HƯỚNG DẪN QUẢN LÝ AN NINH HOẠT ĐỘNG THEO PHỤ LỤC A.12 ISO/IEC 27001:2013

HƯỚNG DẪN QUẢN LÝ AN NINH HOẠT ĐỘNG THEO PHỤ LỤC A.12 ISO/IEC 27001:2013

Mục lục

Tổng quát về hướng dẫn thực hiện quản lý an ninh hoạt động theo phụ lục A.12 ISO/IEC 27001:2013

Trong bài viết ngày hôm nay, SIS CERT sẽ trình bày phụ lục A.12 An ninh hoạt động theo ISO/IEC 27001:2013, bài viết sẽ giải thích các quy trình và trách nhiệm vận hành, Quy trình vận hành được lập thành văn bản, Quản lý thay đổi & tách biệt các môi trường phát triển, thử nghiệm và hoạt động.

Làm thế nào để thực hiện quản lý an ninh hoạt động theo phụ lục A.12 ISO/IEC 27001:2013

1. Tại sao phải thực hiện quản lý an ninh hoạt động theo phụ lục A.12 ISO/IEC 27001:2013

Chúng ta phải thực hiện quản lý an ninh hoạt động theo phụ lục A.12 ISO/IEC 27001:2013 bởi:

Thứ nhất, là yêu cầu bắt buộc của tiêu chuẩn, nếu không có quy trình kiểm soát theo phụ lục A.12 thì tổ chức bị đánh giá không đạt tiêu chuẩn ISO/IEC 27001:2013.

Thứ hai, giúp hệ thống an toàn thông tin (ISMS) được vận hành chính xác và hiệu quả.

2. Các nội dung chính cần phải có trong quản lý an ninh hoạt động theo phụ lục A.12 ISO/IEC 27001:2013

Phụ lục A.12 – An ninh vận hành gồm 14 biện pháp kiểm soát

Phụ lục này đảm bảo rằng các phương tiện xử lý thông tin được an toàn và bao gồm bảy phần:

  1. Phụ lục A.12.1 đề cập đến các thủ tục và trách nhiệm vận hành, đảm bảo rằng các thao tác chính xác được thực hiện.
  2. Phụ lục A.12.2 đề cập đến phần mềm độc hại, đảm bảo rằng tổ chức có các biện pháp phòng thủ cần thiết để giảm thiểu nguy cơ lây nhiễm.
  3. Phụ lục A.12.3 bao gồm các yêu cầu của tổ chức khi sao lưu hệ thống để ngăn ngừa mất mát dữ liệu.
  4. Phụ lục A.12.4 là về ghi nhật ký và giám sát. Nó được thiết kế để đảm bảo rằng các tổ chức có bằng chứng ghi lại khi các sự kiện bảo mật xảy ra.
  5. Phụ lục A.12.5 đề cập đến các yêu cầu của tổ chức khi nói đến việc bảo vệ tính toàn vẹn của phần mềm hoạt động.
  6. Phụ lục A.12.6 bao gồm quản lý lỗ hổng kỹ thuật và được thiết kế để đảm bảo rằng các bên không được phép không khai thác các điểm yếu của hệ thống.
  7. Cuối cùng, Phụ lục A.12.7 đề cập đến hệ thống thông tin và các cân nhắc đánh giá. Nó được thiết kế để giảm thiểu sự gián đoạn mà các hoạt động kiểm toán có trên hệ thống vận hành.

3. Làm thế nào để soạn thảo quản lý an ninh hoạt động

A.12.1 Các thủ tục vận hành và trách nhiệm

Mục tiêu của nó là đảm bảo rằng các cơ sở xử lý thông tin hoạt động chính xác và an toàn.

A.12.1.1 Quy trình vận hành được lập thành văn bản

Kiểm soát – Các quy trình vận hành phải được lập thành văn bản và được truy cập bởi tất cả người dùng có nhu cầu.

Hướng dẫn thực hiện – Cần chuẩn bị các thủ tục dạng văn bản để vận hành các hoạt động của cơ sở xử lý thông tin và truyền thông bao gồm khởi động và đóng máy tính, sao lưu, bảo trì thiết bị, xử lý phương tiện, phòng máy tính và quản lý thư, và an toàn.

Quy trình vận hành phải bao gồm các hướng dẫn vận hành sau:

  • Cài đặt và cài đặt hệ thống;
  • Xử lý và quản lý thông tin tự động và thủ công;
  • Sao lưu
  • Các yêu cầu về lịch trình như bắt đầu công việc sớm nhất và thời gian hoàn thành công việc mới nhất, bao gồm cả sự phụ thuộc lẫn nhau vào các hệ thống khác;
  • Hướng dẫn xử lý lỗi hoặc bất kỳ điều kiện ngoại lệ bổ sung nào, bao gồm các hạn chế về tiện ích hệ thống có thể phát sinh trong quá trình thực hiện công việc;
  • Liên hệ hỗ trợ và báo cáo trong các trường hợp có sự cố hoạt động hoặc kỹ thuật không mong muốn bao gồm các liên hệ hỗ trợ bên ngoài
  • Đầu ra cụ thể và hướng dẫn xử lý phương tiện, bao gồm các thủ tục để bố trí an toàn đầu ra khỏi công việc thất bại, chẳng hạn như sử dụng văn phòng phẩm cụ thể hoặc quản lý đầu ra bí mật;
  • khởi động lại hệ thống và quy trình khôi phục cho hệ thống không được sử dụng;
  • Quản lý đường mòn kiểm toán và thông tin nhật ký hệ thống;
  • Thủ tục giám sát.

A.12.1.2 Quản lý thay đổi

Kiểm soát – Các thay đổi trong tổ chức, thủ tục tổ chức, phương tiện quản lý thông tin và hệ thống an toàn thông tin cần được kiểm soát.

Hướng dẫn Thực hiện – Đặc biệt những điều sau đây sẽ được tính đến:

  • Xác định và ghi lại những thay đổi đáng kể;
  • Lập kế hoạch và thử nghiệm các sửa đổi;
  • Đánh giá các tác động có thể có của những thay đổi này, bao gồm cả các tác động đến an toàn thông tin;
  • Thủ tục phê duyệt chính thức các thay đổi được đề xuất;
  • Xác minh việc tuân thủ các yêu cầu về an toàn thông tin;
  • Thông báo cho tất cả hoặc bất kỳ cá nhân cụ thể nào về những thay đổi một cách chi tiết;
  • Không thể phục hồi sau những cải tiến tốn kém và những sự cố không lường trước được như thủ tục và trách nhiệm phá thai;
  • Cung cấp quy trình khẩn cấp để thực hiện các thay đổi cần thiết để giải quyết sự cố một cách nhanh chóng và có kiểm soát.
  • Để đảm bảo giám sát đầy đủ tất cả các thay đổi, các vai trò và thủ tục quản lý có cấu trúc cần được thực thi. Nhật ký đánh giá với tất cả các thông tin liên quan cần được lưu giữ khi thực hiện các thay đổi.

A.12.1.3 Quản lý năng lực

Kiểm soát – Để đảm bảo hiệu suất hệ thống cần thiết, việc sử dụng các nguồn lực cần được theo dõi, điều chỉnh và dự kiến ​​dựa trên các yêu cầu về năng lực trong tương lai.

Hướng dẫn thực hiện – Có tính đến mức độ quan trọng của hệ thống kinh doanh liên quan, các yêu cầu về năng lực cần được xác định. Việc điều chỉnh và kiểm soát hệ thống phải được thực hiện để đảm bảo chất lượng và độ tin cậy của hệ thống và cải tiến chúng nếu có thể. Để phát hiện các vấn đề trong thời gian thích hợp, các cuộc kiểm tra thám tử nên được thực hiện. Đối với các yêu cầu về năng lực trong tương lai, nhu cầu kinh doanh và hệ thống mới cũng như các xu hướng hiện tại và dự kiến ​​về năng lực xử lý thông tin cần được tính đến.

Bất kỳ nguồn lực nào có thời gian mua sắm kéo dài hoặc chi phí cao cần được đặc biệt chú ý; các nhà quản lý cũng nên kiểm soát việc sử dụng các tài nguyên chính của hệ thống. Các xu hướng sử dụng cần được xác định, đặc biệt là đối với các ứng dụng kinh doanh hoặc các công cụ để quản lý hệ thống thông tin.

Các nhà quản lý sẽ sử dụng dữ liệu để xác định và loại bỏ các nút thắt cổ chai có thể xảy ra và sự phụ thuộc vào những nhân viên chính có thể gây rủi ro cho dịch vụ hoặc bảo vệ mạng.

Bằng cách tăng công suất hoặc nhu cầu ngày càng tăng, có thể đạt được công suất thích hợp. Ví dụ về các yêu cầu quản lý năng lực bao gồm các điểm sau:

  • Loại bỏ dữ liệu lỗi thời (không gian đĩa);
  • Hủy khai thác ứng dụng, chương trình, cơ sở dữ liệu hoặc môi trường;
  • Tối ưu hóa các thủ tục và lịch trình theo lô;
  • Tối ưu hóa logic của các truy vấn chương trình hoặc cơ sở dữ liệu
  • Từ chối hoặc giới hạn băng thông cho các ứng dụng ngốn tài nguyên nếu chúng không quan trọng về mặt kinh doanh (ví dụ: phát trực tuyến video).
  • Cần xem xét một chiến lược quản lý năng lực được ghi lại cho các hệ thống quan trọng.

A.12.1.4 Tách rời môi trường phát triển, thử nghiệm và hoạt động

Kiểm soát – Để giảm thiểu rủi ro của việc truy cập không được phép hoặc những thay đổi trong môi trường hoạt động, các môi trường phát triển, thử nghiệm và hoạt động nên được tách biệt.

Hướng dẫn thực hiện – Điều quan trọng là phải xác định và thực thi mức độ tách biệt giữa các môi trường tổ chức, thử nghiệm và phát triển cần thiết để tránh các vấn đề hoạt động.

Những điều sau đây cần được tính đến:

  • Các quy tắc cần được mô tả và báo cáo cho quá trình chuyển đổi phần mềm từ trạng thái phát triển sang trạng thái hoạt động;
  • Phát triển và phần mềm phải được chạy trên các hệ thống hoặc bộ xử lý máy tính khác nhau và trong các miền hoặc thư mục khác nhau;
  • Các thay đổi đối với hệ điều hành và ứng dụng phải được kiểm tra trước khi chúng được áp dụng cho các hệ thống hoạt động trong môi trường thử nghiệm hoặc môi trường thử nghiệm;
  • Không nên thực hiện các bài kiểm tra trên hệ điều hành trừ những trường hợp đặc biệt;
  • Khi không được yêu cầu, trình biên dịch, trình chỉnh sửa và các công cụ hoặc tiện ích phát triển hệ thống khác từ hệ điều hành sẽ không thể truy cập được;
  • Đối với các hệ thống vận hành và thử nghiệm, người dùng nên sử dụng các cấu hình người dùng khác nhau và các menu phải hiển thị các thông báo nhận dạng được chấp nhận để giảm thiểu khả năng xảy ra lỗi;
  • Trừ khi các điều khiển tương đương của hệ thống thử nghiệm được cung cấp, dữ liệu nhạy cảm không được sao chép vào môi trường hệ thống thử nghiệm.

Phụ lục A.12.2 Bảo vệ khỏi phần mềm độc hại

Mục tiêu của nó là đảm bảo rằng tính năng bảo vệ khỏi phần mềm độc hại được cung cấp cho các cơ sở xử lý thông tin và thông tin.

A.12.2.1 Kiểm soát chống lại phần mềm độc hại

Kiểm soát – Kết hợp với nhận thức phù hợp của người dùng, các biện pháp kiểm soát phát hiện, ngăn chặn và khôi phục để bảo vệ khỏi phần mềm độc hại nên được triển khai.

Hướng dẫn thực hiện

Việc bảo vệ chống phần mềm độc hại phải được hỗ trợ bởi phần mềm phát hiện và sửa chữa phần mềm độc hại, nhận thức về tính an toàn của thông tin, quyền truy cập hệ thống đầy đủ và đánh giá quản lý về các thay đổi. Hướng dẫn cần được xem xét như sau:

  • Một chính sách chính thức ngăn chặn việc sử dụng phần mềm trái phép; 
  • Thực hiện các biện pháp kiểm soát ngăn ngừa hoặc phát hiện việc sử dụng phần mềm trái phép;
  • Thực hiện các biện pháp kiểm soát nhằm tránh hoặc phát hiện việc sử dụng các trang web độc hại đã biết hoặc bị nghi ngờ (ví dụ: danh sách đen);
  • Tạo một chính sách quản lý rủi ro có cấu trúc, trong đó chỉ ra những biện pháp bảo vệ nào cần được thực hiện để đảm bảo thu thập được tệp và thông tin, từ hoặc thông qua các mạng bên ngoài;
  • Giảm các lỗ hổng có thể khai thác phần mềm độc hại, ví dụ như bằng cách quản lý các lỗ hổng kỹ thuật;
  • Tiến hành đánh giá chất lượng dữ liệu và phần mềm thường xuyên của các ứng dụng trợ giúp các quá trình quan trọng; một cuộc điều tra chính thức sẽ diễn ra về sự tồn tại của các tệp chưa được phê duyệt hoặc các sửa đổi trái phép;
  • Cài đặt và cập nhật thường xuyên phần mềm độc hại và sửa chữa phần mềm như biện pháp phòng ngừa hoặc kiểm tra định kỳ để quét máy tính và phương tiện; Quét được quản lý nên bao gồm:
  • Quét phần mềm độc hại trước khi sử dụng bất kỳ tệp nào nhận được qua mạng hoặc bất kỳ thiết bị lưu trữ nào;
  • Quét các tệp đính kèm và tải xuống E-mail để tìm phần mềm độc hại; việc quét sẽ được thực hiện ở những nơi khác nhau, ví dụ như máy chủ thư điện tử, máy tính di động và khi truy cập vào mạng của tổ chức;
  • Quét phần mềm độc hại của các trang web;
  • Xác định các quy trình và trách nhiệm bảo vệ phần mềm độc hại trên hệ thống, đào tạo cách sử dụng, báo cáo và khôi phục phần mềm độc hại:
  • Thiết lập các kế hoạch kinh doanh liên tục phù hợp, bao gồm tất cả các sắp xếp sao lưu và phục hồi phần mềm cần thiết để phục hồi sau các cuộc tấn công của phần mềm độc hại;
  • Thực hiện các thủ tục thu thập thông tin, chẳng hạn như đăng ký danh sách gửi thư hoặc các trang web cung cấp thông tin phần mềm độc hại mới;
  • Thực hiện quy trình xác minh thông tin phần mềm độc hại để đảm bảo tính chính xác và chất lượng thông tin của các bản tin tư vấn; các nhà quản lý nên đảm bảo phân biệt được phần mềm giả mạo và phần mềm độc hại thực sự bằng cách sử dụng một nguồn đủ điều kiện, ví dụ như các tạp chí có uy tín, các trang web đáng tin cậy hoặc các nhà cung cấp phần mềm;
  • Cô lập các môi trường có thể gây ra hậu quả thảm khốc.

Phụ lục A.12.3 Sao lưu

Mục tiêu của nó là bảo vệ chống mất mát dữ liệu.

A.12.3.1 Sao lưu thông tin

Kiểm soát– Theo chính sách sao lưu đã thỏa thuận, các bản sao của hồ sơ, chương trình và hình ảnh thiết bị sẽ được thu thập và kiểm tra thường xuyên

Hướng dẫn Thực hiện – Các yêu cầu sao lưu thông tin, phần mềm và hệ thống của tổ chức phải được thiết lập với chính sách sao lưu. Chính sách sao lưu cần xác định các yêu cầu về lưu giữ và bảo vệ. Cần có đủ phương tiện sao lưu để đảm bảo rằng tất cả thông tin và phần mềm quan trọng có thể được phục hồi sau thảm họa hoặc sự cố phương tiện.

Những điều sau đây cần được xem xét khi thiết kế một kế hoạch dự phòng:

  • Cần chuẩn bị các hồ sơ sao lưu chính xác và đầy đủ cũng như các thủ tục khôi phục được ghi lại;
  • Bản chất và tần suất của sao lưu (ví dụ: sao lưu toàn bộ hoặc khác biệt) phải phản ánh các yêu cầu kinh doanh của công ty, các yêu cầu bảo mật đối với thông tin liên quan và tầm quan trọng đối với hoạt động liên tục của tổ chức;
  • Các bản sao lưu nên được tổ chức ở một địa điểm từ xa với khoảng cách đủ để ngăn chặn bất kỳ thiệt hại nào tại hầu hết các địa điểm do thiên tai;
  • Mức độ bảo vệ vật lý và môi trường thích hợp phải được cung cấp thông tin dự phòng (Tham khảo điều 11) phù hợp với các tiêu chuẩn tại địa điểm chính;
  • Phương tiện dự phòng cần được kiểm tra thường xuyên để đảm bảo rằng chúng có thể được sử dụng trong trường hợp khẩn cấp nếu được yêu cầu; kết hợp với kiểm tra quy trình khôi phục và được kiểm soát trong thời gian khôi phục cần thiết. Việc kiểm tra không nên được thực hiện với việc ghi đè lên phương tiện ban đầu nếu quá trình sao lưu hoặc khôi phục không thành công và gây ra thiệt hại hoặc mất mát dữ liệu không thể sửa chữa được;
  • Các bản sao lưu phải được bảo mật bằng mã hóa trong những trường hợp cần quan tâm đến tính bảo mật.
  • Các quy trình vận hành phải theo dõi hiệu suất sao lưu và giải quyết các lỗi sao lưu dự kiến ​​để đảm bảo rằng các bản sao lưu được hoàn tất theo chính sách sao lưu.
  • Các thủ tục dự phòng cần được xem xét thường xuyên đối với các hệ thống và cơ sở cụ thể để đảm bảo chúng đáp ứng các tiêu chí của kế hoạch kinh doanh liên tục. Trong các hệ thống và cơ sở thiết yếu, tất cả thông tin máy tính, phần mềm và dữ liệu cần thiết để khôi phục toàn bộ mạng trong trường hợp xảy ra thảm họa phải được bảo vệ bằng các bố trí dự phòng.
  • Thời hạn bảo quản nên được đặt ra, có tính đến mọi điều kiện để lưu giữ vĩnh viễn các bản sao lưu trữ.

Phụ lục A.12.4 Ghi nhật ký và Giám sát

Mục tiêu của nó là ghi lại các sự kiện và tạo ra bằng chứng.

A.12.4.1 Ghi nhật ký sự kiện

Kiểm soát – Nhật ký sự kiện nên được tạo, lưu giữ và thường xuyên xem xét để ghi lại các hoạt động của người dùng, các trường hợp ngoại lệ, lỗi và các sự kiện bảo mật thông tin.

Hướng dẫn triển khai – Nếu có thể, nhật ký sự kiện nên bao gồm:

  • ID của người dùng;
  • Các hoạt động của hệ thống;
  • Ngày, giờ và chi tiết các sự kiện chính, chẳng hạn như đăng nhập và đăng xuất;
  • ID hệ thống hoặc nhận dạng vị trí và thiết bị nếu có thể;
  • Hồ sơ về những nỗ lực truy cập hệ thống thành công cũng như những nỗ lực bị từ chối
  • Các bản ghi dữ liệu thành công và không thành công và các nỗ lực khác để truy cập tài nguyên;
  • Thay đổi cấu hình hệ thống;
  • Sử dụng các đặc quyền;
  • Việc áp dụng và sử dụng các tiện ích của hệ thống;
  • Các tệp được truy cập và các loại truy cập;
  • Địa chỉ mạng và giao thức;
  • Cảnh báo hệ thống quản lý nhập.
  • Các cơ chế bảo vệ như hệ thống chống vi rút và phát hiện xâm nhập được kích hoạt và vô hiệu hóa theo yêu cầu;
  • Hồ sơ giao dịch do người dùng thực hiện trong ứng dụng.
  • Ghi nhật ký sự kiện truyền cảm hứng cho các hệ thống điều khiển tự động có khả năng tạo ra các thông báo và cảnh báo giám sát mạng tích hợp.

Thông tin khác – Thông tin nhạy cảm và thông tin nhận dạng cá nhân có thể được sử dụng trong nhật ký sự kiện. Các biện pháp thích hợp trong lĩnh vực quyền riêng tư cần được thực hiện. Quản trị viên hệ thống không được phép xóa hoặc hủy kích hoạt nhật ký các hoạt động của riêng họ nếu có thể.

A.12.4.2 Bảo vệ thông tin nhật ký

Kiểm soát –  Ghi nhật ký và thông tin nhật ký phải được bảo mật khỏi sự xâm nhập và truy cập trái phép.

Hướng dẫn Triển khai – Các biện pháp kiểm soát phải được thiết kế để bảo vệ khỏi những thay đổi trái phép thông tin nhật ký và sự cố ghi nhật ký hoạt động, bao gồm những điều sau:

  • Thay đổi các loại tin nhắn được ghi lại;
  • Chỉnh sửa hoặc xóa tệp nhật ký;
  • Không gian lưu trữ phương tiện logfile bị vượt qua, có nghĩa là một sự kiện chưa được đăng ký hoặc các sự kiện trong quá khứ đã bị ghi đè.
  • Một số nhật ký đánh giá nhất định có thể yêu cầu lưu trữ như một phần của việc lưu giữ hồ sơ hoặc là kết quả của việc thu thập bằng chứng và các yêu cầu lưu giữ.

Thông tin khác – Nhật ký hệ thống cũng chứa một lượng lớn thông tin, phần lớn là duy nhất để giám sát an ninh thông tin. Việc sao chép tự động vào nhật ký thứ hai của các loại thông báo có liên quan hoặc việc sử dụng các tiện ích thiết bị hoặc công cụ kiểm tra phù hợp để thực hiện thẩm vấn và hợp lý hóa tệp cần được xem xét để giúp phân loại các sự kiện quan trọng cho việc giám sát an toàn thông tin.

A.12.4.3 Nhật ký của quản trị viên và nhà điều hành

Kiểm soát – Hoạt động của Người quản lý hệ thống và Người vận hành hệ thống phải được ghi lại và nhật ký được giữ an toàn và được giám sát chặt chẽ.

Hướng dẫn thực hiện – Nhật ký của các cơ sở xử lý thông tin được điều khiển dưới sự kiểm soát trực tiếp của họ bởi các chủ tài khoản người dùng Riêng, vì vậy điều quan trọng là phải giữ các nhật ký an toàn và được xem xét để đảm bảo người dùng có đặc quyền được giữ trách nhiệm.

Thông tin khác – Một hệ thống không kiểm soát và quản trị viên mạng có thể được sử dụng để giám sát các hoạt động tuân thủ của hệ thống và quản lý mạng.

A.12.4.4 Đồng bộ hóa đồng hồ

Kiểm soát– Đồng hồ trong tất cả các hệ thống quản lý thông tin liên quan nên được tích hợp vào một nguồn thời gian tham chiếu duy nhất cho một tổ chức hoặc lĩnh vực an toàn.

Hướng dẫn thực hiện– Tài liệu về các yêu cầu biểu diễn thời gian bên ngoài và bên trong, đồng bộ và độ chính xác. Đây có thể là các yêu cầu pháp lý, quy định, hợp đồng, tiêu chuẩn hóa hoặc giám sát nội bộ. Thời gian tham chiếu tiêu chuẩn phải được xác định để sử dụng trong tổ chức.

Cách tiếp cận của tổ chức phải được lập thành văn bản và thực hiện để có được thời gian tham chiếu từ nguồn bên ngoài và cách đồng bộ hóa đồng hồ nội bộ có thể được đồng bộ hóa một cách đáng tin cậy.

Thông tin khác – Cài đặt đồng hồ chính xác là điều cần thiết để đảm bảo rằng các báo cáo kiểm toán, có thể được sử dụng để điều tra hoặc làm bằng chứng trong các thủ tục pháp lý hoặc kỷ luật, là đáng tin cậy. Nhật ký kiểm toán không chính xác có thể cản trở những yêu cầu như vậy và làm hỏng uy tín của họ. Đồng hồ chính cho hệ thống ghi nhật ký có thể được sử dụng như một đồng hồ liên kết với thời gian vô tuyến từ một nguyên tử quốc gia. Để duy trì tất cả các máy chủ đồng bộ với đồng hồ chính, một giao thức thời gian mạng có thể được sử dụng.

Phụ lục A.12.5 Kiểm soát Phần mềm Hoạt động

Mục tiêu của nó là đảm bảo tính toàn vẹn của hệ điều hành.

A.12.5.1 Cài đặt phần mềm trên các hệ thống vận hành

Kiểm soát – Để kiểm soát việc cài đặt phần mềm trên hệ điều hành, cần thực hiện các quy trình.

Hướng dẫn triển khai– Để kiểm soát các thay đổi trong phần mềm trên các hệ thống vận hành, cần xem xét các hướng dẫn sau:

  • Quản trị viên được đào tạo chỉ nên nâng cấp phần mềm, ứng dụng và thư viện hoạt động khi có sự cho phép quản lý thích hợp;
  • Chỉ mã thực thi được phê duyệt và mã hoặc trình biên dịch không được phát triển mới được tồn tại trong hệ điều hành;
  • Khả năng sử dụng, tính an toàn, các hiệu ứng trên các hệ thống khác và các chức năng thân thiện với người dùng chỉ nên được đưa vào sau khi thử nghiệm thành công và rộng rãi; thử nghiệm cũng nên được tiến hành trên các hệ thống riêng biệt; đảm bảo rằng từng thư viện nguồn chương trình tương ứng đã được cập nhật;
  • Để duy trì quyền kiểm soát tất cả các ứng dụng đã triển khai cũng như tài liệu hệ thống, nên sử dụng hệ thống kiểm soát cấu hình;
  • Trước khi đưa ra các thay đổi, nên có một chiến lược quay lui;
  • Tất cả các thay đổi đối với thư viện hệ điều hành phải được duy trì bằng nhật ký kiểm tra;
  • Các phiên bản sản phẩm trước phải được duy trì như một biện pháp dự phòng;
  • Miễn là dữ liệu được giữ lại trong kho lưu trữ, các phiên bản phần mềm cũ và tất cả các thông tin và thông số bắt buộc phải được lưu trữ cùng với các thủ tục, chi tiết thiết lập và hỗ trợ phần mềm.
  • Phần mềm do nhà cung cấp cung cấp cho hệ điều hành phải được duy trì ở mức hỗ trợ của nhà cung cấp. Các nhà cung cấp phần mềm nên ngừng các phiên bản phần mềm cũ hơn theo thời gian. Cần xem xét rủi ro của tổ chức khi sử dụng phần mềm bị lỗi.
  • Mọi quyết định nâng cấp lên bản phát hành mới phải tính đến các yêu cầu thay đổi nghiệp vụ và tính bảo mật của bản phát hành, ví dụ như bằng cách giới thiệu các chức năng bảo mật mới hoặc số lượng và mức độ nghiêm trọng của các vấn đề bảo mật thông tin ảnh hưởng đến bản phát hành. Khi có thể loại bỏ hoặc giảm bớt các lỗ hổng bảo mật thông tin thì nên sử dụng các bản vá phần mềm.
  • Các nhà cung cấp chỉ có thể được cung cấp quyền truy cập vật lý hoặc logic để được hỗ trợ, nếu cần và với sự đồng ý của ban quản lý. Các hoạt động của nhà cung cấp cần được giám sát.
  • Để tránh những thay đổi không được phép có thể dẫn đến lỗi bảo mật, phần mềm có thể dựa vào phần mềm và mô-đun được cung cấp bên ngoài để giám sát và kiểm soát.

Phụ lục A.12.6 Quản lý lỗ hổng kỹ thuật

Mục tiêu của nó là tránh bị khai thác các lỗ hổng công nghệ.

A.12.6.1 Quản lý các lỗ hổng kỹ thuật

Kiểm soát – Thông tin về các lỗ hổng công nghệ của hệ thống thông tin được sử dụng cần được thu thập kịp thời, tổ chức phải đánh giá mức độ phơi nhiễm của các lỗ hổng đó và thực hiện các biện pháp thích hợp để giải quyết rủi ro liên quan.

Hướng dẫn Thực hiện – Cần có một bản kiểm kê tài sản toàn diện và cập nhật để quản lý hiệu quả lỗ hổng kỹ thuật. Nhà cung cấp phần mềm, số phiên bản, trạng thái cài đặt hiện tại (ví dụ như phần mềm được cài đặt trên hệ thống nào) và (các) người trong tổ chức chịu trách nhiệm về phần mềm được đưa vào các chi tiết cơ bản cần thiết để hỗ trợ quản lý lỗ hổng công nghệ.

Để xác định các lỗ hổng kỹ thuật tiềm ẩn, cần có hành động thích hợp và kịp thời. Để thiết lập một quy trình quản lý hiệu quả cho các lỗ hổng kỹ thuật, cần tuân thủ các hướng dẫn sau:

  • Tổ chức nên xác định và xác định vai trò và trách nhiệm quản lý lỗ hổng kỹ thuật, bao gồm giám sát lỗ hổng, đánh giá rủi ro về lỗ hổng, vá tài sản, theo dõi tài sản và bất kỳ trách nhiệm phối hợp cần thiết nào.
  • Các nguồn thông tin để xác định và nâng cao nhận thức về các lỗ hổng kỹ thuật liên quan đối với phần mềm và công nghệ khác (dựa trên danh sách kiểm kê tài sản, Tham khảo 8.1.1), cần được cập nhật dựa trên những thay đổi về hàng tồn kho và các tài nguyên mới hoặc hữu ích khác;
  • Cần xác định một mốc thời gian để phản hồi các thông báo về lỗ hổng kỹ thuật có thể có liên quan;
  • Tổ chức sẽ nhận ra các rủi ro liên quan và hành động khi một điểm yếu tiềm ẩn về công nghệ đã được xác định; những hành vi này có thể bao gồm vá các hệ thống bị xâm nhập hoặc thực thi các biện pháp kiểm soát khác;
  • Các hành động phải được thực hiện theo các giao thức quản lý thay đổi hoặc theo các quy trình ứng phó sự cố trong an toàn thông tin, tùy thuộc vào mức độ mà sự cố kỹ thuật cần được xử lý.
  • Phải đo lường rủi ro của việc cài đặt bản vá (những rủi ro do lỗ hổng bảo mật gây ra phải được so sánh với rủi ro khi cài đặt bản vá) nếu có sẵn bản vá từ một nguồn hợp lệ;

Thông tin khác – Quản lý lỗ hổng kỹ thuật có thể được xem như một chức năng phụ của quản lý thay đổi và do đó có thể được hưởng lợi từ các quy trình và thủ tục của quản lý thay đổi.

A.12.6.2 Hạn chế về Cài đặt Phần mềm

Kiểm soát – Người dùng nên thiết lập và thực hiện các quy tắc quản lý việc cài đặt phần mềm.

Hướng dẫn triển khai – Các hướng dẫn nghiêm ngặt về những loại người dùng phần mềm có thể được phát triển bởi tổ chức.

Nó sẽ tuân theo khái niệm ít đặc quyền hơn. Người dùng có thể cài đặt phần mềm nếu một số đặc quyền được cấp. Xác định loại cài đặt phần mềm nào được phép (ví dụ: cập nhật phần mềm hoặc bản vá bảo mật) và cài đặt nào bị cấm (ví dụ: phần mềm chỉ sử dụng cá nhân và phần mềm có lịch sử độc hại không xác định hoặc nghi ngờ). Có tính đến vai trò của những người dùng liên quan, các đặc quyền này nên được cung cấp.

Thông tin khác – Cài đặt phần mềm không được kiểm soát trên hệ thống máy tính có thể dẫn đến lỗ hổng và rò rỉ thông tin, mất tính toàn vẹn hoặc các sự cố khác về bảo mật sở hữu trí tuệ, hoặc vi phạm quyền sở hữu trí tuệ.

Phụ lục: A.12.7 Cân nhắc Đánh giá Hệ thống Thông tin.

Mục tiêu của nó là giảm thiểu tác động đến hệ thống vận hành của các hoạt động đánh giá.

A.12.7.1 Kiểm soát đánh giá hệ thống thông tin

Kiểm soát– Các kiểm toán các tiêu chí và các hoạt động liên quan đến xác minh hệ điều hành cần được chuẩn bị kỹ lưỡng và quyết định nhằm giảm quá trình kinh doanh xáo trộn.

Hướng dẫn thực hiện

– Cần tuân theo hướng dẫn sau:

  • Các tiêu chuẩn đánh giá về quyền truy cập vào hệ thống và dữ liệu cần được thương lượng với cấp quản lý thích hợp;
  • Phạm vi cần được thống nhất và kiểm soát trong các thử nghiệm đánh giá kỹ thuật;
  • Việc xử lý đánh giá nên được hạn chế đối với quyền truy cập chỉ đọc vào các ứng dụng và dữ liệu;
  • Quyền truy cập, thay vì chỉ đọc, chỉ nên được phép đối với các bản sao riêng biệt của tệp hệ thống, các bản sao này sẽ bị xóa khi quá trình kiểm tra hoàn thành hoặc được cung cấp bảo mật thích hợp khi các tệp đó cần được lưu giữ theo các yêu cầu kiểm tra tài liệu;
  • Các tiêu chí cho quá trình xử lý đặc biệt hoặc bổ sung cần được xác định và quyết định;
  • Các thử nghiệm đánh giá có thể ảnh hưởng đến tính khả dụng của hệ thống nên được thực hiện ngoài giờ làm việc;
  • Để tạo một đường tham chiếu, tất cả các truy cập phải được kiểm soát và ghi lại.

4. Trách nhiệm soạn thảo, phê duyệt quản lý an ninh hoạt động

Trách nhiệm soạn thảo quy trình an ninh hoạt động sẽ do thư ký ISO soạn thảo. Trưởng ban ISO sẽ xem xét, rà lại. Lãnh đạo cao nhất sẽ phê duyệt, ký đóng dấu và ban hành nội bộ.

5. Mẫu quản lý an ninh họt động tham khảo

Mẫu quản lý an ninh hoạt động an ninh thông tin (tham khảo)

An ninh hoạt động tham khảo

Tóm lược và khẳng định yêu cầu của việc hướng dẫn thực hiện quản lý an ninh hoạt động theo phụ lục A.12 ISO/IEC 27001:2013

An ninh hoạt động theo phụ lục A.12 ISO/IEC 27001:2013 là yêu cầu bắt buộc của tiêu chuẩn, nếu hệ thống không có các quy trình vận hành thể hiện và lưu giữ bằng văn bản thì bản thân hệ thống trong quá trình hoạt động có thể xảy ra nhiều vấn đề. Vậy nên để tổ chức vận hành hiệu quả và chính xác thì phụ lục A,12 đóng vai trò rất quan trọng.

ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT

Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh

Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh

Hotline: 0918 991 146

Liên hệ nhân viên kinh doanh:

Mr. Nhất Duy: 0932 321 236

Ms. Quỳnh Như: 0827 796 518

Ms. Thu Thúy: 0774 416 158

Email: info@isosig.com; Website: www.isosig.com

Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất

Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…