuất

Mức độ trễ đối với mỗi sự kiện bảo trì hoàn thành.

Hàm đo lường

Với mỗi sự kiện bảo trì hoàn thành: là hiệu [Ngày bảo trì theo dự kiến] - [Ngày bảo trì thực tế].

Thông tin đặc tả về chỉ báo

Chỉ báo

...

...

...

2. Tỷ lệ các sự kiện bảo trì hoàn thành.

3. Xu hướng của mức độ trễ bảo trì trung bình.

4. Xu hướng của tỷ lệ các sự kiện bảo trì hoàn thành.

Mô hình phân tích

1. Là tỷ số [tổng của (Mức độ trễ đối với mỗi sự kiện bảo trì hoàn thành)] / [Số lượng sự kiện bảo trì đã hoàn thành].

2. Là tỷ số [Số lượng sự kiện bảo trì đã hoàn thành] / [Số lượng sự kiện bảo trì đã lên kế hoạch].

3. So sánh chỉ báo 1 với các báo cáo đo tần suất trước.

4. So sánh chỉ báo 2 với các báo cáo đo tần suất trước.

Thông tin đặc tả về tiêu chí quyết định

...

...

...

1. Tùy theo tổ chức, ví dụ: nếu mức độ trễ trung bình thường quá 3 ngày, cần thiết kiểm tra nguyên nhân.

2. Tỷ lệ các sự kiện bảo trì hoàn thành cần lớn hơn 0,9.

3. Xu hướng cần ổn định hoặc gần với 0.

4. Xu hướng cần ổn định hoặc có chiều hướng đi lên.

Kết quả phép đo

Giải thích chỉ báo

Các chỉ số giúp đánh giá chất lượng tiến trình bảo trì hệ thống thiết bị.

Định dạng báo cáo đo

Biểu đồ dạng đường

...

...

...

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Người quản lý an toàn thông tin.

Người soát xét phép đo

Người quản lý an toàn thông tin.

Người sở hữu thông tin

Người quản trị hệ thống.

Bộ phận thu thập thông tin

Nhân viên an toàn thông tin.

Bộ phận trao đổi thông tin

...

...

...

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng năm.

Tần suất phân tích dữ liệu

Hàng năm.

Tần suất lập báo cáo các kết quả đo

Hàng năm.

Tần suất sửa đổi phép đo

Hàng năm.

...

...

...

Hàng năm.

B.10. An toàn trong các thỏa thuận với bên thứ ba

Thông tin chung của phép đo

Tên phép đo

An toàn trong các thỏa thuận với bên thứ ba

Số hiệu

Tùy theo tổ chức.

Mục đích

...

...

...

Biện pháp quản lý A.6.2 [TCVN ISO/IEC 27001:2009] Các bên tham gia bên ngoài.

Nhằm duy trì an toàn đối với thông tin và các phương tiện xử lý thông tin của tổ chức được truy cập, xử lý, truyền thông, hoặc quản lý bởi các bên tham gia bên ngoài tổ chức.

Biện pháp quản lý (1)

Biện pháp quản lý A.6.2.3 [TCVN ISO/IEC 27001:2009] Giải quyết an toàn trong các thỏa thuận với bên thứ ba.

Các thỏa thuận với bên thứ ba liên quan đến truy cập, xử lý, truyền thông hoặc quản lý thông tin hay phương tiện xử lý thông tin của tổ chức hoặc các sản phẩm dịch vụ phụ trợ của các phương tiện xử lý thông tin phải bao hàm tất cả các yêu cầu an toàn liên quan.

Đối tượng đo lường và các thuộc tính

Đối tượng

Các thỏa thuận an toàn thông tin với bên thứ ba.

Thuộc tính

...

...

...

Thông tin đặc tả về số đo cơ bản (1)

Số đo cơ bản

Số lượng các thỏa thuận với bên thứ ba.

Phương pháp đo

Soát xét, đếm số lượng các thỏa thuận với bên thứ ba.

Loại phương pháp đo

Khách quan.

Thang đo

Số nguyên từ 0 đến vô cùng.

...

...

...

Theo thứ tự.

Đơn vi đo

Thỏa thuận với bên thứ ba.

Thông tin đặc tả về số đo cơ bản (2)

Số đo cơ bản

Một số chuẩn các yêu cầu về an toàn thông tin với bên thứ ba.

Phương pháp đo

Xác định số lượng các yêu cầu về an toàn thông tin phải được chỉ ra trong mỗi thỏa thuận với đối tác (căn cứ vào chính sách an toàn thông tin của tổ chức).

Loại phương pháp đo

...

...

...

Thang đo

Số nguyên từ 0 đến vô cùng.

Loại thang đo

Theo thứ tư.

Đơn vi đo

Số yêu cầu

Thông tin đặc tả về số đo cơ bản (3)

Số đo cơ bản

Số lượng các yêu cầu về an toàn thông tin được đề cập đến trong mỗi thỏa thuận với bên thứ ba.

...

...

...

Soát xét, đếm số lượng các yêu cầu về an toàn thông tin được đề cập đến trong mỗi thỏa thuận với bên thứ ba.

Loại phương pháp đo

Khách quan.

Thang đo

Số nguyên từ 0 đến vô cùng.

Loại thang đo

Theo thứ tự.

Đơn vi đo

Số yêu cầu.

...

...

...

Số đo dẫn xuất

Tỷ lệ phần trăm trung bình các yêu cầu hợp lý về an toàn thông tin được đề cập đến trong thỏa thuận với bên thứ ba.

Hàm đo lường

Tổng của (với mỗi thỏa thuận (Số các yêu cầu cần thiết - số lượng các yêu cầu đề cập đến)) / số lượng các thỏa thuận.

Thông tin đặc tả về chỉ báo

Chỉ báo

Tỷ lệ trung bình về sai khác giữa số các yêu cầu hợp lý và số yêu cầu đề cập đến.

Xu hướng của tỷ lệ.

Mô hình phân tích

...

...

...

So sánh chỉ báo 1) với báo cáo đo trước đó.

Thông tin đặc tả về tiêu chí quyết định

Tiêu chí quyết định

1. Chỉ báo 1) nên lớn hơn 0,9.

2. Chỉ báo 2) nên có xu hướng ổn định hoặc đi lên.

Kết quả phép đo

Giải thích chỉ báo

Chỉ báo này cung cấp cái nhìn sâu vào khả năng chuyển giao chức năng triển khai cho bên thứ ba để giải quyết các yêu cầu an toàn.

Định dạng báo cáo đo

...

...

...

Các bên liên quan

Người yêu cầu đo

Người quản lý chịu trách nhiệm đối với hệ thống ISMS. Người quản lý an toàn thông tin.

Người soát xét phép đo

Người quản lý an toàn thông tin.

Người sở hữu thông tin

Phòng quản trị hợp đồng.

Bộ phận thu thập thông tin

Nhân viên toàn thông tin.

...

...

...

Nhân viên an toàn thông tin.

Tần suất triển khai

Tần suất thu thập dữ liệu

Hàng tháng.

Tần suất phân tích dữ liệu

Hàng quý.

Tần suất lập báo cáo các kết quả đo

Hàng quý.

Tần suất sửa đổi phép đo

...

...

...

Tần suất thực hiện phép đo

Áp dụng trong 2 năm.

Thư mục tài liệu tham khảo

[1] ISO 9000:2005, Quality management systems - Fundamentals and vocabulary;

[2] ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management;

[3] ISO/IEC 15504-3:2004, Information technology - Process assessment - Part 3: Guidance on performing an assessment;

[4] ISO/IEC 15939:2007, Systems and software engineering - Measurement process

[5] ISO/IEC 27005:2008, Information technology - Security techniques - information security risk management;

...

...

...

[7] ISO Guide 99:2007, International vocabulary of metrology - Basic and general concepts and associated terms (VIM);

[8] NIST Speciai Publication 800-55, Revision 1, Performance Measurement Guide for lnformation Security, July 2008;

[9] ISO/IEC TR 18044:2004, lnformation technology - Security techniques - lnformation security incident management;

[10] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu.

MỤC LỤC

Lời nói đầu

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

...

...

...

4. Cấu trúc tiêu chuẩn 

5. Tổng quan về đo lường an toàn thông tin

5.1. Các mục tiêu của đo lường an toàn thông tin

5.2. Chương trình đo lường an toàn thông tin

5.3. Các yếu tố giúp thành công

5.4. Mô hình đo lường an toàn thông tin

6. Trách nhiệm của ban quản lý

6.1. Giới thiệu chung

6.2. Quản lý nguồn lực

...

...

...

7. Phát triển các số đo và phép đo

7.1. Giới thiệu chung

7.2. Xác định phạm vi đo lường

7.3. Xác định nhu cầu thông tin

7.4. Lựa chọn đối tượng và thuộc tính   

7.5. Phát triển cấu trúc phép đo

7.5.1. Giới thiệu chung

7.5.2. Lựa chọn số đo

7.5.3. Phương pháp đo

...

...

...

7.5.5. Mô hình phân tích