Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và sau này đổi tên thành tiêu chuẩn ISO/IEC 27002 để áp dụng cùng với các tiêu chuẩn ISO/IEC 27001 (information security management system) và ISO/IEC 27004 (Information security management metrics) thành bộ tiêu chuẩn ISO 27000 (tên tiêu chuẩn ISO/IEC 17799 được giữ lại thêm một thời gian là để cho thấy sự liên hệ với các tiêu chuẩn gốc BS 7799 và ISO/IEC 17799:2000).
1. Chính sách an toàn, an ninh thông tin
Chỉ thị và hướng dẫn về an toàn, an ninh thông tin.
2. An ninh tổ chức
a) Hạ tầng an ninh thông tin: Quản lý an ninh thông tin trong tổ chức.
b) An ninh đối với bên truy cập thứ ba: Duy trì an ninh cho các phương tiện xử lý thông tin của tổ chức và tài sản thông tin do các bên thứ ba truy cập.
3. Phân loại và kiểm soát tài sản
a) Trách nhiệm giải trình tài sản: Duy trì bảo vệ tài sản.
b) Phân loại thông tin tài sản: Đảm bảo mỗi loại tài sản có mức bảo vệ thích hợp.
4. An ninh cá nhân
a) An ninh trong định nghĩa công việc và nguồn lực: Giảm rủi ro do các hành vi sai sót của con người.
b) Đào tạo người sử dụng: Đảm bảo người sử dụng nhận thức được các mối đe dọa và các vấn đề liên quan đến an ninh thông tin.
c) Đối phó với các sự cố an ninh: Giảm thiểu thiệt hại từ các trục trặc và sự cố an ninh, theo dõi và rút kinh nghiệm.
5. An ninh môi trường và vật lý
a) Phạm vi an ninh: Ngăn ngừa việc truy cập, gây hại và can thiệp trái phép vào vùng an ninh và thông tin nghiệp vụ.
b) An ninh thiết bị: Để tránh mất mát, lỗi hoặc các sự cố khác liên quan đến tài sản gây ảnh hưởng tới các hoạt động nghiệp vụ.
c) Kiểm soát chung: Ngăn ngừa làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông tin.
6. Quản lý truyền thông và hoạt động
a) Thủ tục vận hành và trách nhiệm vận hành hệ thống: Đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an toàn.
b) Lập kế hoạch hệ thống và công nhận: Giảm thiểu rủi ro về lỗi hệ thống.
c) Bảo vệ chống lại phần mềm cố ý gây hại: Bảo vệ tính toàn vẹn của phần mềm và thông tin.
d) Công việc quản lý: Duy trì tính toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông tin.
đ) Quản trị mạng: Đảm bảo việc an toàn, an ninh thông tin trên mạng và bảo vệ cơ sở hạ tầng kỹ thuật.
e) Trao đổi thông tin: Ngăn ngừa mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi giữa các đơn vị.
7. Kiểm soát truy cập
a) Các yêu cầu nghiệp vụ đối với kiểm soát truy cập: Kiểm soát truy cập thông tin.
b) Quản lý truy cập của người dùng: Để tránh các truy cập không được cấp phép vào hệ thống.
c) Trách nhiệm của người dùng: Để tránh các truy cập của người dùng không được cấp phép.
d) Kiểm soát truy cập mạng: Bảo vệ các dịch vụ mạng.
đ) Kiểm soát truy cập hệ điều hành: Tránh truy cập vào các máy tính không được phép.
e) Kiểm soát truy cập ứng dụng: Tránh các truy cập trái phép vào hệ thống.
g) Giám sát truy cập hệ thống và giám sát sử dụng hệ thống: Để phát hiện các hoạt động không được cấp phép.
h) Kiểm soát truy cập từ xa: Đảm bảo an toàn, an ninh thông tin khi sử dụng các phương tiện di động.
8. Phát triển và duy trì hệ thống
a) Yêu cầu an ninh đối với các hệ thống: Để đảm bảo các yêu cầu an ninh được đưa vào trong quá trình xây dựng hệ thống.
b) An ninh trong hệ thống ứng dụng: Để ngăn ngừa mất mát, thay đổi hoặc lạm dụng dữ liệu người sử dụng trong các hệ thống ứng dụng.
c) Các kiểm soát mật mã hóa: Để bảo vệ tính tin cậy, xác thực hoặc toàn vẹn của thông tin.
d) An ninh các tệp hệ thống: Đảm bảo rằng các dự án công nghệ thông tin và các hoạt động hỗ trợ được quản lý một cách an toàn.
e) An ninh quá trình hỗ trợ và phát triển: Duy trì an ninh của phần mềm và thông tin hệ thống ứng dụng.
9. Sự tuân thủ
a) Tuân thủ các yêu cầu pháp lý: Để tránh bất kỳ các vi phạm luật hình sự và dân sự, các nghĩa vụ có tính luật pháp, nguyên tắc và bất kỳ yêu cầu an ninh nào.
b) Soát xét của chính sách an ninh và yêu cầu kỹ thuật để đảm bảo việc tuân thủ của hệ thống với các chính sách và tiêu chuẩn an ninh của Tổ quốc.
c) Xem xét kiểm tra hệ thống: Để tối đa tính hiệu lực để giảm thiểu sự can thiệp tới quy trình kiểm tra hệ thống đó./.
Thêm bình luận