Tiêu chuẩn TCVN 27017:2020 Công nghệ thông tin - Quy tắc thực hành kiểm soát an toàn thông tin đám mây

TIÊU CHUẨN QUỐC GIA

TCVN 27017:2020

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH CHO KIỂM SOÁT AN TOÀN THÔNG TIN DỰA TRÊN ISO/IEC 27002 CHO CÁC DỊCH VỤ ĐÁM MÂY

Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

 

Lời nói đầu

TCVN 27017:2020 hoàn toàn tương đương với ISO/IEC 27017:2015.

TCVN 27017:2020 Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

 

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH CHO KIỂM SOÁT AN TOÀN THÔNG TIN DỰA TRÊN ISO/IEC 27002 CHO CÁC DỊCH VỤ ĐÁM MÂY

Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

1 Phạm vi áp dụng

Tiêu chuẩn này đưa ra các hướng dẫn về biện pháp kiểm soát an toàn thông tin áp dụng cho việc cung cấp và sử dụng các dịch vụ đám mây bằng cách cung cấp:

- hướng dẫn triển khai bổ sung cho biện pháp kiểm soát liên quan được quy định trong ISO/IEC 27002;

- biện pháp kiểm soát bổ sung với hướng dẫn triển khai cụ thể hóa liên quan đến các dịch vụ đám mây.

Tiêu chuẩn này cung cấp biện pháp kiểm soát và hướng dẫn triển khai cho cả nhà cung cấp dịch vụ đám mây và khách hàng dịch vụ đám mây.

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

TCVN 11238:2015 (ISO/IEC 27000:2014), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng.

TCVN ISO/IEC 27002:2020, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin.

ISO/IEC 17788, Information technology - Cloud computing - Overview and vocabulary (Công nghệ thông tin - Điện toán đám mây - Tổng quan và từ vựng).

ISO/IEC 17789, Information technology - Cloud computing - Reference architecture (Công nghệ thông tin - Điện toán đám mây - Kiến trúc tham khảo).

3 Thuật ngữ, định nghĩa và từ viết tắt

3.1 Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa đã nêu tại TCVN 11238:2015 (ISO/IEC 27000:2014), ISO/IEC 17788, ISO/IEC 17789 và các thuật ngữ định nghĩa sau:

3.1.1

Năng lực (capability)

Khả năng để có thể thực hiện một hoạt động nhất định

CHÚ THÍCH 1: Thuật ngữ này định nghĩa trong ISO 19440

3.1.2

Vi phạm dữ liệu (data breach)

Vi phạm về an toàn dẫn đến vô tình hoặc cố ý phá hủy, làm mất, thay đổi, tiết lộ trái phép hoặc truy cập vào dữ liệu được bảo vệ khi truyền, lưu trữ hoặc xử lý khác.

CHÚ THÍCH 2: Thuật ngữ này định nghĩa trong ISO/IEC 27040

3.1.3

An toàn cho nhiều người thuê (secure multi-tenancy)

Mô hình nhiều người thuê sử dụng biện pháp kiểm soát an toàn để chống lại các vi phạm dữ liệu và cung cấp xác nhận biện pháp kiểm soát này để quản trị thích hợp.

LƯU Ý 1: An toàn cho nhiều người thuê đạt được khi các rủi ro của một người thuê không lớn hơn chính nó trong một môi trường chuyên biệt, một người thuê.

LƯU Ý 2: Trong những môi trường rất an toàn, ngay cả định danh của người thuê được giữ bí mật.

CHÚ THÍCH 3: Thuật ngữ này định nghĩa trong ISO/IEC 27040

3.1.4

Máy ảo (virtual machine)

Môi trường phần mềm cho phép thực thi một hoặc nhiều hệ điều hành hoặc các ứng dụng của chúng.

LƯU Ý: Một máy ảo là một đóng gói đầy đủ về phần cứng ảo, đĩa ảo, và dữ liệu liên quan đến nó. Các máy ảo có thể hoạt động song song trên một máy tính vật lý thông qua một lớp phần mềm ảo hóa (hypervisor)

CHÚ THÍCH 4: Thuật ngữ này định nghĩa trong ISO/IEC 17203

3.2 Từ viết tắt

Trong Tiêu chuẩn này, sử dụng các từ viết tắt sau đây:

4 Các khái niệm chuyên ngành đám mây

4.1 Tổng quan

Việc sử dụng điện toán đám mây đã làm thay đổi cách thức tổ chức đánh giá và giảm thiểu rủi ro an toàn thông tin do những thay đổi đáng kể về cách các tài nguyên máy tính được thiết kế, vận hành và quản lý. Tiêu chuẩn này cung cấp thêm hướng dẫn triển khai chuyên ngành đám mây dựa trên ISO/IEC 27002 và cung cấp biện pháp kiểm soát bổ sung để giải quyết các mối đe dọa và rủi ro an toàn thông tin chuyên ngành đám mây.

Người sử dụng Tiêu chuẩn này nên tham khảo các điều từ 5 đến 18 của ISO/IEC 27002 đối với biện pháp kiểm soát, hướng dẫn triển khai và thông tin khác. Do tính áp dụng chung của ISO/IEC 27002 nên nhiều biện pháp kiểm soát, hướng dẫn triển khai và thông tin khác áp dụng cho cả ngữ cảnh chung và ngữ cảnh điện toán đám mây của một tổ chức. Ví dụ: "6.1.2 Phân tách nhiệm vụ" của ISO/IEC 27002 cung cấp một kiểm soát có thể được áp dụng cho tổ chức cho dù tổ chức đó có hoạt động như một nhà cung cấp dịch vụ đám mây hay không. Hơn nữa, một khách hàng dịch vụ đám mây có thể đưa ra các yêu cầu phân tách nhiệm vụ trong môi trường đám mây từ cùng một kiểm soát, chẳng hạn như: phân tách quản trị viên dịch vụ đám mây và người sử dụng dịch vụ đám mây của khách hàng đám mây.

Như một phần mở rộng của ISO/IEC 27002, Tiêu chuẩn này cung cấp thêm biện pháp kiểm soát cụ thể về dịch vụ đám mây, hướng dẫn triển khai và thông tin khác (xem mục 4.5) nhằm mục đích giảm thiểu các rủi ro đi kèm với các đặc tính kỹ thuật và vận hành của dịch vụ đám mây (xem Phụ lục B). Các khách hàng dịch vụ đám mây và các nhà cung cấp dịch vụ đám mây có thể tham khảo ISO/IEC 27002 và Tiêu chuẩn này để lựa chọn biện pháp kiểm soát với hướng dẫn triển khai, và bổ sung biện pháp kiểm soát khác nếu cần. Quy trình này có thể được làm bằng cách thực hiện đánh giá rủi ro an toàn thông tin và xử lý rủi ro trong ngữ cảnh tổ chức và doanh nghiệp sử dụng hoặc cung cấp các dịch vụ đám mây (xem mục 4.4).

4.2 Quan hệ với nhà cung cấp trong dịch vụ đám mây

ISO/IEC 27002 điều 15 “Quan hệ với nhà cung cấp” cung cấp biện pháp kiểm soát, hướng dẫn triển khai và thông tin khác để quản lý an toàn thông tin trong các mối quan hệ nhà cung cấp. Việc cung cấp và sử dụng các dịch vụ đám mây là một kiểu quan hệ nhà cung cấp, mà ở đó khách hàng dịch vụ đám mây là người mua và nhà cung cấp dịch vụ đám mây là nhà cung cấp. Do đó, điều này áp dụng cho khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây.

Các khách hàng dịch vụ đám mây và các nhà cung cấp dịch vụ đám mây cũng có thể hình thành một chuỗi cung ứng. Giả sử rằng, một nhà cung cấp dịch vụ đám mây cung cấp một loại dịch vụ về các năng lực cơ sở hạ tầng. Bên cạnh đó, một nhà cung cấp dịch vụ đám mây khác có thể cung cấp một loại dịch vụ về các năng lực ứng dụng. Trong trường hợp này, nhà cung cấp dịch vụ đám mây thứ hai là một khách hàng dịch vụ đám mây đối với nhà cung cấp thứ nhất, và một nhà cung cấp dịch vụ đám mây tương ứng với khách hàng dịch vụ đám mây sử dụng dịch vụ của mình Ví dụ này minh họa trường hợp Tiêu chuẩn áp dụng cho một tổ chức vừa là khách hàng sử dụng dịch vụ đám mây vừa là nhà cung cấp dịch vụ đám mây cho các khách hàng khác. Bởi vì các khách hàng dịch vụ đám mây và các nhà cung cấp dịch vụ đám mây hình thành một chuỗi cung ứng thông qua việc thiết kế và triển khai (các) dịch vụ đám mây, điều “15.1.3 Chuỗi cung ứng công nghệ thông tin và truyền thông” của ISO/IEC 27002.

Bộ tiêu chuẩn ISO/IEC 27036, "An toàn thông tin cho các mối quan hệ nhà cung cấp" (Information security for supplier relationships), cung cấp hướng dẫn chi tiết về an toàn thông tin trong các mối quan hệ nhà cung cấp với người mua và nhà cung cấp các sản phẩm và dịch vụ.

ISO/IEC 27036 Phần 4 đề cập trực tiếp đến an toàn của các dịch vụ đám mây trong các mối quan hệ nhà cung cấp. Tiêu chuẩn này cũng có thể áp dụng cho các khách hàng dịch vụ đám mây như các người mua và các nhà cung cấp dịch vụ đám mây như các nhà cung cấp.

4.3 Mối quan hệ giữa khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây

Trong môi trường điện toán đám mây, dữ liệu khách hàng dịch vụ đám mây được lưu trữ, truyền và xử lý bởi dịch vụ đám mây. Do đó, các quy trình kinh doanh của khách hàng dịch vụ đám mây có thể phụ thuộc vào an toàn thông tin của dịch vụ đám mây. Nếu không có kiểm soát đầy đủ đối với dịch vụ đám mây, khách hàng dịch vụ đám mây có thể cần phải thận trọng hơn với các thực hành an toàn thông tin của mình.

Trước khi tham gia vào một mối quan hệ nhà cung cấp, khách hàng dịch vụ đám mây cần lựa chọn một dịch vụ đám mây, quan tâm đến khả năng chênh lệch giữa các yêu cầu về an toàn thông tin của khách hàng dịch vụ đám mây và các khả năng an toàn thông tin được đề nghị theo dịch vụ. Khi một dịch vụ đám mây được chọn, khách hàng dịch vụ đám mây nên quản lý việc sử dụng dịch vụ đám mây theo cách để đáp ứng các yêu cầu về an toàn thông tin của mình. Trong mối quan hệ này, nhà cung cấp dịch vụ đám mây nên cung cấp thông tin và hỗ trợ kỹ thuật cần thiết để đáp ứng yêu cầu an toàn thông tin của khách hàng dịch vụ đám mây. Khi biện pháp kiểm soát an toàn thông tin được cung cấp bởi nhà cung cấp dịch vụ đám mây theo thiết lập trước và không thể thay đổi theo khách hàng dịch vụ đám mây, khách hàng dịch vụ đám mây có thể cần triển khai biện pháp kiểm soát bổ sung của mình để giảm thiểu các rủi ro.

4.4 Quản lý rủi ro an toàn thông tin trong dịch vụ đám mây

Các khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây nên cả hai đều có quy trình quản lý rủi ro an toàn thông tin thích hợp. Họ nên tham khảo ISO/IEC 27001 đối với các yêu cầu để thực thi quản lý rủi ro trong các hệ thống quản lý an toàn thông tin của mình, và tham khảo ISO/IEC 27005 để hướng dẫn bổ sung về quản lý rủi ro an toàn thông tin của mình. ISO 31000, cùng với tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27005 là phù hợp để có thể giúp nhận biết chung về quản lý rủi ro.

Ngược lại với áp dụng chung của các quy trình quản lý rủi ro an toàn thông tin, điện toán đám mây có các kiểu riêng của mình về nguồn rủi ro, bao gồm các mối đe dọa và lỗ hổng, được bắt nguồn từ các tính năng của nó, ví dụ như kết nối mạng, khả năng mở rộng và tính co giãn của hệ thống, chia sẻ tài nguyên, tự xử lý dịch vụ, quản trị theo yêu cầu, cung cấp dịch vụ pháp lý chéo, và giới hạn khả năng hiển thị trong việc triển khai biện pháp kiểm soát. Phụ lục B cung cấp các viện dẫn đề cập thông tin về các nguồn rủi ro này và các rủi ro liên quan trong việc cung cấp và sử dụng các dịch vụ đám mây.

Biện pháp kiểm soát và hướng dẫn triển khai đã nêu tại các Điều từ 5 đến 18 và Phụ lục A của Tiêu chuẩn này đề cập các nguồn rủi ro và các rủi ro của chuyên ngành điện toán đám mây.

4.5 Cấu trúc của tiêu chuẩn này

Tiêu chuẩn này được cấu trúc theo định dạng tương tự như ISO/IEC 27002, bao gồm các Điều từ 5 đến 18 của ISO/IEC 27002 thông qua việc tuyên bố khả năng áp dụng các nội dung của nó tại mỗi Điều và đoạn văn bản.

Khi áp dụng các mục tiêu và biện pháp kiểm soát đã quy định trong ISO/IEC 27002 mà không cần bất kỳ thông tin bổ sung nào, Tiêu chuẩn này chỉ cung cấp một viện dẫn với ISO/IEC 27002.

Khi một mục tiêu với biện pháp kiểm soát, hoặc một kiểm soát theo một mục tiêu từ ISO/IEC 27002 cần thiết bổ sung với những quy định này của ISO/IEC 27002, chúng được đưa ra trong phụ lục quy định Phụ lục A: Bộ kiểm soát mở rộng dịch vụ đám mây. Khi một kiểm soát của ISO/IEC 27002 hoặc Phụ lục A của Tiêu chuẩn này cần bổ sung hướng dẫn triển khai chuyên ngành dịch vụ đám mây liên quan đến biện pháp kiểm soát, nó được đưa ra dưới phụ đề "Hướng dẫn triển khai cho các dịch vụ đám mây". Hướng dẫn được cung cấp theo một trong hai loại sau:

Loại 1 được sử dụng khi có sự khác biệt giữa hướng dẫn cho khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây.

Loại 2 được sử dụng khi hướng dẫn là giống nhau cho cả khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây.

Loại 1

Loại 2

Thông tin bổ sung mà có thể cần xem xét được cung cấp dưới phụ đề “Thông tin khác cho các dịch vụ đám mây”

5 Chính sách an toàn thông tin

5.1 Định hướng quản lý an toàn thông tin

Áp dụng mục tiêu đã quy định tại điều 5.1 của ISO/IEC 27002.

5.1.1 Chính sách an toàn thông tin

Áp dụng biện pháp kiểm soát 5.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho dịch vụ đám mây

Chính sách an toàn thông tin của khách hàng đám mây đối với điện toán đám mây là một trong các chính sách theo chủ đề cụ thể được mô tả trong điều 5.1.1 của ISO/IEC 27002. Chính sách an toàn thông tin của một tổ chức đề cập đến các thông tin và quy trình nghiệp vụ của mình. Khi một tổ chức sử dụng các dịch vụ đám mây, tổ chức có thể có một chính sách về điện toán đám mây như là một khách hàng dịch vụ đám mây. Thông tin của một tổ chức có thể được lưu trữ và duy trì trong môi trường điện toán đám mây, các quy trình nghiệp vụ có thể được vận hành trong môi trường điện toán đám mây. Các yêu cầu chung về an toàn thông tin được tuyên bố trong chính sách an toàn thông tin ở mức độ cao nhất được tuân theo chính sách điện toán đám mây.

Ngược lại, chính sách an toàn thông tin đối với cung cấp dịch vụ đám mây giải quyết với thông tin và quy trình nghiệp vụ của khách hàng dịch vụ đám mây, không phải thông tin và quy trình nghiệp vụ của các nhà cung cấp dịch vụ đám mây. Các yêu cầu về an toàn thông tin đối với việc cung cấp dịch vụ đám mây phải đáp ứng được các khách hàng tiềm năng của dịch vụ đám mây này. Như vậy, chúng có thể không đồng nhất với các yêu cầu an toàn thông tin của thông tin và quy trình nghiệp vụ của nhà cung cấp dịch vụ đám mây. Phạm vi của chính sách an toàn thông tin thường được định nghĩa trong các điều khoản dịch vụ, nhưng không chỉ dựa vào cấu trúc tổ chức hoặc các vị trí địa lý.

Có một số khía cạnh an toàn ảo hóa cho điện toán đám mây, bao gồm quản lý vòng đời của các phiên bản ảo hóa, lưu trữ và biện pháp kiểm soát truy cập đối với các hình ảnh ảo, xử lý các trường hợp ảo không hoạt động hoặc ngoại tuyến, ảnh chụp nhanh (snapshot), bảo vệ các phần mềm ảo hóa và biện pháp kiểm soát an toàn quản trị việc sử dụng cổng thông tin điện tử tự phục vụ dịch vụ đám mây.

5.1.2 Soát xét chính sách về an toàn thông tin

Áp dụng biện pháp kiểm soát 5.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

6 Tổ chức về an toàn thông tin

6.1 Tổ chức nội bộ

Áp dụng mục tiêu đã quy định tại điều 6.1 của ISO/IEC 27002.

6.1.1 Các vai trò và trách nhiệm về an toàn thông tin

Áp dụng biện pháp kiểm soát 6.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đảm mây

Thông tin khác cho dịch vụ đám mây

Ngay cả khi trách nhiệm được xác định trong và giữa các bên, khách hàng dịch vụ đám mây chịu trách nhiệm về quyết định sử dụng dịch vụ. Quyết định đó nên được thực hiện theo vai trò và trách nhiệm được xác định trong tổ chức của khách hàng dịch vụ đám mây. Nhà cung cấp dịch vụ đám mây chịu trách nhiệm về an toàn thông tin đã nêu như một phần của thỏa thuận dịch vụ đám mây. Việc triển khai và cung cấp an toàn thông tin phải được làm theo các vai trò và các trách nhiệm đã xác định trong tổ chức của nhà cung cấp dịch vụ đám mây.

Sự mơ hồ về vai trò và trong việc xác định và phân bổ các trách nhiệm liên quan đến các vấn đề như quyền sở hữu dữ liệu, biện pháp kiểm soát truy cập và bảo trì cơ sở hạ tầng có thể dẫn đến các tranh chấp về nghiệp vụ hoặc pháp lý, đặc biệt khi giải quyết với bên thứ ba.

Dữ liệu và các tập tin trên các hệ thống của nhà cung cấp dịch vụ đám mây được tạo ra hoặc sửa đổi trong quá trình sử dụng dịch vụ đám mây có thể rất quan trọng đối với an toàn hoạt động, phục hồi và tính liên tục của dịch vụ. Quyền sở hữu của tất cả các tài sản và các bên mà có trách nhiệm về hoạt động liên quan đến các tài sản này, chẳng hạn như các hoạt động sao lưu và khôi phục phải được xác định và ghi lại. Nếu không, có một rủi ro là nhà cung cấp dịch vụ đám mây cho rằng khách hàng dịch vụ đám mây thực hiện những tác vụ quan trọng này (hoặc ngược lại), và việc mất dữ liệu có thể xảy ra.

6.1.2 Phân tách các nhiệm vụ

Áp dụng biện pháp kiểm soát 6.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

6.1.3 Liên hệ với cơ quan có thẩm quyền

Áp dụng biện pháp kiểm soát 6.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Thông tin về các vị trí địa lý nơi dữ liệu khách hàng của dịch vụ đám mây có thể được lưu trữ, xử lý hoặc truyền đi có thể giúp khách hàng dịch vụ đám mây trong việc xác định các cơ quan giám sát và pháp lý.

6.1.4 Liên hệ với các nhóm chuyên gia

Áp dụng biện pháp kiểm soát 6.1.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

6.1.5 An toàn thông tin trong quản lý dự án

Áp dụng biện pháp kiểm soát 6.1.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

6.2 Thiết bị di động và làm việc từ xa

Áp dụng mục tiêu đã quy định tại điều 6.2 của ISO/IEC 27002.

6.2.1 Chính sách thiết bị di động

Áp dụng biện pháp kiểm soát 6.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

6.2.2 Làm việc từ xa

Áp dụng biện pháp kiểm soát 6.2.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

7 An toàn nguồn nhân lực

7.1 Trước khi tuyển dụng

Áp dụng mục tiêu đã quy định tại điều 7.1 của ISO/IEC 27002.

7.1.1 Thẩm tra

Áp dụng biện pháp kiểm soát 7.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

7.1.2 Điều khoản và điều kiện tuyển dụng

Áp dụng biện pháp kiểm soát 7.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

7.2 Trong thời gian làm việc

Áp dụng mục tiêu đã quy định tại điều 7.2 của ISO/IEC 27002.

7.2.1 Trách nhiệm của ban quản lý

Áp dụng biện pháp kiểm soát 7.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

7.2.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin

Áp dụng biện pháp kiểm soát 7.2.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

7.2.3 Xử lý kỷ luật

Áp dụng biện pháp kiểm soát 7.2.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

7.3 Chấm dứt và thay đổi công việc

Áp dụng mục tiêu đã quy định tại điều 7.3 của ISO/IEC 27002.

7.3.1 Trách nhiệm khi chấm dứt hoặc thay đổi công việc

Áp dụng biện pháp kiểm soát 7.3.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

8 Quản lý tài sản

8.1 Trách nhiệm đối với tài sản

Áp dụng mục tiêu đã quy định tại điều 8.1 của ISO/IEC 27002.

8.1.1 Kiểm kê tài sản

Áp dụng biện pháp kiểm soát 8.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Có các ứng dụng dịch vụ đám mây cung cấp chức năng quản lý thông tin bằng cách bổ sung dữ liệu dẫn xuất từ dữ liệu khách hàng dịch vụ đám mây. Xác định những dữ liệu dẫn xuất dịch vụ đám mây như các tài sản và duy trì chúng trong kiểm kê các tài sản có thể góp phần nâng cao an toàn thông tin.

8.1.2 Quyền sở hữu tài sản

Áp dụng biện pháp kiểm soát 8.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

Thông tin khác cho các dịch vụ đám mây

Quyền sở hữu tài sản sẽ có khả năng thay đổi tùy thuộc vào loại dịch vụ đám mây đang được sử dụng. Phần mềm ứng dụng sẽ thuộc về khách hàng dịch vụ đám mây khi sử dụng Nền tảng như một Dịch vụ (PaaS) hoặc Cơ sở hạ tầng như một Dịch vụ (IaaS), trong khi dịch vụ Phần mềm là Dịch vụ (SaaS), phần mềm ứng dụng sẽ thuộc về nhà cung cấp dịch vụ đám mây.

8.1.3 Tiếp nhận sử dụng tài sản

Áp dụng biện pháp kiểm soát 8.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

8.1.4 Hoàn trả bàn giao tài sản

Áp dụng biện pháp kiểm soát 8.1.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

8.2 Phân loại thông tin

Áp dụng mục tiêu đã quy định tại điều 8.1 của ISO/IEC 27002.

8.2.1 Phân loại thông tin

Áp dụng biện pháp kiểm soát 8.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

8.2.2 Gán nhãn thông tin

Áp dụng kiểm soát 8.2.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

8.2.3 Xử lý tài sản

Áp dụng biện pháp kiểm soát 8.2.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

8.3 Quản lý phương tiện

Áp dụng mục tiêu đã quy định tại điều 8.3 của ISO/IEC 27002.

8.3.1 Quản lý phương tiện loại bỏ

Áp dụng biện pháp kiểm soát 8.3.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

8.3.2 Loại bỏ phương tiện

Áp dụng biện pháp kiểm soát 8.3.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong Tiêu chuẩn ISO/IEC 27002.

8.3.3 Phương tiện truyền tải vật lý

Áp dụng biện pháp kiểm soát 8.3.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

9 Kiểm soát truy cập

9.1 Yêu cầu nghiệp vụ đối với kiểm soát truy cập

Áp dụng mục tiêu đã quy định tại điều 9.1 của ISO/IEC 27002.

9.1.1 Chính sách kiểm soát truy cập

Áp dụng biện pháp kiểm soát 9.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

9.1.2 Truy cập vào hệ thống mạng và các dịch vụ mạng

Áp dụng biện pháp kiểm soát 9.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn thông tin cho các dịch vụ đám mây

9.2 Quản lý truy cập người dùng

Áp dụng mục tiêu đã quy định tại điều 9.2 của ISO/IEC 27002.

9.2.1 Đăng ký và xóa đăng ký người sử dụng

Áp dụng biện pháp kiểm soát 9.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng

Hướng dẫn thông tin cho các dịch vụ đám mây

9.2.2 Cung cấp truy cập người sử dụng

Áp dụng biện pháp kiểm soát 9.2.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn thông tin cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Nhà cung cấp dịch vụ đám mây nên hỗ trợ các công nghệ quản lý truy cập và nhận dạng của bên thứ ba đối với các dịch vụ đám mây và các giao diện quản trị liên quan của mình. Những công nghệ này có thể cho phép dễ dàng hơn việc tích hợp và dễ dàng hơn xác định quản trị người dùng giữa các hệ thống của khách hàng dịch vụ đám mây và dịch vụ đám mây, và có thể dễ sử dụng nhiều dịch vụ đám mây, hỗ trợ các năng lực như đăng nhập một lần (single sign-on).

9.2.3 Quản lý các quyền truy cập đặc quyền

Áp dụng biện pháp kiểm soát 9.2.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn thông tin cho các dịch vụ đám mây

9.2.4 Quản lý xác thực thông tin bí mật của người dùng

Áp dụng biện pháp kiểm soát 9.2.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn thông tin cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Khách hàng của dịch vụ đám mây nên kiểm soát việc quản lý thông tin xác thực bí mật bằng việc sử dụng các công nghệ quản lý truy cập và nhận dạng của mình hoặc bên thứ ba.

9.2.5 Soát xét các quyền truy cập của người sử dụng

Áp dụng biện pháp kiểm soát 9.2.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

9.2.6 Loại bỏ hoặc điều chỉnh các quyền truy cập

Áp dụng biện pháp kiểm soát 9.2.6, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

9.3 Các trách nhiệm của người sử dụng

Áp dụng mục tiêu đã quy định tại điều 9.3 của ISO/IEC 27002.

9.3.1 Sử dụng xác thực thông tin bí mật

Áp dụng biện pháp kiểm soát 9.3.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

9.4 Hệ thống và ứng dụng kiểm soát truy cập

Áp dụng mục tiêu đã quy định tại điều 9.4 của ISO/IEC 27002.

9.4.1 Giới hạn truy cập thông tin

Áp dụng biện pháp kiểm soát 9.4.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn thông tin cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Môi trường điện toán đám mây bao gồm các lĩnh vực bổ sung mà nó yêu cầu biện pháp kiểm soát truy cập. Như một phần của dịch vụ đám mây hoặc các chức năng dịch vụ đám mây, truy cập vào các chức năng và các dịch vụ, như các chức năng quản lý phần mềm ảo hóa và các điều khiển quản trị, có thể cần kiểm soát truy cập bổ sung.

9.4.2 An toàn các quy trình đăng nhập

Áp dụng biện pháp kiểm soát 9.4.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

9.4.3 Hệ thống quản lý mật khẩu

Áp dụng biện pháp kiểm soát 9.4.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

9.4.4 Sử dụng các chương trình tiện ích đặc quyền

Áp dụng biện pháp kiểm soát 9.4.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn thông tin cho các dịch vụ đám mây

9.4.5 Kiểm soát truy cập đến mã nguồn chương trình

Áp dụng biện pháp kiểm soát 9.4.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

10 Mật mã

10.1 Biện pháp kiểm soát mật mã

Áp dụng mục tiêu đã quy định tại điều 10.1 của ISO/IEC 27002.

10.1.1 Chính sách sử dụng biện pháp kiểm soát mật mã

Áp dụng biện pháp kiểm soát 10.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Trong một số quyền hạn, có thể yêu cầu áp dụng mật mã để bảo vệ các loại thông tin cụ thể, chẳng hạn như dữ liệu sức khỏe, số đăng ký cư trú, số hộ chiếu và số giấy phép lái xe.

10.1.2 Quản lý khóa

Áp dụng biện pháp kiểm soát 10.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

11 An toàn vật lý và môi trường

11.1 An toàn các khu vực

Áp dụng mục tiêu đã quy định tại điều 11.1 của ISO/IEC 27002.

11.1.1 Vành đai an toàn vật lý

Áp dụng biện pháp kiểm soát 11.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.1.2 Biện pháp kiểm soát lối vào vật lý

Áp dụng biện pháp kiểm soát 11.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.1.3 An toàn các văn phòng, phòng làm việc và cơ sở vật chất

Áp dụng biện pháp kiểm soát 11.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.1.4 Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường

Áp dụng biện pháp kiểm soát 11.1.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.1.5 Làm việc trong các khu vực an toàn

Áp dụng biện pháp kiểm soát 11.1.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.1.6 Khu vực phân phối và tập kết hàng

Áp dụng biện pháp kiểm soát 11.1.6, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2 Thiết bị

Áp dụng mục tiêu đã quy định tại điều 11.2 của ISO/IEC 27002.

11.2.1 Bố trí và bảo vệ thiết bị

Áp dụng biện pháp kiểm soát 11.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2.2 Các tiện ích hỗ trợ

Áp dụng biện pháp kiểm soát 11.2.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2.3 An toàn dây cáp

Áp dụng biện pháp kiểm soát 11.2.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2.4 Bảo trì thiết bị

Áp dụng biện pháp kiểm soát 11.2.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2.5 Loài bỏ tài sản

Áp dụng biện pháp kiểm soát 11.2.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2.6 An toàn cho trang thiết bị và các tài sản bên ngoài trụ sở của tổ chức

Áp dụng biện pháp kiểm soát 11.2.6, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2.7 An toàn thiết bị loại bỏ hoặc tái sử dụng

Áp dụng biện pháp kiểm soát 12.2.7, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Thông tin bổ sung về an toàn việc loại bỏ có thể tìm thấy trong ISO/IEC 27040.

11.2.8 Thiết bị người dùng khi không sử dụng

Áp dụng biện pháp kiểm soát 11.2.8, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

11.2.9 Chính sách bàn làm việc sạch và màn hình sạch

Áp dụng biện pháp kiểm soát 11.2.9, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

12 An toàn vận hành

12.1 Các quy trình và trách nhiệm vận hành

Áp dụng mục tiêu đã quy định tại điều 12.1 của ISO/IEC 27002.

12.1.1 Lập tài liệu các quy trình vận hành

Áp dụng biện pháp kiểm soát 12.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002

12.1.2 Quản lý thay đổi

Áp dụng biện pháp kiểm soát 12.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Danh sách các mục cần được đưa vào trong thông báo có thể được xác định trong một thỏa thuận, ví dụ như một thỏa thuận dịch vụ chính hoặc một thỏa thuận mức dịch vụ (SLA).

12.1.3 Quản lý công suất hệ thống

Áp dụng biện pháp kiểm soát 12.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Dịch vụ đám mây liên quan tài nguyên dưới kiểm soát của nhà cung cấp dịch vụ đám mây và làm sẵn có cho khách hàng dịch vụ đám mây dưới các điều khoản của thỏa thuận dịch vụ chính và một SLA có liên quan. Các tài nguyên này bao gồm phần mềm, phần cứng xử lý, lưu trữ dữ liệu và kết nối mạng.

Sự phân bổ nguồn lực linh hoạt, khả năng mở rộng và theo yêu cầu trong một dịch vụ đám mây nói chung làm tăng tổng công suất của dịch vụ. Tuy nhiên, khách hàng dịch vụ đám mây nên biết rằng các nguồn được cung cấp có thể có những hạn chế về công suất. Ví dụ về các hạn chế công suất bao gồm số lượng lõi bộ xử lý cho một ứng dụng, dung lượng lưu trữ sẵn có hoặc băng thông mạng có sẵn.

Các hạn chế có thể khác nhau tùy thuộc vào dịch vụ đám mây cụ thể hoặc thuê bao cụ thể mà khách hàng dịch vụ đám mây mua. Nếu khách hàng dịch vụ đám mây có yêu cầu vượt quá các hạn chế, khách hàng dịch vụ đám mây có thể cần phải thay đổi dịch vụ đám mây hoặc thay đổi đăng ký thuê bao.

Để khách hàng dịch vụ đám mây thực hiện quản lý công suất cho các dịch vụ đám mây, khách hàng dịch vụ đám mây nên có quyền truy cập vào số liệu thống kê có liên quan về việc sử dụng tài nguyên, chẳng hạn như:

- thống kê cho các khoảng thời gian cụ thể;

- các mức tối đa của việc sử dụng tài nguyên.

12.1.4 Phân tách các môi trường phát triển, kiểm tra và vận hành

Áp dụng biện pháp kiểm soát 12.1.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

12.2 Bảo vệ khỏi phần mềm độc hại

Áp dụng mục tiêu đã quy định tại điều 12.2 của ISO/IEC 27002.

12.2.1 Biện pháp kiểm soát chống lại phần mềm độc hại

Áp dụng biện pháp kiểm soát 11.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

12.3 Sao lưu

Mục tiêu được quy định trong điều 12.3 của ISO/IEC 27002.

12.3.1 Sao lưu thông tin

Áp dụng biện pháp kiểm soát 12.3.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Việc phân bổ các trách nhiệm để sao lưu trong môi trường điện toán đám mây thường không rõ ràng. Trong trường hợp của IaaS, trách nhiệm sao lưu thường nằm ở khách hàng dịch vụ đám mây. Tuy nhiên, khách hàng của dịch vụ đám mây có thể không nhận thức được trách nhiệm của mình trong việc sao lưu tất cả dữ liệu khách hàng của dịch vụ đám mây được sinh ra trong hệ thống điện toán đám mây, chẳng hạn như các tệp tin thực thi được tạo ra bằng cách sử dụng các năng lực phát triển của một dịch vụ PaaS.

LƯU Ý: Thay đổi các mức sao lưu và khôi phục có thể được cung cấp dưới dạng dịch vụ với chi phí bổ sung, và trong trường hợp này, khách hàng dịch vụ đám mây có thể chọn thời điểm và những gì cần sao lưu.

12.4 Ghi nhật ký và giám sát

Áp dụng mục tiêu đã quy định tại điều 12.4 của ISO/IEC 27002.

12.4.1 Ghi nhật ký sự kiện

Áp dụng biện pháp kiểm soát 12.4.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Thông tin khác cho các dịch vụ đám mây

Cần chú ý giới hạn việc tiết lộ của các chi tiết triển khai về kiểm soát an toàn khi chúng liên quan đến dịch vụ đám mây được cung cấp cho những khách hàng dịch vụ đám mây này mà có thỏa thuận không tiết lộ tại chỗ.

14.1.2 Bảo đảm an toàn các dịch vụ ứng dụng trên mạng công cộng

Áp dụng biện pháp kiểm soát 14.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.1.3 Bảo vệ các giao dịch dịch vụ ứng dụng

Áp dụng biện pháp kiểm soát 14.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2 An toàn trong các quy trình phát triển và hỗ trợ

Áp dụng mục tiêu đã quy định tại điều 14.2 của ISO/IEC của 27002.

14.2.1 Chính sách an toàn phát triển

Áp dụng biện pháp kiểm soát 14.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Các quy trình và các thực hành an toàn phát triển của nhà cung cấp dịch vụ đám mây có thể rất quan trọng đối với SaaS.

14.2.2 Quy trình kiểm soát thay đổi hệ thống

Áp dụng biện pháp kiểm soát 14.2.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2.3 Soát xét kỹ thuật của các ứng dụng sau khi thay đổi nền tảng hoạt động

Áp dụng biện pháp kiểm soát 14.2.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2.4 Hạn chế về các thay đổi đối với các gói phần mềm

Áp dụng biện pháp kiểm soát 14.2.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2.5 Các nguyên tắc an toàn kỹ thuật hệ thống

Áp dụng biện pháp kiểm soát 14.2.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2.6 An toàn môi trường phát triển

Áp dụng biện pháp kiểm soát 14.2.6, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2.7 Phát triển thuê ngoài

Áp dụng biện pháp kiểm soát 14.2.7, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2.8 Kiểm tra an toàn hệ thống

Áp dụng biện pháp kiểm soát 14.2.8, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

14.2.9 Kiểm tra chấp nhận hệ thống

Áp dụng biện pháp kiểm soát 14.2.9, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

Thông tin khác cho các dịch vụ đám mây

Trong điện toán đám mây, hướng dẫn kiểm tra chấp nhận hệ thống áp dụng cho việc sử dụng dịch vụ đám mây của khách hàng dịch vụ đám mây.

14.3 Kiểm tra dữ liệu

Áp dụng mục tiêu đã quy định tại điều 14.3 của ISO/IEC 27002.

14.3.1 Bảo vệ dữ liệu kiểm tra

Áp dụng biện pháp kiểm soát 14.3.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

15 Quan hệ với nhà cung cấp

15.1 An toàn thông tin trong quan hệ với nhà cung cấp

Áp dụng mục tiêu đã quy định tại điều 12.1 của ISO/IEC 27002.

15.1.1 Chính sách an toàn thông tin cho mối quan hệ với nhà cung cấp

Áp dụng biện pháp kiểm soát 15.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

15.1.2 Đảm bảo an toàn trong thỏa thuận với nhà cung cấp

Áp dụng biện pháp kiểm soát 15.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

15.1.3 Chuỗi cung ứng công nghệ thông tin và truyền thông

Áp dụng biện pháp kiểm soát 15.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

15.2 Quản lý cung cấp dịch vụ nhà cung cấp

Áp dụng mục tiêu đã quy định tại điều 12.1 của ISO/IEC 27002.

15.2.1 Giám sát và xem xét các dịch vụ nhà cung cấp

Áp dụng biện pháp kiểm soát 15.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

15.2.2 Quản lý các thay đổi đối với các dịch vụ nhà cung cấp

Áp dụng biện pháp kiểm soát 15.2.2 và hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002 được áp dụng.

16 Quản lý sự cố an toàn thông tin

16.1 Quản lý các sự cố an toàn thông tin và các cải tiến

Áp dụng mục tiêu đã quy định tại điều 16.1 của ISO/IEC 27002.

16.1.1 Trách nhiệm và quy trình

Áp dụng biện pháp kiểm soát 16.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

16.1.2 Báo cáo các sự kiện an toàn thông tin

Áp dụng biện pháp kiểm soát 16.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Các cơ chế không chỉ xác định các quy trình mà còn cung cấp các thông tin cần thiết như số điện thoại liên lạc, các địa chỉ email và các thời gian phục vụ cho cả khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây.

Một sự kiện an toàn thông tin có thể được phát hiện bởi cả khách hàng dịch vụ đám mây hoặc nhà cung cấp dịch vụ đám mây. Do đó, trách nhiệm bổ sung chính liên quan đến điện toán đám mây là bên phát hiện sự kiện nên có các quy trình báo cáo sự kiện cho bên khác một cách tức thì.

16.1.3 Báo cáo các điểm yếu an toàn thông tin

Áp dụng biện pháp kiểm soát 16.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

16.1.4 Đánh giá và quyết định về các sự kiện an toàn thông tin

Áp dụng biện pháp kiểm soát 16.1.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

16.1.5 Ứng cứu các sự cố an toàn thông tin

Áp dụng biện pháp kiểm soát 16.1.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

16.1.6 Bài học từ các sự cố an toàn thông tin

Áp dụng biện pháp kiểm soát 16.1.6, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

16.1.7 Thu thập bằng chứng

Áp dụng biện pháp kiểm soát 16.1.7, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng

Hướng dẫn triển khai cho các dịch vụ đám mây

17 Các khía cạnh an toàn thông tin của quản lý liên tục hoạt động nghiệp vụ

17.1 An toàn thông tin liên tục

Áp dụng mục tiêu đã quy định tại điều 17.1 của ISO/IEC 27002.

17.1.1 Lập kế hoạch an toàn thông tin liên tục

Áp dụng biện pháp kiểm soát 17.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

17.1.2 Triển khai an toàn thông tin liên tục

Áp dụng biện pháp kiểm soát 17.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

17.1.3 Xác minh, xem xét và đánh giá an toàn thông tin liên tục

Áp dụng biện pháp kiểm soát 17.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

17.2 Dự phòng

Áp dụng mục tiêu đã quy định tại điều 17.2 của ISO/IEC 27002.

17.2.1 Tính sẵn sàng của khả năng xử lý thông tin

Áp dụng biện pháp kiểm soát 17.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

18 Tuân thủ

18.1 Tuân thủ pháp luật và các yêu cầu hợp đồng

Áp dụng mục tiêu đã quy định tại điều 18.1 của ISO/IEC 27002.

18.1.1 Xác định pháp luật áp dụng và các yêu cầu hợp đồng

Áp dụng biện pháp kiểm soát 18.1.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Các yêu cầu pháp lý và quy định mà áp dụng cho việc cung cấp và sử dụng các dịch vụ đám mây nên được xác định, đặc biệt khi các năng lực xử lý, lưu trữ và kết nối được phân tán theo địa lý và có thể có nhiều quyền tài phán liên quan.

Điều quan trọng cần lưu ý là các yêu cầu tuân thủ, dù là pháp luật hay hợp đồng, trách nhiệm cuối cùng của khách hàng dịch vụ đám mây. Các trách nhiệm tuân thủ không thể chuyển cho nhà cung cấp dịch vụ đám mây.

18.1.2 Quyền sở hữu trí tuệ

Áp dụng biện pháp kiểm soát 18.1.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

18.1.3 Bảo vệ hồ sơ

Áp dụng biện pháp kiểm soát 18.1.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

18.1.4 Bảo mật riêng tư và bảo vệ thông tin nhận dạng cá nhân

Áp dụng biện pháp kiểm soát 18.1.4, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

Thông tin khác cho các dịch vụ đám mây

ISO/IEC 270018, Quy tắc thực hành để bảo vệ PII trong các đám mây công cộng hoạt động như các bộ vi xử lý PII, cung cấp thêm thông tin về chủ đề này.

18.1.5 Quy định về biện pháp kiểm soát mật mã

Áp dụng biện pháp kiểm soát 18.1.5, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

18.2 Các xem xét an toàn thông tin

Áp dụng mục tiêu đã quy định tại điều 18.2 của ISO/IEC 27002.

18.2.1 Soát xét độc lập về an toàn thông tin

Áp dụng biện pháp kiểm soát 18.2.1, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002. Các hướng dẫn chuyên ngành cụ thể sau đây cũng được áp dụng.

Hướng dẫn triển khai cho các dịch vụ đám mây

18.2.2 Tuân thủ với các chính sách và các tiêu chuẩn an toàn

Áp dụng biện pháp kiểm soát 18.2.2, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

18.2.3 Soát xét tuân thủ kỹ thuật

Áp dụng biện pháp kiểm soát 18.2.3, hướng dẫn triển khai liên quan và thông tin khác đã quy định trong ISO/IEC 27002.

 

Phụ lục A

(quy định)

Các biện pháp kiểm soát mở rộng cho dịch vụ đám mây

Phụ lục này cung cấp bổ sung các mục tiêu kiểm soát, biện pháp kiểm soát và hướng dẫn triển khai như một bộ kiểm soát mở rộng cho các dịch vụ đám mây. Các mục tiêu kiểm soát ISO/IEC 27002 liên quan đến biện pháp kiểm soát này là không lặp lại.

Một tổ chức có ý định triển khai biện pháp kiểm soát này trong một hệ thống quản lý an toàn thông tin (ISMS) nó là phù hợp với ISO/IEC 27001, nên mở rộng tuyên bố của mình về áp dụng (SOA) bằng cách bổ sung biện pháp kiểm soát được nêu trong phụ lục này.

CLD.6.3 Mối quan hệ giữa khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây

CLD.6.3.1 Chia sẻ các vai trò và trách nhiệm trong môi trường điện toán đám mây

Kiểm soát

Các trách nhiệm, đối với chia sẻ các vai trò an toàn thông tin trong việc sử dụng dịch vụ đám mây nên được phân bổ cho các bên được xác định, được ghi văn bản, được trao đổi và được thực hiện bởi cả khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Trong điện toán đám mây, các vai trò và trách nhiệm thường được phân chia giữa nhân viên của khách hàng dịch vụ đám mây và nhân viên của nhà cung cấp dịch vụ đám mây. Việc phân bổ vai trò và trách nhiệm nên xem xét dữ liệu khách hàng dịch vụ đám mây và các ứng dụng khách hàng dịch vụ đám mây mà nhà cung cấp dịch vụ đám mây là người bảo quản.

CLD.8.1 Trách nhiệm đối với các tài sản

Áp dụng mục tiêu đã quy định tại điều 8.1 của ISO/IEC 27002.

Các quy trình đối với hoạt động quản trị của một môi trường điện toán đám mây nên được xác định, được ghi lại và được giám sát.

Hướng dẫn triển khai cho các dịch vụ đám mây

Thông tin khác cho các dịch vụ đám mây

Điện toán đám mây có lợi ích của việc cung cấp và quản lý nhanh chóng, và tự phục vụ theo yêu cầu. Các hoạt động này thường do được thực hiện bởi các quản trị viên từ khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây. Bởi vì sự can thiệp của con người vào các hoạt động quan trọng này có thể gây ra các sự cố an toàn thông tin nghiêm trọng nên cần phải xem xét và nếu cần thiết thì sẽ phải xem xét và thực hiện các cơ chế để bảo vệ các hoạt động. Ví dụ về các sự cố nghiêm trọng bao gồm xóa hoặc đóng một số lượng lớn các máy chủ ảo hoặc phá hủy các tài sản ảo.

CLD.12.4 Ghi nhật ký và giám sát

Áp dụng mục tiêu đã quy định tại điều 12.4 của ISO/IEC 27002.

CLD12.4.5 Giám sát các dịch vụ đám mây

Kiểm soát

Khách hàng của dịch vụ đám mây nên có năng lực để giám sát các khía cạnh đã xác định của hoạt động của các dịch vụ đám mây mà khách hàng sử dụng dịch vụ đám mây.

 

Phụ lục B

(tham khảo)

Tài liệu tham khảo về rủi ro an toàn thông tin liên quan đến tính toán đám mây

Sử dụng hợp lý biện pháp kiểm soát an toàn thông tin được cung cấp bởi Tiêu chuẩn dựa vào đánh giá và cách xử lý rủi ro an toàn thông tin của tổ chức. Mặc dù đây là những chủ đề quan trọng, trọng tâm của Tiêu chuẩn này không tiếp cận theo việc đánh giá và cách xử lý rủi ro an toàn thông tin. Dưới đây là danh sách các tài liệu tham khảo bao gồm mô tả các nguồn rủi ro và rủi ro trong việc cung cấp và sử dụng các dịch vụ đám mây. Cần lưu ý rằng các nguồn rủi ro và rủi ro thay đổi tùy thuộc vào loại hình và tính chất của dịch vụ và các công nghệ mới nổi của điện toán đám mây. Người dùng Tiêu chuẩn được khuyến cáo tham khảo các phiên bản hiện tại của tài liệu khi cần thiết.

Recommendation ITU-T X.1601 (2014), Security framework for cloud computing.

Australian Government Information Management Office 2013, Summary of Checkpoints in: Privacy and Cloud Computing for Australian, Better Practice Guide, Version 1.1, February, pg 8.

http://www.finance.gov.au/files/2013/02/privacy-and-cloud-computing-for-australian-government-agencies-v1.1.pdf

Australian Government Cyber Security Centre 2015, Cloud Computing Security for Tenants - April.

https://www.asd.gov.au/publications/protect/Cloud_Computing_Security_for_Tenants.pdf

Australian Government Cyber Security Centre 2015, Cloud Computing Security for Cloud Service Providers - April.

https://www.asd.gov.au/publications/protect/Cloud_Computing_Security_for_Cloud_Service_Providers.pdf

Cloud Security Alliance 2014, Cloud Controls Matrix - January.

ENISA 2009, Cloud Computing Risk Assessment - November.

ENISA 2009, Cloud Computing Information Assurance Framework - November.

Hong Kong OGCIO 2013, Security & Privacy Checklist for Cloud Service Providers In Handling Personal Identifiable Information in Cloud Platforms - April.

Hong Kong OGCIO 2013, Security Checklist for Cloud Service Consumers - January.

ISACA 2012, Security Considerations for Cloud Computing - July.

NIST, SP 800-144, Guidelines on Security and Privacy in Public Cloud Computing - December.

NIST, SP 800-146, Cloud Computing Synopsis and Recommendations - May.

SPRING Singapore 2012, Annex A: Virtualisation Security Risk Assessment of Singapore Technical Reference 30:2012 Technical Reference for virtualisation security for servers - March.

SPRING Singapore 2012, Annex A: Checklist of security and service level considerations when reviewing SaaS of Singapore Technical Reference 31:2012 Technical Reference for security and service level guidelines for the usage of public cloud computing services - March.

SPRING Singapore 2013, Annex A: Cloud Service Provider Disclosure of Singapore Standard SS 584:2013 Specifications for Multi-Tiered Cloud Computing Security - August.

SPRING Singapore 2012, Annex B: Checklist of security and service level considerations when reviewing SaaS of Singapore Technical Reference 31:2012 Technical Reference for security and service level guidelines for the usage of public cloud computing services - March.

SPRING Singapore 2013, Singapore Standard SS 584:2013 Specifications for Multi-Tiered Cloud Computing Security - August.

SPRING Singapore 2012, Singapore Technical Reference 30:2012 Technical Reference for virtualisation security for servers - March.

SPRING Singapore 2012, Singapore Technical Reference 31:2012 Technical Reference for security and service level guidelines for the usage of public cloud computing services - March.

US Government FedRAMP PMO 2014, FedRAMP Security Constrols Baseline Version 2.0 - June.

 

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] Recommendation ITU-T X.805 (2003), Security architecture for systems providing end-to-end communications.

[2] ISO/IEC 17203:2011, Information technology - Open Virtualization Format (OVF) specification.

[3] TCVN ISO/IEC 27001:2019, Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu.

[4] TCVN ISO/IEC 10295:2014, Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin.

[5] ISO/IEC 27018:2014, Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

[6] ISO/IEC 27036-1:2014, Information technology - Security techniques - Information security for supplier relationships - Part 1: Overview and concepts.

[7] ISO/IEC 27036-2:2014, Information technology - Security techniques - Information security for supplier relationships - Part 2: Requirements.

[8] ISO/IEC 27036-3:2013, Information technology - Security techniques - Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security.

[9] ISO/IEC CD 27036-4, Information technology - Security techniques - Information security for supplier relationships - Part 4: Guidelines for security of cloud services - (Under development).

[10] ISO/IEC 27040:2015, Information technology - Security techniques - Storage security.

[11] ISO 19440:2007, Enterprise integration - Constructs for enterprise modelling.

[12] ISO 31000:2009, Risk management - Principles and guidelines.

[13] NlST, SP 800-145 2011, The NIST Definition of Cloud Computing.

[14] NIST 2009, Effectively and Securely Using the Cloud Computing Paradigm.

[15] Cloud Security Alliance, Top Threats to Cloud Computing V1.0.

[16] ENISA 2009, Cloud Computing Benefits, risks and recommendations for information security.

[17] Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing V3.0.

[18] Cloud Security Alliance, Domain 12: Guidance for Identity & Access Management V2.1.

[19] ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives.

[20] ISACA, Cloud Computing Management Audit/Assurance Program.

 

MỤC LỤC

Lời nói đầu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ, định nghĩa và từ viết tắt

3.1 Thuật ngữ và định nghĩa

3.2 Từ viết tắt

4 Các khái niệm chuyên ngành đám mây

4.1 Tổng quan

4.2 Quan hệ với nhà cung cấp trong dịch vụ đám mây

4.3 Mối quan hệ giữa khách hàng dịch vụ đám mây và nhà cung cấp dịch vụ đám mây

4.4 Quản lý rủi ro an toàn thông tin trong dịch vụ đám mây

4.5 Cấu trúc của tiêu chuẩn này

5 Chính sách an toàn thông tin

5.1 Định hướng quản lý an toàn thông tin

5.1.1 Chính sách an toàn thông tin

5.1.2 Soát xét chính sách về an toàn thông tin

6 Tổ chức về an toàn thông tin

6.1 Tổ chức nội bộ

6.1.1 Các vai trò và trách nhiệm về an toàn thông tin

6.1.2 Phân tách các nhiệm vụ

6.1.3 Liên hệ với cơ quan có thẩm quyền

6.1.4 Liên hệ với các nhóm chuyên gia

6.1.5 An toàn thông tin trong quản lý dự án

6.2 Thiết bị di động và làm việc từ xa

6.2.1 Chính sách thiết bị di động

6.2.2 Làm việc từ xa

7 An toàn nguồn nhân lực

7.1 Trước khi tuyển dụng

7.1.1 Thẩm tra

7.1.2 Điều khoản và điều kiện tuyển dụng

7.2 Trong thời gian làm việc

7.2.1 Trách nhiệm của ban quản lý

7.2.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin

7.2.3 Xử lý kỷ luật

7.3 Chấm dứt và thay đổi công việc

7.3.1 Trách nhiệm khi chấm dứt hoặc thay đổi công việc

8 Quản lý tài sản

8.1 Trách nhiệm đối với tài sản

8.1.1 Kiểm kê tài sản

8.1.2 Quyền sở hữu tài sản

8.1.3 Tiếp nhận sử dụng tài sản

8.1.4 Hoàn trả bàn giao tài sản

8.2 Phân loại thông tin

8.2.1 Phân loại thông tin

8.2.2 Gán nhãn thông tin

8.2.3 Xử lý tài sản

8.3 Quản lý phương tiện

8.3.1 Quản lý phương tiện loại bỏ

8.3.2 Loại bỏ phương tiện

8.3.3 Phương tiện truyền tải vật lý

9 Kiểm soát truy cập

9.1 Yêu cầu nghiệp vụ đối với kiểm soát truy cập

9.1.1 Chính sách kiểm soát truy cập

9.1.2 Truy cập vào hệ thống mạng và các dịch vụ mạng

9.2 Quản lý truy cập người dùng

9.2.1 Đăng ký và xóa đăng ký người sử dụng

9.2.2 Cung cấp truy cập người sử dụng

9.2.3 Quản lý các quyền truy cập đặc quyền

9.2.4 Quản lý xác thực thông tin bí mật của người dùng

9.2.5 Soát xét các quyền truy cập của người sử dụng

9.2.6 Loại bỏ hoặc điều chỉnh các quyền truy cập

9.3 Các trách nhiệm của người sử dụng

9.3.1 Sử dụng xác thực thông tin bí mật

9.4 Hệ thống và ứng dụng kiểm soát truy cập

9.4.1 Giới hạn truy cập thông tin

9.4.2 An toàn các quy trình đăng nhập

9.4.3 Hệ thống quản lý mật khẩu

9.4.4 Sử dụng các chương trình tiện ích đặc quyền

9.4.5 Kiểm soát truy cập đến mã nguồn chương trình

10 Mật mã

10.1 Biện pháp kiểm soát mật mã

10.1.1 Chính sách sử dụng biện pháp kiểm soát mật mã

10.1.2 Quản lý khóa

11 An toàn vật lý và môi trường

11.1 An toàn các khu vực

11.1.1 Vành đai an toàn vật lý

11.1.2 Biện pháp kiểm soát lối vào vật lý

11.1.3 An toàn các văn phòng, phòng làm việc và cơ sở vật chất

11.1.4 Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường

11.1.5 Làm việc trong các khu vực an toàn

11.1.6 Khu vực phân phối và tập kết hàng

11.2 Thiết bị

11.2.1 Bố trí và bảo vệ thiết bị

11.2.2 Các tiện ích hỗ trợ

11.2.3 An toàn dây cáp

11.2.4 Bảo trì thiết bị

11.2.5 Loài bỏ tài sản

11.2.6 An toàn cho trang thiết bị và các tài sản bên ngoài trụ sở của tổ chức

11.2.7 An toàn thiết bị loại bỏ hoặc tái sử dụng

11.2.8 Thiết bị người dùng khi không sử dụng

11.2.9 Chính sách bàn làm việc sạch và màn hình sạch

12 An toàn vận hành

12.1 Các quy trình và trách nhiệm vận hành

12.1.1 Lập tài liệu các quy trình vận hành

12.1.2 Quản lý thay đổi

12.1.3 Quản lý công suất hệ thống

12.1.4 Phân tách các môi trường phát triển, kiểm tra và vận hành

12.2 Bảo vệ khỏi phần mềm độc hại

12.2.1 Biện pháp kiểm soát chống lại phần mềm độc hại

12.3 Sao lưu

12.3.1 Sao lưu thông tin

12.4 Ghi nhật ký và giám sát

12.4.1 Ghi nhật ký sự kiện

12.4.2 Bảo vệ thông tin nhật ký

12.4.3 Các nhật ký người quản trị và người vận hành

12.4.4 Đồng bộ hóa đồng hồ

12.5 Kiểm soát phần mềm điều hành

12.5.1 Cài đặt phần mềm trên các hệ điều hành

12.6 Quản lý lỗ hổng kỹ thuật

12.6.1 Quản lý các lỗ hổng kỹ thuật

12.7 Xem xét đánh giá các hệ thống thông tin

12.7.1 Biện pháp kiểm soát đánh giá hệ thống thông tin

13 Kết nối an toàn

13.1 Quản lý an toàn mạng

13.1.1 Biện pháp kiểm soát mạng

13.1.2 An toàn của các dịch vụ mạng

13.1.3 Chia tách trong các mạng

13.2 Truyền thông tin

13.2.1 Các chính sách và các quy trình truyền thông tin

13.2.2 Thỏa thuận về truyền thông tin

13.2.3 Tin nhắn điện tử

13.2.4 Cam kết về bảo mật hoặc không tiết lộ

14 Tiếp nhận, phát triển và bảo trì hệ thống thông tin

14.1 Các yêu cầu an toàn thông tin của các hệ thống thông tin

14.1.1 Phân tích và đặc tả các yêu cầu an toàn thông tin

14.1.2 Bảo đảm an toàn các dịch vụ ứng dụng trên mạng công cộng

14.1.3 Bảo vệ các giao dịch dịch vụ ứng dụng

14.2 An toàn trong các quy trình phát triển và hỗ trợ

14.2.1 Chính sách an toàn phát triển

14.2.2 Quy trình kiểm soát thay đổi hệ thống

14.2.3 Soát xét kỹ thuật của các ứng dụng sau khi thay đổi nền tảng hoạt động

14.2.4 Hạn chế về các thay đổi đối với các gói phần mềm

14.2.5 Các nguyên tắc an toàn kỹ thuật hệ thống

14.2.6 An toàn môi trường phát triển

14.2.7 Phát triển thuê ngoài

14.2.8 Kiểm tra an toàn hệ thống

14.2.9 Kiểm tra chấp nhận hệ thống

14.3 Kiểm tra dữ liệu

14.3.1 Bảo vệ dữ liệu kiểm tra

15 Quan hệ với nhà cung cấp

15.1 An toàn thông tin trong quan hệ với nhà cung cấp

15.1.1 Chính sách an toàn thông tin cho mối quan hệ với nhà cung cấp

15.1.2 Đảm bảo an toàn trong thỏa thuận với nhà cung cấp

15.1.3 Chuỗi cung ứng công nghệ thông tin và truyền thông

15.2 Quản lý cung cấp dịch vụ nhà cung cấp

15.2.1 Giám sát và xem xét các dịch vụ nhà cung cấp

15.2.2 Quản lý các thay đổi đối với các dịch vụ nhà cung cấp

16 Quản lý sự cố an toàn thông tin

16.1 Quản lý các sự cố an toàn thông tin và các cải tiến

16.1.1 Trách nhiệm và quy trình

16.1.2 Báo cáo các sự kiện an toàn thông tin

16.1.3 Báo cáo các điểm yếu an toàn thông tin

16.1.4 Đánh giá và quyết định về các sự kiện an toàn thông tin

16.1.5 Ứng cứu các sự cố an toàn thông tin

16.1.6 Bài học từ các sự cố an toàn thông tin

16.1.7 Thu thập bằng chứng

17 Các khía cạnh an toàn thông tin của quản lý liên tục hoạt động nghiệp vụ

17.1 An toàn thông tin liên tục

17.1.1 Lập kế hoạch an toàn thông tin liên tục

17.1.2 Triển khai an toàn thông tin liên tục

17.1.3 Xác minh, xem xét và đánh giá an toàn thông tin liên tục

17.2 Dự phòng

17.2.1 Tính sẵn sàng của khả năng xử lý thông tin

18 Tuân thủ

18.1 Tuân thủ pháp luật và các yêu cầu hợp đồng

18.1.1 Xác định pháp luật áp dụng và các yêu cầu hợp đồng

18.1.2 Quyền sở hữu trí tuệ

18.1.3 Bảo vệ hồ sơ

18.1.4 Bảo mật riêng tư và bảo vệ thông tin nhận dạng cá nhân

18.1.5 Quy định về biện pháp kiểm soát mật mã

18.2 Các xem xét an toàn thông tin

18.2.1 Soát xét độc lập về an toàn thông tin

18.2.2 Tuân thủ với các chính sách và các tiêu chuẩn an toàn

18.2.3 Soát xét tuân thủ kỹ thuật

Phụ lục A (Quy định) Bộ kiểm soát mở rộng dịch vụ đám mây

Phụ lục B (Tham khảo) Tài liệu tham khảo về rủi ro an toàn thông tin liên quan đến điện toán đám mây