Tiêu chuẩn quốc gia TCVN ISO/IEC 27006:2017 về Công nghệ thông tin - Các kỹ thuật an toàn

A.2  Xem xét về năng lực chung

Có một vài cách để chuyên gia đánh giá có thể chứng minh kiến thức và kinh nghiệm của họ. Kiến thức và kinh nghiệm có thể được đánh giá, ví dụ bằng cách sử dụng bằng cấp đã được công nhận. Hồ sơ đăng ký theo chương trình chứng nhận hành nghề cũng có thể được sử dụng để đánh giá kiến thức và kinh nghiệm cần thiết. Mức năng lực yêu cầu cho đoàn đánh giá cần được thiết lập tương ứng với ngành nghề/lĩnh vực công nghệ của tổ chức và tính phức tạp của ISMS của họ.

A.3  Xem xét về kiến thức và kinh nghiệm cụ thể

A.3.1  Kiến thức đặc thù liên quan đến ISMS

Bên cạnh các yêu cầu trong 7.1.2, cần xem xét các yêu cầu sau. Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các chủ đề đánh giá và ISMS sau:

- chương trình và kế hoạch đánh giá;

- loại hình và các phương pháp luận đánh giá;

- rủi ro đánh giá;

- phân tích các quy trình an toàn thông tin;

...

...

...

- đánh giá nội bộ đối với an toàn thông tin.

Các chuyên gia đánh giá cần có kiến thức và hiểu biết về các yêu cầu chế định sau đây:

- sở hữu trí tuệ;

- nội dung, bảo vệ và duy trì các hồ sơ tổ chức;

- bảo vệ dữ liệu và sự riêng tư;

- quy định về kiểm soát mã hóa;

- thương mại điện tử;

- chữ ký số và điện tử;

- giám sát môi trường làm việc;

...

...

...

- lạm dụng máy tính;

- thu thập bằng chứng điện tử;

- kiểm thử thâm nhập;

- các yêu cầu quốc tế và quốc gia đối với ngành nghề cụ thể (ví dụ, ngân hàng).

Phụ lục B

(Quy định)

Thời gian đánh giá

B.1  Giới thiệu

...

...

...

Tổ chức chứng nhận phải xác định lượng thời gian đánh giá được dành cho chứng nhận lần đầu, giám sát và chứng nhận lại cho mỗi khách hàng và ISMS được chứng nhận. Sử dụng phụ lục này ở giai đoạn hoạch định đánh giá sẽ có một cách tiếp cận phù hợp để xác định thời gian đánh giá thích hợp. Ngoài ra, thời gian đánh giá có thể được điều chỉnh dựa trên những điều được phát hiện trong quá trình đánh giá, đặc biệt là trong giai đoạn 1 (ví dụ, đánh giá khác về tính phức tạp của phạm vi ISMS, hoặc các địa điểm được bổ sung vào phạm vi).

Phụ lục này đưa ra:

- các khái niệm được sử dụng để tính toán thời gian đánh giá (B.2);

- các yêu cầu về thủ tục để xác định thời gian đánh giá ở các giai đoạn đánh giá khác nhau (B.3 đến B.5);

- các yêu cầu liên quan đến đánh giá đa điểm (B.6).

Các ví dụ về tính toán thời gian đánh giá thể hiện cách sử dụng phụ lục B có thể tìm thấy trong Phụ lục C.

Giả thiết cơ bản của phương pháp tiếp cận này là phương thức tính toán xác định thời gian đánh giá cần:

a) chỉ xem xét các thuộc tính đã được chứng minh mà có thể đã được xác định;

b) đủ dễ dàng để được các tổ chức chứng nhận áp dụng hiệu quả;

...

...

...

Việc xác định thời gian đánh giá được dựa trên các số liệu cung cấp trong Bảng B.1 (“Bảng thời gian đánh giá”) dưới đây và phải cân nhắc các yếu tố đóng góp để điều chỉnh.

B.2  Khái niệm

B.2.1  Số lượng người làm việc dưới sự kiểm soát của tổ chức

Tổng số người đang làm việc dưới sự kiểm soát của tổ chức cho tất các các ca là điểm khởi đầu để xác định thời gian đánh giá.

CHÚ THÍCH: Thuật ngữ "Người làm việc dưới sự kiểm soát của tổ chức" được gọi tắt là nhân viên trong TCVN ISO/IEC 17021-1.

Những người làm việc bán thời gian dưới sự kiểm soát của tổ chức cũng đóng góp vào số lượng người làm việc dưới sự kiểm soát của tổ chức tương ứng với số giờ họ làm việc so với người làm việc toàn thời gian dưới sự kiểm soát của tổ chức. Việc xác định này sẽ phụ thuộc vào số giờ làm việc so với nhân viên làm việc toàn thời gian.

B.2.2  Ngày đánh giá

“Thời gian đánh giá” trong bảng B.1 được phát biểu là “Số ngày đánh giá” sử dụng cho cuộc đánh giá. Đơn vị tính trong phụ lục B là ngày làm việc 8 giờ.

B.2.3  Địa điểm tạm thời

...

...

...

Thông tin về việc lấy mẫu chung xem tại 9.1.5.1.

B.3  Thủ tục xác định thời gian đánh giá cho đánh giá lần đầu

B.3.1  Tổng quan

Việc tính toán thời gian đánh giá phải thực hiện theo thủ tục được lập tài liệu.

B.3.2  Đánh giá từ xa

Nếu các kỹ thuật đánh giá từ xa như hợp tác dựa trên web tương tác, hội nghị qua web, hội nghị từ xa và/hoặc xác minh điện tử các quá trình của tổ chức được sử dụng để giao tiếp với tổ chức thì các hoạt động này cần được xác định trong kế hoạch đánh giá (xem 9.3.2), và có thể được coi là một phần đóng góp vào tổng “thời gian đánh giá tại chỗ”

Nếu tổ chức chứng nhận có kế hoạch đánh giá mà ở đó các hoạt động đánh giá từ xa chiếm hơn 30% thời gian đánh giá tại chỗ được hoạch định thì tổ chức chứng nhận phải giải trình kế hoạch đánh giá và được sự chấp thuận từ tổ chức công nhận trước khi thực thi.

CHÚ THÍCH  Thời gian đánh giá tại chỗ là thời gian đánh giá tại chỗ được hoạch định cho các vị trí riêng biệt. Các cuộc đánh giá bằng phương điện tử cho các vị trí từ xa được coi là đánh giá từ xa, ngay cả khi đánh giá điện tử trên thực tế được thực hiện ở trụ sở của khách hàng.

B.3.3  Tính toán thời gian đánh giá

...

...

...

Bảng thời gian đánh giá dưới đây đưa ra mức khung phải được sử dụng để hoạch định đánh giá bằng cách xác định một mức khởi điểm dựa trên tổng số người làm việc dưới sự kiểm soát của tổ chức ở tất cả các ca và điều chỉnh mức này dựa trên các yếu tố quan trọng áp dụng cho phạm vi ISMS cần được đánh giá và đưa vào từng yếu tố trong số thêm hoặc bớt để điều chỉnh. Bảng thời gian đánh giá phải được sử dụng, trong đó có xem xét các yếu tố đóng góp và giới hạn độ lệch tối đa (xem B.3.4 và B.3.5 ở dưới). Các thuật ngữ được sử dụng trong bảng này được giải thích trong B.2 ở trên và Phụ lục C đưa ra các ví dụ về cách thức có thể được thực hiện.

Bảng B.1 - Bảng thời gian đánh giá

Số lượng người làm việc dưới sự kiểm soát của tổ chức

Thời gian đánh giá QMS cho đánh giá lần đầu (số ngày đánh giá)

Thời gian đánh giá EMS cho đánh giá lần đầu (số ngày đánh giá)

Thời gian đánh giá ISMS cho đánh giá lần đầu (số ngày đánh giá)

Các yếu tố thêm hoặc bớt

Tổng thời gian đánh giá

1 ~ 10

...

...

...

2,5 - 3

5

Xem B.3.4

11 ~ 15

2,5

3,5

6

Xem B.3.4

...

...

...

16 ~ 25

3

4,5

7

Xem B.3.4

26 ~ 45

4

5,5

...

...

...

Xem B.3.4

46 ~ 65

5

6

10

Xem B.3.4

66 ~ 85

...

...

...

7

11

Xem B.3.4

86 ~ 125

7

8

12

Xem B.3.4

...

...

...

126 ~ 175

8

9

13

Xem B.3.4

176 ~ 275

9

10

...

...

...

Xem B.3.4

276 ~ 425

10

11

15

Xem B.3.4

426 ~ 625

...

...

...

12

16,5

Xem B.3.4

626 ~ 875

12

13

17,5

Xem B.3.4

...

...

...

876 ~ 1175

13

15

18,5

Xem B.3.4

1176 ~ 1550

14

16

...

...

...

Xem B.3.4

1551 ~ 2125

15

17

21

Xem B.3.4

2026 ~ 2675

...

...

...

18

22

Xem B.3.4

2676 ~ 3450

17

19

23

Xem B.3.4

...

...

...

3451 ~ 4350

18

20

24

Xem B.3.4

4351 ~ 5450

19

21

...

...

...

Xem B.3.4

5451 ~ 6800

20

23

26

Xem B.3.4

6801 ~ 8500

...

...

...

25

27

Xem B.3.4

8501 ~ 10700

22

27

28

Xem B.3.4

...

...

...

> 10700

Tiếp tục như trên

Tiếp tục như trên

Tiếp tục như trên

Xem B.3.4

B.3.4  Các yếu tố điều chỉnh thời gian đánh giá

Không được chỉ sử dụng bảng thời gian đánh giá. Khi phân bổ thời gian, phải xem xét các yếu tố dưới đây liên quan tới sự phức tạp của ISMS và do vậy cả sự nỗ lực cần để thực hiện đánh giá ISMS:

a) sự phức tạp của ISMS (ví dụ, tầm quan trọng của thông tin, trạng thái rủi ro của ISMS,...):

...

...

...

c) kết quả thực hiện đã được chứng minh từ trước của ISMS;

d) mức độ và tính đa dạng của công nghệ được dùng trong việc triển khai các thành phần khác nhau của ISMS (ví dụ, số lượng nền tảng IT khác nhau, số lượng mạng tách biệt);

e) mức độ thuê ngoài và các thỏa thuận bên thứ ba sử dụng trong phạm vi của ISMS;

f) mức độ phát triển hệ thống thông tin;

g) số lượng địa điểm và số lượng địa điểm khôi phục dữ liệu sau thảm họa (DR);

h) đối với đánh giá giám sát hoặc chứng nhận lại: lượng và mức độ thay đổi liên quan đến ISMS theo 8.5.3 của TCVN ISO/IEC 17021-1.

Phụ lục C đưa ra các ví dụ về cách thức xem xét những yếu tố khác nhau này khi tính toán thời gian đánh giá.

Dưới đây là các yếu tố tham khảo bổ sung cho phép tăng thời gian đánh giá:

- dịch vụ logictics phức tạp qua nhiều hơn một tòa nhà hoặc vị trí trong phạm vi ISMS;

...

...

...

- các hoạt động có yêu cầu tới thăm các địa điểm tạm thời để xác nhận các hoạt động của (các) địa điểm cố định có hệ thống quản lý là đối tượng chứng nhận (xem đoạn dưới danh sách tiếp theo);

- số lượng lớn các tiêu chuẩn và văn bản quy định áp dụng cho ISMS.

Dưới đây là các yếu tố tham khảo cho phép giảm thời gian đánh giá có thể:

- các sản phẩm/quy trình không có/ít rủi ro;

- các quy trình liên quan đến một hoạt động chung duy nhất (ví dụ, chỉ có dịch vụ);

- tỷ lệ phần trăm cao những người làm việc dưới sự kiểm soát của tổ chức thực hiện cùng nhiệm vụ;

- biết trước về tổ chức (ví dụ, nếu khách hàng đã được chứng nhận theo một tiêu chuẩn khác bởi cùng tổ chức chứng nhận);

- khách hàng đã rất sẵn sàng cho việc chứng nhận (ví dụ, đã được chứng nhận hoặc công nhận bởi một chương trình của bên thứ 3 khác);

- tính hoàn thiện cao của hệ thống quản lý hiện hành.

...

...

...

Các yếu tố trên phải được xem xét và có những điều chỉnh cho những yếu tố này để có được thời gian đánh giá nhiều hơn hoặc ít hơn cho một cuộc đánh giá hiệu quả. Các yếu tố làm tăng có thể bù lại các yếu tố làm giảm. Trong tất cả các trường hợp có sự điều chỉnh so với thời gian được cho trong bảng thời gian đánh giá, bằng chứng đầy đủ và các hồ sơ phải được duy trì để chứng minh cho sự thay đổi.

B.3.5  Giới hạn độ chênh lệch thời gian đánh giá

Để đảm bảo các cuộc đánh giá hiệu quả sẽ được thực hiện và đảm bảo có kết quả tin cậy và có thể so sánh thì không được giảm quá 30% thời gian đánh giá được đưa ra trong bảng thời gian đánh giá.

Lý do phù hợp cho sự chênh lệch phải được đưa ra và được ghi lại.

B.3.6  Thời gian đánh giá tại chỗ

Người ta kỳ vọng rằng thời gian tính cho việc hoạch định và viết báo cáo thường không làm giảm tổng “thời gian đánh giá” tại chỗ xuống thấp hơn 70% thời gian cho trong bảng thời gian đánh giá. Trường hợp cần thêm thời gian yêu cầu để hoạch định và/hoặc viết báo cáo thì điều này không được làm giảm thời gian đánh giá tại chỗ. Thời gian chuyên gia đánh giá đi lại không được đưa vào tính toán này và được bổ sung vào thời gian đánh giá tham chiếu trong bảng thời gian đánh giá.

CHÚ THÍCH  70% là một con số dựa trên kinh nghiệm của các chuyên gia đánh giá ISMS.

B.4  Thời gian đánh giá đối với đánh giá giám sát

Đối với chu kỳ đánh giá chứng nhận lần đầu, thời gian giám sát đối với một tổ chức cụ thể phải tỷ lệ với thời gian sử dụng tại đánh giá lần đầu với tổng số thời gian sử dụng hàng năm cho giám sát là khoảng 1/3 thời gian sử dụng cho đánh giá lần đầu. Thời gian giám sát theo kế hoạch cần được xem xét ở những thời điểm khác nhau nhằm tính đến cả những thay đổi ảnh hưởng đến thời gian giám sát. Thời gian dành cho một cuộc giám sát đánh giá phải được tăng lên để cho phép đánh giá cả những thay đổi của ISMS (chẳng hạn như đánh giá các biện pháp kiểm soát mới hoặc đã thay đổi).

...

...

...

Tổng thời gian dành để thực hiện đánh giá chứng nhận lại phải phụ thuộc vào kết quả của mọi cuộc đánh giá trước đó như đã xác định trong 9.4.3 của tiêu chuẩn này và 9.6.3 của tiêu chuẩn TCVN ISO/IEC 17021-1. Lượng thời gian dành cho đánh giá chứng nhận lại cần tỷ lệ với thời gian đã sử dụng cho đánh giá chứng nhận lần đầu của tổ chức và ít nhất bằng 2/3 thời gian được yêu cầu cho đánh giá chứng nhận lần đầu của tổ chức tại thời điểm được đánh giá để chứng nhận lại.

B.6  Thời gian đánh giá đối với đánh giá đa điểm

Số ngày đánh giá cho mỗi địa điểm, bao gồm cả trụ sở chính, phải được tính toán đối với mỗi địa điểm.

Có thể giảm bớt thời gian đánh giá cho các thành phần đánh giá không liên quan đến trụ sở chính hoặc các địa điểm nội bộ. Lý do lý giải cho sự cắt giảm này phải được tổ chức chứng nhận ghi vào hồ sơ.

Phụ lục C

(Tham khảo)

Các phương pháp tính toán thời gian đánh giá

C.1  Tổng quan

...

...

...

C.2  Phân loại các yếu tố để tính toán thời gian đánh giá

Bảng C.1 đưa ra các ví dụ về phân loại các yếu tố chính đối với tính toán thời gian đánh giá, như đã liệt kê trong B.3.4 a) đến h). Việc phân loại này có thể được sử dụng bởi các tổ chức chứng nhận để có được một chương trình tính toán thời gian đánh giá phù hợp với 9.1.4.1:

Bảng C.1 - Phân loại các yếu tố để tính toán thời gian đánh giá

Tác động đến sự nỗ lực

Nỗ lực giảm nhẹ

Nỗ lực bình thường

Nỗ lực tăng

Yếu tố (xem B.3.4)

...

...

...

a) độ phức tạp của ISMS:

• các yêu cầu an toàn thông tin [(tính bí mật, toàn vẹn và sẵn sàng, (CIA)]

• số lượng tài sản quan trọng.

• số lượng quy trình và dịch vụ.

• Chỉ các thông tin ít nhạy cảm và bí mật, các yêu cầu tính sẵn sàng thấp.

• Một số ít tài sản quan trọng (dạng tài sản CIA)

• Chỉ một quy trình nghiệp vụ chính có ít điểm tương giao và ít đơn vị nghiệp vụ liên quan.

• Các yêu cầu tính sẵn sàng cao hơn hoặc một vài thông tin nhạy cảm/bí mật

• Một vài tài sản quan trọng

...

...

...

• Số lượng lớn các thông tin nhạy cảm hoặc bí mật (ví dụ, sức khỏe, thông tin định danh cá nhân, bảo hiểm, ngân hàng) hoặc các yêu cầu độ sẵn sàng cao.

• Nhiều tài sản quan trọng

• Nhiều hơn 2 quy trình phức tạp có nhiều điểm tương giao và các đơn vị nghiệp vụ liên quan.

b) (các) loại hình nghiệp vụ được thực hiện trong phạm vi của ISMS

• Nghiệp vụ rủi ro thấp không có yêu cầu chế định

• Các yêu cầu chế định cao

• Nghiệp vụ rủi ro cao có yêu cầu chế định (chỉ) giới hạn

c) Kết quả thực hiện đã được chứng minh trước đó của ISMS

• Đã được chứng nhận gần đây

...

...

...

• Đánh giá giám sát gần đây

• Chưa được chứng nhận nhưng ISMS được triển khai một phần: một số công cụ hệ thống quản lý đã sẵn sàng và được triển khai; một số quy trình cải tiến liên tục được thực hiện nhưng đã được lập tài liệu một phần

• Không có chứng nhận và không được đánh giá gần đây

• ISMS được thiết lập mới và không đầy đủ (ví dụ, thiếu cơ chế kiểm soát riêng cho hệ thống riêng quản lý, quy trình cải tiến liên tục còn non kém, thực hiện quá trình ad hoc

d) mức độ và sự đa dạng của công nghệ được sử dụng triển khai các phần khác nhau của ISMS (ví dụ, số lượng nền tảng IT khác nhau, số lượng các mạng lưới riêng)

• Môi trường chuẩn hóa cao có tính đa dạng thấp (một vài nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng,.v.v)

• Được chuẩn hóa nhưng có nhiều nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng.

• Tính đa dạng và phức tạp cao về IT (ví dụ, nhiều phần mạng khác nhau, nhiều loại máy chủ hoặc cơ sở dữ liệu, nhiều ứng dụng chính)

e) Mức độ thuê ngoài và các thỏa thuận với bên thứ 3 được sử dụng trong phạm vi của ISMS

...

...

...

• Các thỏa thuận thuê ngoài được xác định rõ ràng, được quản lý và giám sát

• Nhà thầu có ISMS đã được chứng nhận

• Các hồ sơ bảo hiểm độc lập liên quan đã sẵn sàng

• Một số thỏa thuận thuê ngoài được quản lý một phần

• Phụ thuộc nhiều vào thuê ngoài và các nhà cung cấp có ảnh hưởng lớn tới các hoạt động nghiệp vụ quan trọng, hoặc

• Thuê ngoài với số lượng và mức độ không xác định, hoặc

• Một số thỏa thuận thuê ngoài không được quản lý

f) Mức độ phát triển của hệ thống thông tin

• Không phát triển hệ thống trong nội bộ

...

...

...

• Sử dụng các nền tảng phần mềm chuẩn hóa với cấu hình/tham số phức tạp

• Phần mềm tùy chỉnh (cao)

• Một số hoạt động phát triển (nội bộ hoặc thuê ngoài)

• Các hoạt động phát triển phần mềm nội bộ mở rộng với một số dự án đang diễn ra cho mục đích nghiệp vụ quan trọng

g) số lượng địa điểm và số lượng địa điểm khôi phục dữ liệu sau thảm họa (DR)

• Các yêu cầu tính sẵn sàng thấp và không có hoặc chỉ có một địa điểm DR thay thế

• Các yêu cầu tính sẵn sàng ở mức trung bình hoặc cao và không có hoặc chỉ có một địa điểm DR thay thế

• Các yêu cầu tính sẵn sàng cao, ví dụ, các dịch vụ 24/7

• Một số địa điểm DR thay thế

...

...

...

h) đối với đánh giá giám sát hoặc chứng nhận lại: số lượng và mức độ thay đổi liên quan đến ISMS phù hợp với 8.5.3 của TCVN ISO/IEC 17021-1

• Không thay đổi kể từ lần đánh giá chứng nhận lại cuối cùng

• Các thay đổi nhỏ trong phạm vi hoặc SoA của ISMS, ví dụ, chính sách, tài liệu, v.v

• Các thay đổi nhỏ trong các yếu tố ở trên

• Các thay đổi lớn trong phạm vi hoặc SoA của ISMS, ví dụ, quy trình mới, đơn vị nghiệp vụ mới, khu vực, phương pháp luận quản lý đánh giá rủi ro, chính sách, tài liệu, xử lý rủi ro

• Các thay đổi lớn trong các yếu tố ở trên

C.3  Ví dụ về tính toán thời gian đánh giá

Ví dụ sau đây minh họa cách thức mà tổ chức chứng nhận có thể sử dụng các yếu tố được đưa ra trong B.3 để tính toán thời gian đánh giá. Việc tính toán thời gian đánh giá trong ví dụ dưới đây được thực hiện theo cách sau:

Bước 1: Xác định các yếu tố liên quan đến nghiệp vụ và tổ chức (trừ IT): Xác định cấp độ phù hợp cho từng hạng mục được đưa ra trong Bảng C.2 và tổng hợp các kết quả.

...

...

...

Bước 3: Dựa trên các kết quả của bước 1 và 2 ở trên, xác định tác động của các yếu tố lên thời gian đánh giá bằng việc lựa chọn mục thích hợp trong Bảng C.4.

Bước 4: Tính toán cuối cùng: số lượng ngày được xác định bằng cách áp dụng bảng thời gian đánh giá (Bảng B.1) nhân với yếu tố có được từ bước 3. Trường hợp lấy mẫu đa điểm được sử dụng thì số ngày đánh giá được tính toán sẽ tăng lên dựa trên sự nỗ lực cần để thực hiện kế hoạch lấy mẫu đa điểm.

Kết quả này là kết quả cuối cùng của số lượng ngày đánh giá.

Bảng C.2 - Các yếu tố liên quan đến nghiệp vụ và tổ chức (trừ IT)

Hạng mục

Cấp độ

(Các) loại hình nghiệp vụ và yêu cầu chế định

1. Tổ chức làm việc trong các ngành nghề nghiệp vụ không quan trọng và các ngành nghề không quy định^a

2. Tổ chức có khách hàng thuộc các ngành nghề nghiệp vụ quan trọng^a

...

...

...

Quy trình và công việc

1. Các quy trình chuẩn hóa với các công việc chuẩn hóa và có tính lặp: nhiều người đang làm việc dưới sự kiểm soát của tổ chức cùng thực hiện các công việc tương tự; một số sản phẩm hoặc dịch vụ.

2. Các quy trình chuẩn hóa nhưng không lặp lại, với số lượng lớn các sản phẩm hoặc dịch vụ

3. Các quy trình phức tạp, số lượng lớn các sản phẩm hoặc dịch vụ, nhiều đơn vị nghiệp vụ thuộc phạm vi chứng nhận (ISMS gồm các quy trình có độ phức tạp cao hoặc có số lượng hoạt động tương đối lớn hoặc duy nhất)

Mức thiết lập của MS

1. ISMS đã được thiết lập tốt và/hoặc có các hệ thống quản lý khác

2. Một số thành phần của các hệ thống quản lý khác được triển khai, ngoài ra thì không

3. Không có hệ thống quản lý nào khác được triển khai, ISMS là hoàn toàn mới và chưa được thiết lập

^a  Ngành nghề nghiệp vụ quan trọng là các ngành nghề có thể có ảnh hưởng đến các dịch vụ công quan trọng mà sẽ gây rủi ro cho sức khỏe, sự an ninh, nền kinh tế, hình ảnh và năng lực của chính phủ trong việc hoạt động mà có thể có tác động tiêu cực rất lớn đến quốc gia.

...

...

...

Hạng mục

Cấp độ

Độ phức tạp của cơ sở hạ tầng IT

1. Nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng,... Ít hoặc được chuẩn hóa cao

2. Một vài nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng khác nhau

3. Nhiều nền tảng IT, máy chủ, hệ điều hành, cơ sở dữ liệu, mạng khác nhau

Sự phụ thuộc vào thuê ngoài và nhà cung cấp, bao gồm cả các dịch vụ điện toán đám mây

1. Rất ít hoặc không phụ thuộc vào thuê ngoài hoặc nhà cung cấp

2. Phụ thuộc một chút vào thuê ngoài hoặc nhà cung cấp, liên quan đến một số nhưng không phải tất cả các hoạt động nghiệp vụ quan trọng

...

...

...

Phát triển hệ thống thông tin

1. Không hoặc rất hạn chế phát triển hệ thống/ứng dụng trong nội bộ

2. Một vài phát triển hệ thống/ứng dụng nội bộ hoặc thuê ngoài cho các mục đích nghiệp vụ quan trọng

3. Phát triển sâu rộng hệ thống/ứng dụng nội bộ hoặc thuê ngoài cho các mục đích nghiệp vụ quan trọng

Bảng C.4 - Tác động của các yếu tố lên thời gian đánh giá

Độ phức tạp của IT

Thấp (từ 3 đến 4)

Trung bình (từ 5 đến 6)

...

...

...

Độ phức tạp của nghiệp vụ

Cao (từ 7 đến 9)

+5% đến +20%

+10% đến +50%

+20% đến 100%

Trung bình (từ 5 đến 6)

-5% đến -10%

0%

+10% đến +50%

...

...

...

-10% đến -30%

-5% đến -10%

+5% đến -10%

VÍ DỤ 1  Tổ chức được đánh giá có 700 nhân viên, do đó theo Bảng B.1, sẽ cần 17,5 ngày để đánh giá lần đầu. Tổ chức không làm việc trong ngành nghề nghiệp vụ quan trọng, công việc được chuẩn hóa cao và có tính lặp, và ISMS vừa được thiết lập. Theo Bảng C.2, điều này sẽ làm phát sinh một yếu tố liên quan đến nghiệp vụ và tổ chức là 1 + 1 + 3 = 5. Tổ chức có rất ít nền tảng IT và cơ sở dữ liệu nhưng sử dụng thuê ngoài là chủ yếu. Tổ chức không phát triển hệ thống thông tin hoặc đã thuê ngoài. Theo Bảng C.3, điều này sẽ làm phát sinh một yếu tố liên quan đến môi trường IT là 1 + 3 + 1 = 5. Sử dụng Bảng C.4 cho thấy không cần điều chỉnh thời gian đánh giá.

VÍ DỤ 2  Tổ chức có đặc điểm tương tự như ví dụ trước ngoại trừ đã có một số hệ thống quản lý và ISMS đã được thiết lập tốt. Điều này sẽ làm thay đổi việc tính toán theo Bảng C.2 là 1 + 1 + 1 = 3. Theo Bảng C.4, sẽ phải giảm thời gian đánh giá từ 5% đến 10%, tức là thời gian đánh giá sẽ phải giảm từ 1 đến 1,5 ngày. Kết quả cuối cùng, tổng số ngày sẽ là 16 đến 16,5 ngày.

Phụ lục D

(Tham khảo)

Hướng dẫn xem xét các biện pháp kiểm soát đã được triển khai theo phụ lục A của ISO/IEC 27001:2013

...

...

...

Việc triển khai các biện pháp kiểm soát đã được khách hàng xác định là cần thiết cho ISMS (theo Thông báo áp dụng) cần được xem xét trong giai đoạn 2 của đánh giá lần đầu và trong các hoạt động giám sát và chứng nhận lại (xem 9.3.1.2.2 g).

Bằng chứng đánh giá mà tổ chức chứng nhận thu thập phải đầy đủ để đưa ra kết luận về tính hiệu quả của các biện pháp kiểm soát này. Cách thức mà một biện pháp kiểm soát được dự kiến thực hiện có thể được xác định trong các chính sách hoặc thủ tục của khách hàng.

D.1.1  Bằng chứng đánh giá

Bằng chứng đánh giá có chất lượng tốt nhất được thu thập từ việc quan sát của chuyên gia đánh giá (ví dụ, thấy rằng một cửa có khóa đã được khóa, người ta ký các thỏa thuận về bảo mật, có sổ đăng ký tài sản và trong sổ có tên các tài sản quan sát thấy, các thiết lập hệ thống là phù hợp,...). Bằng chứng có thể được thu thập từ việc nhìn thấy các kết quả về kết quả thực hiện của một biện pháp kiểm soát (ví dụ, các bản in của quyền truy cập được cấp được ký bởi người có thẩm quyền phù hợp, các hồ sơ giải quyết sự cố, các thẩm quyền xử lý được ký bởi người có thẩm quyền phù hợp, biên bản các cuộc họp,...). Bằng chứng cũng có thể là kết quả của việc thử nghiệm trực tiếp (hoặc thực hiện lại) các biện pháp kiểm soát bởi chuyên gia đánh giá, ví dụ cố gắng thực hiện các nhiệm vụ được cho là bị cấm bởi các biện pháp kiểm soát, xác định xem phần mềm bảo vệ chống lại các mã độc đã được cài đặt và cập nhật trên các máy, quyền truy cập được cấp (sau khi kiểm tra quyền hạn),.... Bằng chứng có thể thu được bằng cách phỏng vấn những người làm việc dưới sự kiểm soát của tổ chức/các nhà thầu về các quy trình và biện pháp kiểm soát và xác định xem điều này có đúng với thực tế.

D.2  Cách sử dụng bảng D.1

D.2.1  Tổng quan

Bảng D.1 cung cấp hướng dẫn xem xét việc triển khai các biện pháp kiểm soát được liệt kê trong Phụ lục A của ISO/IEC 27001:2013, và thu thập bằng chứng đánh giá về kết quả thực hiện của chúng trong các cuộc đánh giá lần đầu và đánh giá tiếp theo. Bảng D.1 không nhằm mục đích đưa ra hướng dẫn xem xét các biện pháp kiểm soát khác nằm ngoài phụ lục A của ISO/IEC 27001:2013.

D.2.2  Cột "Biện pháp kiểm soát về tổ chức" và "Biện pháp kiểm soát kỹ thuật"

Dấu "X” trong cột tương ứng cho biết biện pháp kiểm soát về tổ chức hay kỹ thuật. Với một số biện pháp kiểm soát cả về tổ chức và kỹ thuật thì dấu “X” nằm trong cả hai cột.

...

...

...

D.2.3  Cột "Kiểm thử hệ thống"

"Kiểm thử hệ thống" có nghĩa là xem xét trực tiếp hệ thống thông tin (ví dụ, xem xét các cài đặt hoặc cấu hình hệ thống). Các câu hỏi của chuyên gia đánh giá có thể được trả lời tại phần điều khiển của hệ thống hoặc bằng cách đánh giá kết quả của các công cụ kiểm thử. Nếu chuyên gia đánh giá đã biết rằng khách hàng có sử dụng một công cụ cài trên máy tính thì điều này có thể được sử dụng để hỗ trợ cuộc đánh giá, hoặc các kết quả đánh giá thực hiện bởi chính khách hàng (hoặc các nhà thầu của họ) có thể được xem xét.

Trong bảng đưa ra hai dạng xem xét các biện pháp kiểm soát kỹ thuật:

- “có thể”: kiểm thử hệ thống có thể được thực hiện để đánh giá việc triển khai biện pháp kiểm soát, nhưng có thể không cần thiết trong đánh giá ISMS.

- “khuyến nghị”: kiểm thử hệ thống thường là cần thiết trong đánh giá ISMS.

CHÚ THÍCH: Trong phụ lục này, từ “hệ thống” có nghĩa là “hệ thống thông tin” trừ khi có chỉ dẫn khác.

D.2.4  Cột “Kiểm tra trực quan”

“Kiểm tra trực quan” có nghĩa là các biện pháp kiểm soát này thường yêu cầu kiểm tra bằng mắt ngay lập tức để đánh giá hiệu quả của chúng. Điều này có nghĩa là chưa đủ để phải xem xét các tài liệu tương ứng trên giấy hoặc thông qua các cuộc phỏng vấn; chuyên gia đánh giá cần xác minh ngay lập tức nếu chúng đã được triển khai.

D.2.5  Cột “hướng dẫn xem xét đánh giá”

...

...

...

Bảng D.1 - Phân loại các biện pháp kiểm soát

Biện pháp kiểm soát trong Phụ lục A của ISO/IEC 27001:2013

Biện pháp kiểm soát về tổ chức

Biện pháp kiểm soát về kỹ thuật

Kiểm thử hệ thống

Kiểm tra trực quan

Hướng dẫn xem xét đánh giá

A.5  Chính sách an toàn thông tin

...

...

...

A.5.1  Định hướng quản lý an toàn thông tin

...

...

...

X

A.5.1.2  Xem xét chính sách an toàn thông tin

X

...

...

...

A.6  Tổ chức an toàn thông tin

A.6.1  Tổ chức nội bộ

...

...

...

A.6.1.1  Vai trò và trách nhiệm an toàn thông tin

X

...

...

...

X

A.6.1.3  Liên hệ với cơ quan có thẩm quyền

X

...

...

...

A.1.6.4  Liên hệ với các nhóm quan tâm đặc biệt

X

A.1.6.5  An toàn thông tin trong quản lý dự án

X

...

...

...

A.6.2  Thiết bị di động và làm việc từ xa

...

...

...

X

X

có thể

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.6.2.2  Làm việc từ xa

X

X

có thể

...

...

...

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.7  An toàn nguồn nhân lực

A.7.1  Trước khi tuyển dụng

...

...

...

A.7.1.1  Sàng lọc

X

...

...

...

X

A.7.2  Trong thời gian làm việc

...

...

...

A.7.2.1  Trách nhiệm của lãnh đạo

X

A.7.2.2  Nhận thức, giáo dục và đào tạo về an toàn thông tin

X

...

...

...

Hỏi nhân viên xem họ có nhận thức được những điều cụ thể mà họ cần phải biết không

A.7.2.3  Xử lý kỷ luật

X

...

...

...

X

A.7.3.1  Trách nhiệm khi chấm dứt hoặc thay đổi công việc

X

...

...

...

A.8  Quản lý tài sản

A.8.1  Trách nhiệm đối với tài sản

X

...

...

...

A.8.1.1  Kiểm kê tài sản

X

Xác định tài sản

...

...

...

X

A.8.1.3  Sử dụng tài sản hợp lý

X

...

...

...

A.8.1.4  Trả lại tài sản

X

A.8.2  Phân loại thông tin

...

...

...

A.8.2.1  Các loại thông tin

X

Kiểm tra thêm việc triển khai chính sách, nếu có thể

...

...

...

X

Đặt tên: thư mục, tập tin, báo in, phương tiện ghi (băng, đĩa, CD), thông điệp điện tử và truyền tải tập tin

A.8.2.3  Xử lý tài sản

X

...

...

...

A.8.3  Xử lý phương tiện truyền thông

A.8.3.1  Quản lý các phương tiện di động

X

...

...

...

Có thể

A.8.3.2  Loại bỏ phương tiện truyền thông

X

X

Quy trình loại bỏ

...

...

...

X

Bảo vệ vật lý

A.9  Kiểm soát truy cập

...

...

...

A.9.1  Yêu cầu nghiệp vụ kiểm soát truy cập

A.9.1.1  Chính sách kiểm soát truy cập

X

...

...

...

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.9.1.2  Truy cập mạng và các dịch vụ mạng

X

Kiểm tra thêm việc triển khai chính sách, nếu có thể

...

...

...

A.9.2.1  Đăng ký và xóa đăng ký người dùng

X

...

...

...

A.9.2.2  Cung cấp truy cập người dùng

X

X

có thể

Lấy mẫu những người làm việc dưới sự kiểm soát của tổ chức/nhà thầu về cấp phép tất cả quyền truy cập vào tất cả các hệ thống

A.9.2.3  Quản lý đặc quyền truy cập

X

...

...

...

Có thể

chuyển trong nội bộ nhân viên

A.9.2.4  Quản lý thông tin xác thực bí mật của người dùng

X

...

...

...

X

X

Có thể

A.9.2.6  Loại bỏ hoặc điều chỉnh quyền truy cập

X

...

...

...

A.9.3  Trách nhiệm người dùng

A.9.3.1  Sử dụng thông tin xác thực bí mật

X

...

...

...

Xác minh các hướng dẫn/chính sách tại chỗ đối với người dùng

A.9.4  Kiểm soát truy cập hệ thống và ứng dụng

...

...

...

X

X

Khuyến nghị

A.9.4.2  Thủ tục đăng nhập an toàn

X

X

Khuyến nghị

...

...

...

A.9.4.3  Hệ thống quản lý mật khẩu

X

X

Khuyến nghị

A.9.4.4  Sử dụng các chương trình tiện ích được đặc quyền

X

...

...

...

Khuyến nghị

A.9.4.5  Kiểm soát truy cập tới mã nguồn chương trình

X

X

Khuyến nghị

...

...

...

A.10.1  Kiểm soát mật mã hóa

...

...

...

A.10.1.1  Chính sách về sử dụng kiểm soát mật mã

X

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.10.1.2  Quản lý khóa

X

...

...

...

Khuyến nghị

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.11  An toàn vật lý và môi trường

...

...

...

A.11.1.1  Vành đai an toàn vật lý

X

...

...

...

A.11.1.2  Kiểm soát cổng truy cập vật lý

X

X

có thể

X

Lưu trữ hồ sơ truy cập

A.11.1.3  Bảo vệ văn phòng, phòng làm việc và vật dụng

X

...

...

...

X

A.11.1.4  Bảo vệ chống lại các mối đe dọa từ bên ngoài và môi trường

X

X

...

...

...

X

X

A.11.1.6  Khu vực phân phối và chuyển hàng

X

...

...

...

A.11.2  Thiết bị

A.11.2.1  Bố trí và bảo vệ thiết bị

X

...

...

...

X

A.11.2.2  Tiện ích hỗ trợ

X

X

Có thể

X

...

...

...

X

X

A.11.2.4  Bảo dưỡng thiết bị

X

...

...

...

A.11.2.5  Di dời tài sản

X

Hồ sơ tài sản được di dời

A.11.2.6  An toàn cho thiết bị và tài sản khi ở bên ngoài

X

...

...

...

Có thể

Mã hóa thiết bị di động

A.11.2.7  An toàn khi loại bỏ hoặc tái sử dụng thiết bị

X

X

Có thể

X

Xóa ổ đĩa, mã hóa ổ đĩa

...

...

...

X

Kiểm tra các hướng dẫn/chính sách ngay tại chỗ đối với người sử dụng

A.11.2.9  Chính sách màn hình sạch và bàn làm việc sạch

X

...

...

...

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.12  An toàn vận hành

A.12.1  Quy trình và trách nhiệm vận hành

X

...

...

...

A.12.1.1  Quy trình vận hành được lập tài liệu

X

...

...

...

X

X

Khuyến nghị

A.12.1.3  Quản lý năng lực

X

X

Có thể

...

...

...

A.12.1.4  Phân tách môi trường phát triển, kiểm thử và vận hành

X

X

Có thể

A.12.2  Bảo vệ khỏi phần mềm độc hại

...

...

...

A.12.2.1  Kiểm soát phần mềm độc hại

X

X

Khuyến nghị

Cấu hình và tính hoàn thiện về phạm vi bảo vệ của phần mềm kiểm soát phần mềm độc hại

...

...

...

A.12.3.1  Sao lưu thông tin

X

X

Khuyến nghị

...

...

...

Xem xét chính sách, các kiểm thử khôi phục

A.12.4  Ghi nhật ký và giám sát

A.12.4.1  Ghi nhật ký sự kiện

X

...

...

...

Có thể

Lựa chọn rủi ro cơ bản của sự kiện đăng nhập

A.12.4.2  Bảo vệ thông tin nhật ký

X

X

Có thể

...

...

...

X

X

Có thể

A.12.4.4  Đồng bộ thời gian

X

Có thể

...

...

...

A.12.5  Kiểm soát phần mềm quản trị

A.12.5.1  Cài đặt phần mềm trên hệ điều hành

X

...

...

...

Có thể

A.12.6  Quản lý điểm yếu kỹ thuật

...

...

...

X

X

Khuyến nghị

Quản lý bản vá theo rủi ro và củng cố các hệ điều hành, cơ sở dữ liệu và ứng dụng

A.12.6.2  Hạn chế trong việc cài đặt phần mềm

X

X

Có thể

...

...

...

A.12.7  Xem xét việc đánh giá các hệ thống thông tin

A.12.7.1  Biện pháp kiểm soát đánh giá các hệ thống thông tin

X

...

...

...

A.13  An toàn trao đổi thông tin

...

...

...

A.13.1.1  Kiểm soát mạng

X

X

Có thể

...

...

...

Quản lý mạng

A.13.1.2  An toàn cho các dịch vụ mạng

X

X

Khuyến nghị

SLA, cung cấp an toàn thông tin cho các dịch vụ mạng (ví dụ, VPN, kiểm soát kết nối và định tuyến mạng, cấu hình của các thiết bị mạng)

A.13.1.3  Phân tách trên mạng

X

...

...

...

Có thể

Các sơ đồ mạng, phân đoạn mạng (ví dụ, DMZ) và sự phân tách (ví dụ, VLAN)

A.13.2  Chuyển giao thông tin

...

...

...

X

Kiểm tra thêm việc triển khai các chính sách, nếu có thể

A.13.2.2  Thỏa thuận về chuyển giao thông tin

X

...

...

...

A.13.2.3  Thông điệp điện tử

X

X

Có thể

Xác nhận các thông điệp mẫu có phù hợp với các chính sách và thủ tục không.

A.13.2.4  Thỏa thuận về bảo mật hoặc không tiết lộ

X

...

...

...

Xem xét hợp đồng

A.14  Tiếp nhận, phát triển và duy trì hệ thống thông tin

...

...

...

A.14.1.1  Phân tích và đặc tả các yêu cầu về an toàn

X

...

...

...

A.14.1.2  Đảm bảo an toàn cho các dịch vụ ứng dụng trên mạng công cộng

X

X

Khuyến nghị

Thiết kế của các dịch vụ ứng dụng theo rủi ro

A.14.1.3  Bảo vệ các giao dịch dịch vụ ứng dụng

X

...

...

...

Khuyến nghị

Tính bí mật, toàn vẹn, chống chối bỏ

A.14.2  Bảo đảm an toàn trong các quy trình hỗ trợ và phát triển

...

...

...

X

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.14.2.2  Thủ tục kiểm soát thay đổi hệ thống

X

X

Khuyến nghị

...

...

...

A.14.2.3  Xem xét kỹ thuật các ứng dụng sau khi thay đổi nền tảng điều hành

X

A.14.2.4.  Hạn chế thay đổi các gói phần mềm

X

...

...

...

A.14.2.5  Nguyên tắc kỹ thuật cho an toàn hệ thống

X

...

...

...

X

X

Có thể

A.14.2.7  Phát triển hệ thống thuê ngoài

X

...

...

...

A.14.2.8  Kiểm thử tính an toàn của hệ thống

X

A.14.2.9  Kiểm thử chấp nhận hệ thống

X

...

...

...

Có thể

A.14.3  Dữ liệu kiểm thử

...

...

...

X

X

Có thể

X

A.15  Mối quan hệ với nhà cung cấp

...

...

...

A.15.1  An toàn thông tin trong mối quan hệ với nhà cung cấp

A.15.1.1  Chính sách an toàn thông tin cho mối quan hệ với nhà cung cấp

X

...

...

...

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.15.1.2  Đảm bảo an toàn trong các thỏa thuận với nhà cung cấp

X

Kiểm tra một số điều kiện hợp đồng

...

...

...

X

Kiểm tra một số điều kiện hợp đồng

A.15.2  Quản lý sự cung cấp dịch vụ của nhà cung cấp

...

...

...

A.15.2.1  Giám sát và xem xét các dịch vụ của nhà cung cấp

X

A.15.2.2  Quản lý các thay đổi dịch vụ của nhà cung cấp

X

...

...

...

A.16  Quản lý sự cố an toàn thông

...

...

...

A.16.1.1  Các trách nhiệm và thủ tục

X

...

...

...

A.16.1.2  Báo cáo sự kiện an toàn thông tin

X

A.16.1.3  Báo cáo điểm yếu an toàn thông tin

X

...

...

...

A.16.1.4  Đánh giá và quyết định về sự kiện an toàn thông tin

X

...

...

...

X

A.16.1.6  Rút bài học kinh nghiệp từ các sự cố an toàn thông tin

X

...

...

...

A.16.1.7  Thu thập bằng chứng

X

A.17  Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ

...

...

...

A.17.1  Tính liên tục an toàn thông tin

Biên bản xem xét của lãnh đạo

...

...

...

X

A.17.1.2  Triển khai tính liên tục an toàn thông tin

X

...

...

...

A.17.1.3  Xác nhận, xem xét và đánh giá tính liên tục an toàn thông tin

X

A.17.2  Dự phòng

...

...

...

A.17.2.1  Tính sẵn sàng của các phương tiện xử lý thông tin

X

X

Có thể

...

...

...

A.18.1  Sự tuân thủ theo các yêu cầu pháp lý và hợp đồng

...

...

...

A.18.1.1  Xác định các yêu cầu về pháp lý và hợp đồng hiện hành

X

Khuyến nghị

A.18.1.2  Quyền sở hữu trí tuệ (IPR)

X

...

...

...

A.18.1.3  Bảo vệ hồ sơ

X

X

Khuyến nghị

...

...

...

X

Kiểm tra thêm việc triển khai chính sách, nếu có thể

A.18.1.5  Quy định về quản lý mã hóa

X

...

...

...

A.18.2  Xem xét an toàn thông tin

A.18.2.1  Xem xét độc lập về an toàn thông tin

X

...

...

...

Đọc các báo cáo

A.18.2.2  Sự tuân thủ các chính sách và tiêu chuẩn an toàn

X

...

...

...

X

X

Thư mục tài liệu tham khảo

[1] TCVN IS019011, Hướng dẫn đánh giá hệ thống quản lý.

[2] ISO/IEC 27007, Information technology - Security techniques - Guidelines for information security management systems auditing.

...

...

...

MỤC LỤC

Lời nói đầu

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Nguyên tắc

5  Yêu cầu chung

...

...

...

5.2  Quản lý tính khách quan

5.3  Trách nhiệm pháp lý và tài chính

6  Yêu cầu về cơ cấu

7  Yêu cầu về nguồn lực

7.1  Năng lực của nhân sự

7.2  Nhân sự tham gia vào hoạt động chứng nhận

7.3  Sử dụng chuyên gia đánh giá và chuyên gia kỹ thuật bên ngoài với tư cách cá nhân

7.4  Hồ sơ nhân sự

7.5  Thuê ngoài

...

...

...

9  Yêu cầu về quá trình

9.1  Hoạt động trước chứng nhận

9.2  Hoạch định đánh giá

9.3  Chứng nhận lần đầu

9.4  Tiến hành đánh giá

9.5  Quyết định chứng nhận

9.6  Duy trì chứng nhận

9.7  Yêu cầu xem xét lại

9.8  Khiếu nại

...

...

...

10  Yêu cầu về hệ thống quản lý đối với tổ chức chứng nhận

10.1  Các lựa chọn

10.2  Lựa chọn A - Yêu cầu chung về hệ thống quản lý

10.3  Lựa chọn B - Yêu cầu về hệ thống quản lý theo TCVN ISO 9001

Phụ lục A (Tham khảo) Kiến thức và kỹ năng đánh giá và chứng nhận ISMS

Phụ lục B (Quy định) Thời gian đánh giá

Phụ lục C (Tham khảo) Các phương pháp tính toán thời gian đánh giá

Phụ lục D (Tham khảo) Hướng dẫn xem xét các biện pháp kiểm soát đã được triển khai theo phụ lục A của ISO/IEC 27001:2013

Thư mục tài liệu tham khảo