Tiêu chuẩn quốc gia TCVN ISO/IEC 27015:2017 - Các kỹ thuật an toàn

4. Cấu trúc tiêu chuẩn

Tiêu chuẩn này cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 từ điều 5 đến điều 15 dưới đây.

5. Chính sách an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6. Tổ chức đảm bảo an toàn thông tin

6.1  Tổ chức nội bộ

6.1.1  Cam kết của lãnh đạp về đảm bảo an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.2  Phối hợp bảo đảm an toàn thông tin

...

...

...

6.1.3  Phân định trách nhiệm đảm bảo an toàn thông tin

Áp dụng biện pháp kiểm soát 5.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau.

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cần xem xét vấn đề trong định nghĩa các yêu cầu về vai trò và trách nhiệm bảo đảm an toàn thông tin, và các khuyến nghị được tuyên bố bởi luật pháp và quy định áp dụng cho tổ chức trong các khuôn khổ ngành nghề.

Tổ chức cung cấp dịch vụ tài chính cũng cần chú ý tới việc đảm bảo sự triển khai nội bộ các yêu cầu và khuyến nghị liên quan đến vấn đề định nghĩa vai trò và trách nhiệm đảm bảo an toàn thông tin đã được tuyên bố bởi các đối tác quốc tế.

Dưới đây là một số ví dụ về quy định thường được áp dụng bởi các tổ chức cung cấp dịch vụ tài chính. Những quy định này cung cấp thông tin về việc phân bổ các vai trò và trách nhiệm đảm bảo an toàn thông tin:

a) PCI-DSS [1]:

1. PCI 12.5: Được giao trách nhiệm quản lý an toàn thông tin.

b) COBIT [2]:

...

...

...

3. 4.4 Các vai trò và trách nhiệm.

4. 4.6 Trách nhiệm đối với việc đảm bảo an toàn vật lý và logic.

Vai trò và trách nhiệm về đảm bảo an toàn thông tin đã được phân định cần được xem xét thường xuyên để đảm bảo phù hợp với những thay đổi về yêu cầu và khuyến nghị được tuyên bố bởi luật pháp, quy định, khuôn khổ ngành nghề và các đối tác.

6.1.4  Quy trình cấp phép cho phương tiện xử lý thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.5  Các thỏa thuận bảo mật

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.6  Liên lạc với những cơ quan/tổ chức có thẩm quyền

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

...

...

...

Áp dụng biện pháp kiểm soát 5.1.7 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, thành viên của các nhóm hoặc các diễn đàn có quan tâm đặc biệt cần được cân nhắc như một kênh để:

a) bí mật chia sẻ và trao đổi thông tin về các hoạt động gian lận và tội phạm mạng xảy ra trong thời gian gần.

6.1.8  Xem xét độc lập về an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

6.2  Các bên tham gia bên ngoài

6.2.1  Xác định các rủi ro liên quan đến các bên tham gia bên ngoài

Áp dụng biện pháp kiểm soát 5.2.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

...

...

...

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cung cấp dịch vụ tài chính cũng cần xem xét vấn đề sau khi xác định rủi ro liên quan tới truy cập của tổ chức bên ngoài:

a) Các yêu cầu về pháp lý và quy định, cùng với những cam kết hợp đồng có thể được áp dụng đối với bên tham gia bên ngoài có trụ sở tại nước ngoài và những cam kết hợp đồng có thể dẫn tới sự tiết lộ thông tin về khách hàng và thông tin tài chính với bên thứ ba (ví dụ như tổ chức mẹ, tổ chức liên kết, cơ quan công quyền). Vấn đề này có thể gây ra lỗ hổng bảo mật nghiêm trọng với việc tiết lộ trái phép các thông tin này.

6.2.2  Giải quyết an toàn khi làm việc với khách hàng

Áp dụng biện pháp kiểm soát 5.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các nguyên tắc sau đây cần được xem xét để giải quyết an toàn khi giao dịch với khách hàng:

a) Tổ chức cần đưa ra chỉ dẫn an toàn thông tin để nâng cao nhận thức của khách hàng về các mối đe dọa (như Trojan, lừa đảo trực tuyến, các cuộc gọi giả mạo) rằng chúng có thể đem đến những rủi ro an toàn thông tin cho họ.

Chỉ dẫn này cần hướng tới nhu cầu của khách hàng và mức nhu cầu trao đổi kỹ thuật hợp lý cần được lựa chọn để đảm bảo nâng cao nhận thức có hiệu quả đối với khách hàng.

Tổ chức cần thường xuyên xem xét chỉ dẫn an toàn thông tin được cung cấp cho khách hàng nhằm đảm bảo tính đầy đủ và phù hợp với hồ sơ rủi ro của tổ chức, cũng như xử lý tốt những mối đe dọa an toàn thông tin mới.

...

...

...

1. Áp dụng biện pháp kiểm soát phù hợp (ví dụ: bảo vệ mật khẩu, chống virus) đảm bảo an toàn cho máy tính cá nhân và các thiết bị khác được sử dụng để truy cập các dịch vụ ngân hàng trực tuyến.

2. Không tiết lộ thông tin khách hàng và thông tin tài chính (ví dụ số thẻ thanh toán) khi không cần thiết hoặc trong trường hợp sự toàn vẹn thông tin khách hàng nghi ngờ có vấn đề.

3. Cần đảm bảo an toàn khi hủy thẻ thanh toán đã hết hạn hoặc thẻ không sử dụng:

Dưới đây là một số ví dụ về khuyến nghị có thể được cung cấp cho khách hàng:

a. Cắt bỏ chính xác và đúng cách thẻ thanh toán.

b. Sử dụng một máy cắt chuyên dụng cho việc phá hủy thẻ thanh toán.

c. Đảm bảo chắc chắn đã phá hủy Chip và giải từ của thẻ thanh toán.

d. Sử dụng những thùng rác đặt ở những nơi khác nhau để bỏ đi những miếng cắt của thẻ thanh toán.

e. Tránh vứt những miếng thẻ đã bị cắt vào các thùng tái chế, vì có thể có nguy cơ khôi phục lại thẻ tại các trung tâm tái chế.

...

...

...

5. Áp dụng cơ chế xác thực an toàn, như sử dụng mật khẩu mạnh, mã PIN hoặc xác thực hai yếu tố khi hệ thống được trang bị sẵn.

6. Tránh sử dụng mật khẩu giống nhau để truy cập vào các dịch vụ ngân hàng được cung cấp bởi các tổ chức ngân hàng khác nhau.

7. Tránh sử dụng mã PIN giống nhau cho tất cả các thẻ thanh toán.

8. Nhắc nhở khách hàng rằng, tổ chức sẽ không bao giờ thực hiện việc thuyết phục để khách hàng cung cấp thông tin xác thực (ví dụ mật khẩu, mã PIN).

9. Thông báo cho khách hàng về việc phải thường xuyên theo dõi các giao dịch và số dư tài khoản.

10. Cần thông báo kịp thời cho khách hàng về các bước cần thiết phải thực hiện khi phát hiện tài khoản đã bị hoặc có thể sẽ bị xâm hại..

Để giảm thiểu nguy cơ trở thành mục tiêu tấn công của bọn tội phạm gian lận, về cơ bản tổ chức nên thường xuyên so sánh các chỉ dẫn cho khách hàng với các tổ chức cùng loại khác và với cộng đồng các nhà cung cấp dịch vụ tài chính.

b) Tổ chức cần thông báo cho khách hàng:

1. Đầu mối chuyên tiếp nhận các khiếu nại, thắc mắc về an toàn thông tin, hoặc những vấn đề khác liên quan tới dịch vụ tài chính của tổ chức.

...

...

...

3. Cách thức báo cáo sự kiện bất thường trong khi truy cập vào dịch vụ tài chính của tổ chức.

c) Khi thiết lập hệ thống giao dịch trực tuyến (ví dụ ngân hàng trực tuyến) đến khách hàng, tổ chức cần cân nhắc những vấn đề sau:

1. Các điều khoản và điều kiện về sử dụng hệ thống giao dịch trực tuyến. Cần đặc biệt lưu ý đến việc xác định sự thừa nhận pháp lý của các giao dịch được thực hiện.

2. Công khai, minh bạch về vai trò và trách nhiệm cũng như nghĩa vụ pháp lý của tổ chức và khách hàng.

3. Công khai, minh bạch về giám sát tính riêng tư và giám sát sử dụng, bao gồm cả giám sát gian lận trong hệ thống giao dịch trực tuyến thông qua các biện pháp bảo vệ lợi ích của cả khách hàng và tổ chức.

4. Giao quyền truy cập dựa trên nguyên tắc sau đây:

a. Hiểu khách hàng: nguyên tắc này được những nhà quản lý sử dụng để bày tỏ quan điểm của họ với các cơ quan tài chính. Những quan điểm này xuất phát từ sự nhìn nhận, hiểu biết về các hoạt động của khách hàng.

b. Cần biết: nguyên tắc này giới hạn quyền truy cập thông tin và các tài nguyên ở mức cần thiết và vừa đủ để thực hiện hoạt động nào đó liên quan đến việc xử lý thông tin.

c. Kiểm soát kép: đây là nguyên tắc của quá trình duy trì tính toàn vẹn và chống sai lệch các chức năng về yêu cầu ở hệ thống sao lưu (thuật toán, thời gian, tài nguyên, v.v...) các hành động cho đến khi kết thúc giao dịch nào đó.

...

...

...

a. Các phương thức xác thực mạnh đối người dùng (ví dụ: thiết bị OTP, chữ ký số người dùng).

b. Các hệ thống xác minh nhằm đảm bảo tính hợp lệ của các ủy nhiệm người dùng và các thiết bị cần xác minh.

c. Xác minh mức độ thừa nhận của cơ quan chứng thực.

6. Mỗi một khách hàng chỉ được gán một định danh duy nhất.

7. Cần có cơ chế thông báo cho khách hàng một cách tự động (thường xuyên, liên tục hoặc theo yêu cầu) về toàn bộ các hoạt động của họ.

Các thông tin khác

Mặc dù khách hàng thuộc nhiều ngành nghề hoặc các nhà cung cấp dịch vụ có thể được coi là các bên liên quan đến cùng một nghiệp vụ nhưng xét trên phương diện cung cấp dịch vụ tài chính, nhìn chung, tổ chức phải có nhiệm vụ đưa ra chỉ dẫn cho khách hàng về các biện pháp bảo vệ phù hợp. Nếu xảy ra lỗ hổng hoặc mất mát thì tổ chức sẽ bị ảnh hưởng đến danh tiếng, uy tín và cả vấn đề tài chính.

6.2.3  Giải quyết an toàn trong các thỏa thuận với bên thứ ba

Áp dụng biện pháp kiểm soát 5.2.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

...

...

...

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các vấn đề sau cần được xem xét trong thỏa thuận với nhà cung ứng nếu phạm vi của thỏa thuận có liên quan đến các dịch vụ tài chính được tổ chức cung cấp:

a) Đầu mối liên lạc được ủy quyền để xử lý các yêu cầu của tổ chức.

b) Điều khoản về quyền sở hữu hồ sơ được thiết lập bởi nhà cung ứng trong quá trình thực hiện các thỏa thuận với nhà cung ứng.

c) Thông báo kịp thời về những thay đổi an toàn thông tin đối với các tài sản của nhà cung ứng hỗ trợ các dịch vụ tài chính của tổ chức.

d) Đảm bảo rằng các thông tin của tổ chức luôn sẵn sàng cho nhà cung ứng sẽ được xử lý hoàn toàn theo các điều khoản và điều kiện đã được cụ thể hóa trong thỏa thuận.

e) Đảm bảo rằng những thay đổi của các nhà thầu phụ hoặc những nơi lưu trữ thông tin đã được xử lý của tổ chức (ví dụ việc gia công ở nước ngoài) sẽ được thông báo cho tổ chức và có thể cần có sự chấp thuận trước đó của tổ chức, đặc biệt là khi có liên quan tới việc xử lý thông tin của tổ chức.

f) Đảm bảo rằng các sự cố phát sinh trong quá trình nhà cung ứng thực hiện thỏa thuận sẽ được báo cáo tới tổ chức một cách kịp thời và nhà cung ứng sẽ thực hiện các cuộc điều tra phù hợp.

g) Sự tham gia của các nhà cung ứng trong trường hợp xảy ra sự cố hoặc một sự việc bất thường có thể vượt quá giới hạn được tổ chức đưa ra. Cần đảm bảo rằng phản ứng của nhà cung ứng trong trường hợp này sẽ chỉ trong giới hạn nhất định, ví dụ để giám sát hoặc hủy bỏ giao dịch tài chính đã được cung cấp giữa một vài tổ chức trong trường hợp có sự nghi ngờ về tính hợp pháp của giao dịch đó.

h) Quyền để:

...

...

...

b. Các nhà quản lý của tổ chức truy cập thông tin và các hoạt động của nhà cung ứng, các nhà thầu phụ của họ.

7  Quản lý tài sản

7.1  Trách nhiệm đối với tài sản

7.1.1  Kiểm kê tài sản

Áp dụng biện pháp kiểm soát 6.1.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cần lưu ý đảm bảo rằng:

a) Các tài sản cụ thể được sử dụng để cung cấp dịch vụ tài chính, chẳng hạn như các thiết bị thanh toán (ATM, SST, POS), thẻ thanh toán (ghi nợ, tín dụng, thuê bao trả trước) và các hệ thống liên ngân hàng được lưu trữ tại chỗ hoặc cách xa đều được kiểm kê tài sản.

b) Việc kiểm kê các thẻ thanh toán, bao gồm cả thông tin trạng thái của thẻ (đã hết hiệu lực, đã bị thu hồi) được tiến hành bởi nhà cung ứng (ví dụ như một nhà cung cấp dịch vụ thanh toán chấp nhận các khoản thanh toán được thực hiện với các thẻ thanh toán được phát hành bởi tổ chức và đại diện của tổ chức), phải chính xác nhằm tránh việc chi trả cho những thẻ không hợp lệ.

...

...

...

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

7.1.3  Sử dụng hợp lý tài sản

Áp dụng biện pháp kiểm soát 6.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cũng cần đảm bảo có các quy tắc về xử lý và hủy bỏ đồng phục hay bất kỳ vật gì được gắn nhãn, bao gồm cả các mẫu in sẵn để tránh bị sử dụng trái phép cho hoạt động gian lận hay tội phạm.

7.2  Phân loại thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

8  Đảm bảo an toàn thông tin từ nguồn nhân lực

8.1  Trước khi tuyển dụng

...

...

...

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

8.1.2  Thẩm tra

Áp dụng biện pháp kiểm soát 7.1.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cần lưu ý rằng bọn tội phạm có tổ chức có thể cài người vào các quy trình nghiệp vụ quan trọng.

Đặc biệt, cần rất cẩn thận đối với các chức năng nhất định, ví dụ các chức năng bên dưới, thông qua việc đảm bảo đã thực hiện các cuộc kiểm tra chi tiết hơn về hình sự và lý lịch nếu pháp luật cho phép:

a) Tất cả nhân viên có quyền truy cập tới thông tin khách hàng và thông tin tài chính (ví dụ: thẻ thanh toán, mật khẩu, mã PIN).

b) Người quản trị hệ thống chịu trách nhiệm xử lý thông tin khách hàng và thông tin tài chính.

c) Người quản trị về bảo mật chịu trách nhiệm quản lý khóa mật mã phục vụ cho mục đích sau:

...

...

...

2. Xác thực các giao dịch tài chính.

3. Mật khẩu khách hàng, mã PIN, hoặc quản lý xác thực hai yếu tố.

8.1.3  Điều khoản và điều kiện tuyển dụng

Áp dụng biện pháp kiểm soát 7.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Các điều khoản và điều kiện tuyển dụng cần phải kết hợp với chính sách nghỉ lễ áp dụng đối với tổ chức và nhân viên của các nhà cung ứng tham gia vào các hoạt động tài chính nhạy cảm.

Xem như một biện pháp chống gian lận, chính sách nghỉ lễ cần đưa ra thời gian nghỉ làm tối thiểu (ví dụ, 10 ngày làm việc liên tục trong một năm) để đảm bảo rằng các hoạt động tài chính nhạy cảm không phải lúc nào cũng được thực hiện bởi chỉ một người.

8.2  Trong thời gian làm việc

8.2.1  Trách nhiệm của lãnh đạo

...

...

...

8.2.2  Nhận thức, giáo dục và đào tạo về an toàn thông tin

Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cần xem xét các điều luật và quy định áp dụng cho tổ chức, cùng với các công bố từ nhà quản lý, yêu cầu các vấn đề cụ thể (chẳng hạn như việc sử dụng điện thoại để phổ biến các thông tin tài chính và thông tin khách hàng, các chương trình chống rửa tiền) được giải quyết trong các hoạt động đào tạo và nâng cao nhận thức về an toàn cho tổ chức.

Việc nâng cao nhận thức về an toàn thông tin cũng cần giải quyết những chủ đề cụ thể như kỹ thuật tấn công khai thác mang tính xã hội, lừa đảo nhắm vào yếu tố con người, các hướng tấn công trực tuyến, hệ thống quẹt thẻ và phần mềm độc hại.

8.3  Chấm dứt hoặc thay đổi công việc

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9  Đảm bảo an toàn vật lý và môi trường

9.1  Các khu vực an toàn

...

...

...

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.2  Kiểm soát cổng truy cập vật lý

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.3  Bảo vệ các văn phòng, phòng làm việc và vật dụng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.4  Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.5  Làm việc trong khu vực an toàn

Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

...

...

...

Tổ chức cần thận trọng để đảm bảo rằng việc sử dụng thiết bị di động cần đặc biệt hạn chế trong khu vực xử lý nghiệp vụ trọng yếu, đó là nơi xử lý và sẵn có các thông tin khách hàng và số thẻ thanh toán. Điều này nhằm ngăn chặn việc ghi lại hoặc truyền trái phép các thông tin.

9.1.6  Các khu vực truy cập tự do, phân phối và tập kết hàng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.2  Đảm bảo an toàn trang thiết bị

9.2.1  Bố trí và bảo vệ thiết bị

Áp dụng biện pháp kiểm soát 8.2.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cẩn thận trọng trong việc bảo vệ các thiết bị thanh toán (ví dụ thiết bị ATM, SST, POS) được đặt bên ngoài trụ sở của tổ chức, thông tin khách hàng, thông tin tài chính hoặc những tài sản vật chất khác trước nguy cơ bị thay đổi trái phép, bị mở ra và đánh cắp. Các biện pháp đảm bảo an toàn được triển khai cần phải bao gồm, ví dụ, xây dựng hệ thống bảo vệ kiên cố, cơ chế tự động tiêu hủy, bảo vệ hệ thống cáp.

9.2.2  Các tiện ích hỗ trợ

...

...

...

9.2.3  An toàn cho dây cáp

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

9.2.4  Bảo dưỡng thiết bị

Áp dụng biện pháp kiểm soát 8.2.4 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cũng cần xem xét việc thiết lập kiểm soát kép để bảo trì các thiết bị thanh toán (như ATM, SST, POS).

9.2.5  An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

9.2.6  An toàn khi loại bỏ hoặc tái sử dụng thiết bị

...

...

...

Hướng dẫn triển khai

Tổ chức cần lưu ý các thông tin khách hàng, thông tài chính được lưu trữ trong các thành phần bộ nhớ (ATM, SST, đĩa cứng, bộ nhớ trong POS) của các thiết bị thanh toán phải bị hủy bỏ, xoá, ghi đè trước khi bị loại bỏ.

9.2.7  Di rời tài sản

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

1. Quản lý truyền thông và vận hành

10.1  Các trách nhiệm và thủ tục vận hành

10.1.1  Các thủ tục vận hành được ghi thành văn bản

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.1.2  Quản lý thay đổi

...

...

...

10.1.3  Phân tách nhiệm vụ

Áp dụng biện pháp kiểm soát 9.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Việc phân tách nhiệm vụ cần được áp dụng trong phạm vi các hệ thống giao dịch tài chính để đảm bảo không chỉ việc khởi tạo một sự kiện (chẳng hạn như một giao dịch tài chính) được tách khỏi việc xử lý hoặc việc ủy quyền của giao dịch, mà sự khởi tạo này còn được tách khỏi việc xác minh của nó.

Tổ chức tối thiểu cần đảm bảo có kiểm soát kép trong quản lý giao dịch tài chính, tức là việc xử lý thông tin tài chính hoặc giao dịch tài chính và việc xác minh kết quả được thực hiện bởi những nhân viên khác nhau hoặc các quy trình tự động.

10.1.4  Phân tách các chức năng phát triển, kiểm thử và vận hành

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

10.2  Quản lý chuyển giao dịch vụ của bên thứ ba

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

...

...

...

10.3.1  Quản lý năng lực hệ thống

Áp dụng biện pháp kiểm soát 10.3.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Cần chú ý đảm bảo các yêu cầu về năng lực phải được xác định cho các tài sản đã được triển khai hoặc tài sản dự kiến được triển khai dưới đây:

a) Dịch vụ ngân hàng trực tuyến, trên cơ sở xem xét các yêu cầu nghiệp vụ sau:

1. Số lượng giao dịch hiện tại và dự kiến.

2. Các khoảng thời gian giao dịch đột biến hiện tại và dự kiến, và lượng giao dịch cao nhất.

3. Số lượng khách hàng hiện tại.

4. Tăng trưởng dự kiến về số lượng khách hàng.

...

...

...

b) Các thiết bị thanh toán (như ATM, SST, POS) xử lý thông tin tài chính và thông tin khách hàng.

10.3.2  Chấp nhận hệ thống

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.4  Bảo vệ chống lại mã độc hại và mã di động

10.4.1  Quản lý chống lại mã độc hại

Áp dụng biện pháp kiểm soát 9.4.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Các kiểm tra bằng phần mềm phát hiện mã độc và phần mềm sửa chữa cần thực hiện trên cả các thiết bị thanh toán (như ATM, SST, POS) có xử thông tin tài chính và thông tin khách hàng. Những thiết bị này thường được coi là ít bị ảnh hưởng bởi mã độc.

10.4.2  Quản lý các mã di động

...

...

...

10.5  Sao lưu

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.6  Quản lý an toàn mạng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.7  Xử lý phương tiện

10.7.1  Quản lý các phương tiện có thể di dời

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.7.2  Loại bỏ phương tiện

Áp dụng biện pháp kiểm soát 9.7.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

...

...

...

Tổ chức cần phải chú ý đảm bảo các thủ tục loại bỏ một cách an toàn được thực hiện đối với toàn bộ các phương tiện xử lý thông tin khách hàng và thông tin tài chính (thông tin thẻ thanh toán, mật khẩu khách hàng, mã PIN) cùng với các tài sản cụ thể được sử dụng để sản xuất các thẻ thanh toán, chẳng hạn như dây băng.

10.7.3  Các thủ tục xử lý thông tin

Áp dụng biện pháp kiểm soát 9.7.3 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Tổ chức cần đảm bảo các thủ tục xử lý thông tin giải quyết việc xử lý, loại bỏ chứng từ, sổ ký quỹ, thẻ thanh toán (thẻ ghi nợ, tín dụng, trả trước) và các giấy tờ khác.

10.7.4  An toàn cho các tài liệu hệ thống

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.8  Trao đổi thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

...

...

...

10.9.1  Thương mại điện tử

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.9.2  Các giao dịch trực tuyến

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.9.3  Thông tin công khai

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.9.4  Dịch vụ ngân hàng trực tuyến

Biện pháp kiểm soát

Dịch vụ ngân hàng trực tuyến cần phải được bảo vệ trước những truy cập và sửa đổi trái phép nhằm ngăn chặn việc tiết lộ trái phép các thông tin khách hàng và thông tin tài chính, đồng thời ngăn chặn các giao dịch trái phép.

...

...

...

Tổ chức cần cân nhắc các vấn đề an toàn sau đây để bảo vệ dịch vụ ngân hàng trực tuyến:

a) Thông báo cho khách hàng sử dụng dịch vụ ngân hàng trực tuyến bằng một kênh và phương tiện thông tin được thiết lập từ trước. Chẳng hạn như các sao kê tài khoản in sẵn trên giấy.

b) Những giới hạn tài chính phòng ngừa, ví dụ: giới hạn giao dịch liên ngân hàng, giới hạn tùy ý khác.

c) Các ủy nhiệm thư riêng của người dùng cho chủ tài khoản kèm các đặc quyền liên quan thể hiện hiệu lực đã được xác định ban đầu của chữ ký.

d) Tiết lộ hạn chế về thông tin khách hàng và thông tin tài chính, chẳng hạn như định danh người dùng, tên và số tài khoản, ngoại trừ cho các mục đích nghiệp vụ hợp lệ và các hành động được khách hàng thực hiện.

e) Chấp thuận các hành động của khách hàng chỉ nếu họ đã được xem xét trong cùng một phiên giao dịch mà không xảy ra gián đoạn hoặc mất kết nối. Nếu có gián đoạn hoặc mất kết nối trong phiên giao dịch của người dùng thì các yêu cầu xác thực người dùng cần được áp dụng lại cho khách hàng có truy cập vào các dịch vụ ngân hàng trực tuyến.

Các thông tin khác:

Hệ thống thông tin lưu trữ giao diện web cho khách hàng trong việc sử dụng dịch vụ ngân hàng trực tuyến không cần phải lưu trữ, xử lý các thông tin khách hàng và thông tin tài chính trên đó để giảm bớt rủi ro trong trường hợp hệ thống bị thỏa hiệp.

10.10  Giám sát

...

...

...

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.2  Giám sát sử dụng hệ thống

Áp dụng biện pháp kiểm soát 9.10.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Ngoài các nội dung được nêu trong TCVN ISO/IEC 27002:2011 về các hoạt động giám sát thiết bị cá nhân, cần xem xét các nội dung sau:

a) Các sự kiện bất thường liên quan đến thông tin khách hàng và thông tin tài chính, cùng với các giao dịch được thực hiện bởi khách hàng, như:

1. Các giao dịch bất thường (ví dụ: chuyển tiền vào một tài khoản ngân hàng không rõ ràng ở nước ngoài).

2. Các hành động của người dùng ngoài thời gian sử dụng thông thường.

3. Các hành động của người dùng được thực hiện với tốc độ bất thường nhằm dò tìm các biện pháp ngăn chặn tự động.

...

...

...

5. Phiên của người dùng bị trùng lặp.

10.10.3  Bảo vệ các thông tin nhật ký

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.4  Nhật ký của người điều hành và người quản trị

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.5  Ghi nhật ký lỗi

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.6  Đồng bộ thời gian

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

...

...

...

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12  Tiếp nhận, duy trì và phát triển hệ thống thông tin

12.1  Yêu cầu đảm bảo an toàn cho các hệ thống thông tin

12.1.1  Phân tích và đặc tả các yêu cầu về an toàn

Áp dụng biện pháp kiểm soát 12.1.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Khi thiết kế một hệ thống giao dịch tài chính mới hoặc khi thực hiện các thay đổi đối với hệ thống cũ, tổ chức cần xem xét các yêu cầu về an toàn sau:

a) Bảo vệ thông tin giao dịch tài chính tránh khỏi bị sửa chữa, giả mạo, thay địa chỉ hoặc phá hoại trái phép.

b) Khôi phục thông tin giao dịch tài chính trong trường hợp bị sửa chữa, giả mạo, thay địa chỉ hoặc phá hoại trái phép.

...

...

...

d) Khả năng lưu vết các gian lận giao dịch tài chính có thể để tìm bên khởi tạo.

e) Xác thực:

1. các máy tự động (các máy trạm và máy chủ) và các bên tham gia vào việc trao đổi các giao dịch tài chính.

2. Các thông điệp thanh toán điện tử từ hai chiều.

f) Gửi thông điệp thanh toán điện tử cho các bên tham gia vào việc trao đổi các giao dịch tài chính.

g) Đối chiếu thông điệp thanh toán điện tử gửi đi tương ứng với thông điệp thanh toán điện tử gửi đến và được xử lý trong quyết toán liên ngân hàng.

h) Xác thực người dùng cho việc truy cập vào các tham số nhạy cảm hoặc thực hiện những hành động nhạy cảm, như kế toán kép, đối chiếu số liệu, thiết lập giới hạn về giá trị của hoạt động tài chính.

i) Phân tách nhiệm vụ đối với tất cả các luồng giao dịch và các chấp thuận giải ngân.

12.2  Xử lý đúng trong các ứng dụng

...

...

...

12.3  Quản lý mã hóa

12.3.1  Chính sách sử dụng các biện pháp kiểm soát mã hóa

Áp dụng biện pháp kiểm soát 11.3.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, khi xây dựng chính sách mã hóa cần cân nhắc những nội dung sau:

a) Tổ chức cần áp dụng một nguyên tắc chung để xem xét một cách hệ thống và áp dụng các biện pháp kiểm soát mã hóa khi thông tin khách hàng và thông tin tài chính được lưu trữ hoặc xử lý nhằm đảm bảo tính bí mật và tính toàn vẹn.

b) Truy cập những thông tin này ở dạng bản rõ chỉ được áp dụng với những mục đích nghiệp vụ hợp lệ và phù hợp với những yêu cầu của luật pháp và quy định áp dụng đối với tổ chức.

c) Phương pháp luận và các phương pháp để thường xuyên đánh giá chất lượng và độ mạnh của các thuật toán mã hóa được sử dụng trong các biện pháp kiểm soát mã hóa để phát hiện sớm những điểm yếu liên quan và ngăn chặn việc sử dụng bất hợp pháp hoặc sử dụng không chính xác các thuật toán mã hóa, thông qua việc thay đổi quản lý khóa mã hóa (ví dụ, bằng việc tăng tần suất thay đổi hoặc cập nhật khoá mã hóa).

Tổ chức cần lưu ý khi xác định và phân công vai trò và trách nhiệm về quản lý khóa mã hóa để đảm bảo rằng những người có trách nhiệm về an toàn liên quan đều không có đặc quyền trong việc sử dụng khóa mã hóa được khởi tạo.

...

...

...

12.3.2  Quản lý khóa

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.4  An toàn cho các tệp tin hệ thống

12.4.1  Quản lý các phần mềm điều hành

Áp dụng biện pháp kiểm soát 11.4.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002, khuyến nghị sau đây cần được xem xét để giảm rủi ro sai hỏng hệ điều hành:

a) Tính xác thực của những thay đổi do các nhà cung cấp ứng dụng và phần mềm hệ điều hành của thiết bị thanh toán (ví dụ: ATM, SST, POS) cần được kiểm tra (thông qua chữ ký số, thuật toán hàm băm) trước khi được kiểm thử rộng rãi.

12.4.2  Bảo vệ dữ liệu kiểm tra hệ thống

...

...

...

12.4.3  Quản lý truy cập đến mã nguồn chương trình

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.5  Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.6  Quản lý các điểm yếu kỹ thuật

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

13  Quản lý các sự cố an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

14  Quản lý sự liên tục của hoạt động nghiệp vụ

...

...

...

14.1.1  Tính đến an toàn thông tin trong quá trình quản lý tính liên tục của hoạt động nghiệp vụ

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

14.1.2  Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức

Áp dụng biện pháp kiểm soát 13.1.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Khi đánh giá rủi ro trong đảm bảo hoạt động liên tục, tổ chức cần thận trọng trong việc xem xét các phụ thuộc từ bên ngoài của các quy trình nghiệp vụ, ví dụ các nguồn cung cấp về:

a) Thông tin tài chính được đưa ra bởi các đối tác kinh doanh, nhà thầu hoặc nhà cung ứng.

b) Dịch vụ tài chính mua sắm (ví dụ: ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt).

14.1.3  Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm cả vấn đề đảm bảo an toàn thông tin.

...

...

...

Hướng dẫn triển khai

Các kế hoạch liên tục nghiệp vụ được tổ chức phát triển cần đưa ra những phụ thuộc bên ngoài sau vào quy trình phục hồi và khôi phục hoạt động nghiệp vụ:

a) Thông tin tài chính được đưa ra bởi các đối tác kinh doanh, nhà thầu hoặc nhà cung ứng.

b) Cần tính đến tình huống xấu nhất trong các dịch vụ tài chính mua sắm (ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt) để đảm bảo tính liên tục của các dịch vụ này trong trường hợp có gián đoạn ảnh hưởng đến hoạt động của nhà cung ứng.

14.1.4  Khung hoạch định trong hoạt động nghiệp vụ

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

14.1.5  Kiểm tra, duy trì và đánh giá lại các kế hoạch đảm bảo sự liên tục trong hoạt động nghiệp vụ

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

15  Sự tuân thủ

...

...

...

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

15.2  Sự tuân thủ các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật

15.2.1  Sự tuân thủ các tiêu chuẩn và các chính sách an toàn

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

15.2.2  Kiểm tra sự tương thích kỹ thuật

Áp dụng biện pháp kiểm soát 14.2.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Tổ chức cần thận trọng khi tiến hành các cuộc kiểm tra tương thích kỹ thuật một cách thường xuyên trên các hệ thống giao dịch tài chính trực tuyến (ví dụ: ngân hàng trực tuyến), đặc biệt là nếu các hệ thống này sẵn sàng đối với khách hàng hoặc chứa các thông tin tài chính và thông tin khách hàng, nhằm đảm bảo chúng chúng được triển khai đúng hoặc phù hợp với các điều luật và quy định hiện hành.

15.2.3  Giám sát việc tuân thủ

...

...

...

Các tổ chức cần đảm bảo các yêu cầu pháp lý, quy định và hợp đồng liên quan được kiểm tra định kỳ trong phạm vi quản lý an toàn thông tin nhằm đảm bảo giám sát sự tuân thủ.

Hướng dẫn triển khai

Quy trình giám sát sự tuân thủ cần được xác định để thường xuyên đối chiếu giữa các yếu tố sau:

a) Các yêu cầu pháp lý, quy định và hợp đồng áp dụng cho an toàn thông tin,

b) Phạm vi quản lý an toàn thông tin của tổ chức, bao gồm các mục tiêu kiểm soát, biện pháp kiểm soát, chính sách, tiêu chuẩn an toàn và các yêu cầu an toàn khác thực hiện bởi tổ chức.

Việc đối chiếu cần được thực hiện thường xuyên để giải quyết những thay đổi về pháp lý hiện hành và phạm vi quản lý an toàn thông tin, ví dụ trong việc đánh giá, giảm thiểu rủi ro và khi có những thay đổi quan trọng xảy ra.

Tổ chức cần phải xác định và xử lý những trường hợp không tuân thủ các quy định pháp lý.

Thư mục tài liệu tham khảo

...

...

...

[2] COBIT - Control Objectives for Information Technology - Version 4.1 - IT Governance Institute and Information Systems Audit and Control Association (ISACA)

[3] TCVN 10541:2014 (ISO/IEC 27003:2010), Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin

[4] TCVN 10542:2014 (ISO/IEC 27004:2009), Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường

[5] TCVN 10295:2014 (ISO/IEC 27005:2011), Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin

[6] ISO/TR 13569:2005, Financial services - Information security guidelines

[7] ISO/IEC 24762:2008, Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services

[8] ISO/IEC 27031:2011, Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity

[9] TCVN 9801-1:2013 (ISO/IEC 27033-1:2009), Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng - Phần 1: Tổng quan và khái niệm

[10] ISO/IEC 27033-2:2012, Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security

...

...

...

[12] TCVN 11239:2015 (ISO/IEC 27035:2011), Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố an toàn thông tin

[13] TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu

[14] TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin

MỤC LỤC

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ, định nghĩa và thuật ngữ viết tắt

3.1  Thuật ngữ và định nghĩa

...

...

...

4  Cấu trúc tiêu chuẩn

5  Chính sách an toàn thông tin

6  Tổ chức đảm bảo an toàn thông tin

6.1  Tổ chức nội bộ

6.1.1  Cam kết của lãnh đạo về đảm bảo an toàn thông tin

6.1.2  Phối hợp bảo đảm an toàn thông tin

6.1.3  Phân định trách nhiệm đảm bảo an toàn thông tin

6.1.4  Quy trình cấp phép cho phương tiện xử lý thông tin

6.1.5  Các thỏa thuận bảo mật

...

...

...

6.1.7  Liên lạc với các nhóm chuyên gia

6.1.8  Xem xét độc lập về an toàn thông tin

6.2  Các bên tham gia bên ngoài

6.2.1  Xác định các rủi ro liên quan đến các bên tham gia bên ngoài

6.2.2  Giải quyết an toàn khi làm việc với khách hàng

6.2.3  Giải quyết an toàn trong các thỏa thuận với bên thứ ba

7  Quản lý tài sản

7.1  Trách nhiệm đối với tài sản

7.1.1  Kiểm kê tài sản

...

...

...

7.1.3  Sử dụng hợp lý tài sản

7.2  Phân loại thông tin

8  Đảm bảo an toàn thông tin từ nguồn nhân lực

8.1  Trước khi tuyển dụng

8.1.1  Các vai trò và trách nhiệm

8.1.2  Thẩm tra

8.1.3  Điều khoản và điều kiện tuyển dụng

8.2  Trong thời gian làm việc

8.2.1  Trách nhiệm của lãnh đạo

...

...

...

8.3  Chấm dứt hoặc thay đổi công việc

9. Đảm bảo an toàn vật lý và môi trường

9.1  Các khu vực an toàn

9.1.1  Vành đai an toàn vật lý

9.1.2  Kiểm soát cổng truy cập vật lý

9.1.3  Bảo vệ các văn phòng, phòng làm việc và vật dụng

9.1.4  Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường

9.1.5  Làm việc trong khu vực an toàn

9.1.6  Các khu vực truy cập tự do, phân phối và tập kết hàng

...

...

...

9.2.1  Bố trí và bảo vệ thiết bị

9.2.2  Các tiện ích hỗ trợ

9.2.3  An toàn cho việc đi dây cáp

9.2.4  Bảo dưỡng thiết bị

9.2.5  An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức

9.2.6  An toàn khi loại bỏ hoặc tái sử dụng thiết bị

9.2.7  Di rời tài sản

10. Quản lý truyền thông và vận hành

10.1  Các trách nhiệm và thủ tục vận hành

...

...

...

10.1.2  Quản lý thay đổi

10.1.3  Phân tách nhiệm vụ

10.1.4  Phân tách các chức năng phát triển, kiểm thử và vận hành

10.2  Quản lý chuyển giao dịch vụ của bên thứ ba

10.3  Lập kế hoạch và chấp nhận hệ thống

10.3.1  Quản lý năng lực hệ thống

10.3.2  Chấp nhận hệ thống

10.4  Bảo vệ chống lại mã độc hại và mã di động

10.4.1  Quản lý chống lại mã độc hại

...

...

...

10.5  Sao lưu

10.6  Quản lý an toàn mạng

10.7  Xử lý phương tiện

10.7.1  Quản lý các phương tiện có thể di dời

10.7.2  Loại bỏ phương tiện

10.7.3  Các thủ tục xử lý thông tin

10.7.4  An toàn cho các tài liệu hệ thống

10.8  Trao đổi thông tin

10.9  Các dịch vụ thương mại điện tử

...

...

...

10.9.2  Các giao dịch trực tuyến

10.9.3  Thông tin công khai

10.9.4  Dịch vụ ngân hàng trực tuyến

10.10  Giám sát

10.10.1  Ghi nhật ký đánh giá

10.10.2  Giám sát sử dụng hệ thống

10.10.3  Bảo vệ các thông tin nhật ký

10.10.4  Nhật ký của người điều hành và người quản trị

10.10.5  Ghi nhật ký lỗi

...

...

...

11  Quản lý truy cập

12  Tiếp nhận, duy trì và phát triển hệ thống thông tin

12.1  Yêu cầu đảm bảo an toàn cho các hệ thống thông tin

12.1.1  Phân tích và đặc tả các yêu cầu về an toàn

12.2  Xử lý đúng trong các ứng dụng

12.3  Quản lý mã hóa

12.3.1  Chính sách sử dụng các biện pháp kiểm soát mã hóa

12.3.2  Quản lý khóa

12.4  An toàn cho các tệp tin hệ thống

...

...

...

12.4.2  Bảo vệ dữ liệu kiểm tra hệ thống

12.4.3  Quản lý truy cập đến mã nguồn chương trình

12.5  Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển

12.6  Quản lý các điểm yếu kỹ thuật

13  Quản lý các sự cố an toàn thông tin

14  Quản lý sự liên tục của hoạt động nghiệp vụ

14.1  Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ

14.1.1  Tính đến an toàn thông tin trong quá trình quản lý tính liên tục của hoạt động nghiệp vụ

14.1.2  Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức

...

...

...

14.1.4  Khung hoạch định trong hoạt động nghiệp vụ

14.1.5  Kiểm tra, duy trì và đánh giá lại các kế hoạch đảm bảo sự liên tục trong hoạt động nghiệp vụ

15  Sự tuân thủ

15.1  Sự tuân thủ các quy định pháp lý

15.2  Sự tuân thủ các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật

15.2.1  Sự tuân thủ các tiêu chuẩn và các chính sách an toàn

15.2.2  Kiểm tra sự tương thích kỹ thuật

15.2.3  Giám sát việc tuân thủ

Thư mục tài liệu tham khảo

...

...

...