TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27015:2017 (ISO/IEC TR 27015:2012) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH
TIÊU CHUẨN QUỐC GIA
TCVN ISO/IEC 27015:2017
ISO/IEC TR 27015:2012
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH
Information technology – Security techniques – Information security management guidelines for financial services
Lời nói đầu
TCVN ISO/IEC 27015:2017 hoàn toàn tương đương ISO/IEC TR 27015:2012.
TCVN ISO/IEC 27015:2017 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
Sự phát triển không ngừng của công nghệ thông tin đã đem đến sự tin cậy ngày càng tăng của các tổ chức cung cấp dịch vụ tài chính vào các tài sản xử lý thông tin của họ. Vì vậy, lãnh đạo, khách hàng và các nhà quản lý có những kỳ vọng ngày càng cao về việc bảo vệ an toàn thông tin hiệu quả cho các tài sản này và thông tin được xử lý.
TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) đã đề cập đến việc quản lý và các biện pháp kiểm soát an toàn thông tin.
Các tổ chức cung cấp dịch vụ tài chính có những nhu cầu an toàn thông tin riêng và những ràng buộc trong việc tổ chức hoặc thực hiện các giao dịch tài chính với các đối tác kinh doanh, điều này đòi hỏi mức độ tin cậy cao giữa các bên liên quan tham gia vào giao dịch.
Tiêu chuẩn này cung cấp các hướng dẫn bổ sung cho các tổ chức cung cấp dịch vụ tài chính. Cụ thể là, tiêu chuẩn này cung cấp hướng dẫn bổ sung bên cạnh các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong TCVN ISO/IEC 27002:2011
Thuật ngữ “dịch vụ tài chính” cần được hiểu là các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn có thể được cung cấp bởi các tổ chức tài chính.
Bên cạnh việc triển khai TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011, khi sử dụng tiêu chuẩn này các tổ chức cung cấp dịch vụ tài chính có thể đạt được mức độ tin cậy cao hơn đối với khách hàng và các đối tác kinh doanh, đặc biệt là nếu có thể chứng minh được rằng họ đã sử dụng hướng dẫn chuyên ngành trong việc quản lý an toàn thông tin.
Tiêu chuẩn này không dành cho mục đích chứng nhận.
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH
Information technology – Security techniques – Information security management guidelines for financial Services
1 Phạm vi áp dụng
Tiêu chuẩn này cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) cho việc khởi tạo, triển khai, duy trì, và cải tiến vấn đề an toàn thông tin trong các tổ chức cung cấp dịch vụ tài chính.
2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi (nếu có).
ISO/IEC 27000:2009, Information technology – Security Techniques – Information security management systems – Overview and vocabulary Công nghệ thông tin – Kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng) 1).
3 Thuật ngữ, định nghĩa và thuật ngữ viết tắt
3.1 Thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa nêu trong tiêu chuẩn ISO/IEC 27000:2009 cùng với thuật ngữ và định nghĩa sau đây.
3.1.1
Dịch vụ tài chính (financial services)
Các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn.
3.2 Ký hiệu và thuật ngữ viết tắt
ATM | Automatic Teller Machines | Máy rút tiền tự động |
COBIT | Control Objectives for Information Technology | Các mục tiêu kiểm soát công nghệ thông tin |
OTP | One-Time Password | Mật khẩu sử dụng một lần |
PCI-DSS | Payment Card Industry – Data Security Standard | Chuẩn bảo mật dữ liệu cho thẻ thanh toán |
POS | Point Of Sale | Máy chấp nhận thanh toán thẻ |
SST | Self Service Terminal | Thiết bị đầu cuối tự phục vụ |
4. Cấu trúc tiêu chuẩn
Tiêu chuẩn này cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 từ điều 5 đến điều 15 dưới đây.
5. Chính sách an toàn thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
6. Tổ chức đảm bảo an toàn thông tin
6.1 Tổ chức nội bộ
6.1.1 Cam kết của lãnh đạp về đảm bảo an toàn thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
6.1.2 Phối hợp bảo đảm an toàn thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
6.1.3 Phân định trách nhiệm đảm bảo an toàn thông tin
Áp dụng biện pháp kiểm soát 5.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau.
Hướng dẫn triển khai
Tổ chức cung cấp dịch vụ tài chính cần xem xét vấn đề trong định nghĩa các yêu cầu về vai trò và trách nhiệm bảo đảm an toàn thông tin, và các khuyến nghị được tuyên bố bởi luật pháp và quy định áp dụng cho tổ chức trong các khuôn khổ ngành nghề.
Tổ chức cung cấp dịch vụ tài chính cũng cần chú ý tới việc đảm bảo sự triển khai nội bộ các yêu cầu và khuyến nghị liên quan đến vấn đề định nghĩa vai trò và trách nhiệm đảm bảo an toàn thông tin đã được tuyên bố bởi các đối tác quốc tế.
Dưới đây là một số ví dụ về quy định thường được áp dụng bởi các tổ chức cung cấp dịch vụ tài chính. Những quy định này cung cấp thông tin về việc phân bổ các vai trò và trách nhiệm đảm bảo an toàn thông tin:
a) PCI-DSS [1]:
1. PCI 12.5: Được giao trách nhiệm quản lý an toàn thông tin.
b) COBIT [2]:
2. 4.0 Định rõ tổ chức công nghệ thông tin và các mối quan hệ.
3. 4.4 Các vai trò và trách nhiệm.
4. 4.6 Trách nhiệm đối với việc đảm bảo an toàn vật lý và logic.
Vai trò và trách nhiệm về đảm bảo an toàn thông tin đã được phân định cần được xem xét thường xuyên để đảm bảo phù hợp với những thay đổi về yêu cầu và khuyến nghị được tuyên bố bởi luật pháp, quy định, khuôn khổ ngành nghề và các đối tác.
6.1.4 Quy trình cấp phép cho phương tiện xử lý thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
6.1.5 Các thỏa thuận bảo mật
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
6.1.6 Liên lạc với những cơ quan/tổ chức có thẩm quyền
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
6.1.7 Liên lạc với các nhóm chuyên gia
Áp dụng biện pháp kiểm soát 5.1.7 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, thành viên của các nhóm hoặc các diễn đàn có quan tâm đặc biệt cần được cân nhắc như một kênh để:
a) bí mật chia sẻ và trao đổi thông tin về các hoạt động gian lận và tội phạm mạng xảy ra trong thời gian gần.
6.1.8 Xem xét độc lập về an toàn thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính
6.2 Các bên tham gia bên ngoài
6.2.1 Xác định các rủi ro liên quan đến các bên tham gia bên ngoài
Áp dụng biện pháp kiểm soát 5.2.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cung cấp dịch vụ tài chính cũng cần xem xét vấn đề sau khi xác định rủi ro liên quan tới truy cập của tổ chức bên ngoài:
a) Các yêu cầu về pháp lý và quy định, cùng với những cam kết hợp đồng có thể được áp dụng đối với bên tham gia bên ngoài có trụ sở tại nước ngoài và những cam kết hợp đồng có thể dẫn tới sự tiết lộ thông tin về khách hàng và thông tin tài chính với bên thứ ba (ví dụ như tổ chức mẹ, tổ chức liên kết, cơ quan công quyền). Vấn đề này có thể gây ra lỗ hổng bảo mật nghiêm trọng với việc tiết lộ trái phép các thông tin này.
6.2.2 Giải quyết an toàn khi làm việc với khách hàng
Áp dụng biện pháp kiểm soát 5.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các nguyên tắc sau đây cần được xem xét để giải quyết an toàn khi giao dịch với khách hàng:
a) Tổ chức cần đưa ra chỉ dẫn an toàn thông tin để nâng cao nhận thức của khách hàng về các mối đe dọa (như Trojan, lừa đảo trực tuyến, các cuộc gọi giả mạo) rằng chúng có thể đem đến những rủi ro an toàn thông tin cho họ.
Chỉ dẫn này cần hướng tới nhu cầu của khách hàng và mức nhu cầu trao đổi kỹ thuật hợp lý cần được lựa chọn để đảm bảo nâng cao nhận thức có hiệu quả đối với khách hàng.
Tổ chức cần thường xuyên xem xét chỉ dẫn an toàn thông tin được cung cấp cho khách hàng nhằm đảm bảo tính đầy đủ và phù hợp với hồ sơ rủi ro của tổ chức, cũng như xử lý tốt những mối đe dọa an toàn thông tin mới.
Dưới đây là các ví dụ điển hình về chỉ dẫn an toàn thông tin:
1. Áp dụng biện pháp kiểm soát phù hợp (ví dụ: bảo vệ mật khẩu, chống virus) đảm bảo an toàn cho máy tính cá nhân và các thiết bị khác được sử dụng để truy cập các dịch vụ ngân hàng trực tuyến.
2. Không tiết lộ thông tin khách hàng và thông tin tài chính (ví dụ số thẻ thanh toán) khi không cần thiết hoặc trong trường hợp sự toàn vẹn thông tin khách hàng nghi ngờ có vấn đề.
3. Cần đảm bảo an toàn khi hủy thẻ thanh toán đã hết hạn hoặc thẻ không sử dụng:
Dưới đây là một số ví dụ về khuyến nghị có thể được cung cấp cho khách hàng:
a. Cắt bỏ chính xác và đúng cách thẻ thanh toán.
b. Sử dụng một máy cắt chuyên dụng cho việc phá hủy thẻ thanh toán.
c. Đảm bảo chắc chắn đã phá hủy Chip và giải từ của thẻ thanh toán.
d. Sử dụng những thùng rác đặt ở những nơi khác nhau để bỏ đi những miếng cắt của thẻ thanh toán.
e. Tránh vứt những miếng thẻ đã bị cắt vào các thùng tái chế, vì có thể có nguy cơ khôi phục lại thẻ tại các trung tâm tái chế.
4. Khi thực hiện các hoạt động ngân hàng, cần có các biện pháp bảo vệ để đảm bảo những người không có quyền thì không được nhìn thấy hoặc tiếp xúc với thông tin xác thực người dùng, hoặc thông tin bảo mật khác về hệ thống thông tin.
5. Áp dụng cơ chế xác thực an toàn, như sử dụng mật khẩu mạnh, mã PIN hoặc xác thực hai yếu tố khi hệ thống được trang bị sẵn.
6. Tránh sử dụng mật khẩu giống nhau để truy cập vào các dịch vụ ngân hàng được cung cấp bởi các tổ chức ngân hàng khác nhau.
7. Tránh sử dụng mã PIN giống nhau cho tất cả các thẻ thanh toán.
8. Nhắc nhở khách hàng rằng, tổ chức sẽ không bao giờ thực hiện việc thuyết phục để khách hàng cung cấp thông tin xác thực (ví dụ mật khẩu, mã PIN).
9. Thông báo cho khách hàng về việc phải thường xuyên theo dõi các giao dịch và số dư tài khoản.
10. Cần thông báo kịp thời cho khách hàng về các bước cần thiết phải thực hiện khi phát hiện tài khoản đã bị hoặc có thể sẽ bị xâm hại..
Để giảm thiểu nguy cơ trở thành mục tiêu tấn công của bọn tội phạm gian lận, về cơ bản tổ chức nên thường xuyên so sánh các chỉ dẫn cho khách hàng với các tổ chức cùng loại khác và với cộng đồng các nhà cung cấp dịch vụ tài chính.
b) Tổ chức cần thông báo cho khách hàng:
1. Đầu mối chuyên tiếp nhận các khiếu nại, thắc mắc về an toàn thông tin, hoặc những vấn đề khác liên quan tới dịch vụ tài chính của tổ chức.
2. Các hành động cần thực hiện khi thông tin xác thực người dùng của họ bị xâm hại (ví dụ mật khẩu, mã PIN), thậm chí ngay cả khi khách hàng chính là người gây ra lỗi.
3. Cách thức báo cáo sự kiện bất thường trong khi truy cập vào dịch vụ tài chính của tổ chức.
c) Khi thiết lập hệ thống giao dịch trực tuyến (ví dụ ngân hàng trực tuyến) đến khách hàng, tổ chức cần cân nhắc những vấn đề sau:
1. Các điều khoản và điều kiện về sử dụng hệ thống giao dịch trực tuyến. Cần đặc biệt lưu ý đến việc xác định sự thừa nhận pháp lý của các giao dịch được thực hiện.
2. Công khai, minh bạch về vai trò và trách nhiệm cũng như nghĩa vụ pháp lý của tổ chức và khách hàng.
3. Công khai, minh bạch về giám sát tính riêng tư và giám sát sử dụng, bao gồm cả giám sát gian lận trong hệ thống giao dịch trực tuyến thông qua các biện pháp bảo vệ lợi ích của cả khách hàng và tổ chức.
4. Giao quyền truy cập dựa trên nguyên tắc sau đây:
a. Hiểu khách hàng: nguyên tắc này được những nhà quản lý sử dụng để bày tỏ quan điểm của họ với các cơ quan tài chính. Những quan điểm này xuất phát từ sự nhìn nhận, hiểu biết về các hoạt động của khách hàng.
b. Cần biết: nguyên tắc này giới hạn quyền truy cập thông tin và các tài nguyên ở mức cần thiết và vừa đủ để thực hiện hoạt động nào đó liên quan đến việc xử lý thông tin.
c. Kiểm soát kép: đây là nguyên tắc của quá trình duy trì tính toàn vẹn và chống sai lệch các chức năng về yêu cầu ở hệ thống sao lưu (thuật toán, thời gian, tài nguyên, v.v…) các hành động cho đến khi kết thúc giao dịch nào đó.
5. Thiết lập:
a. Các phương thức xác thực mạnh đối người dùng (ví dụ: thiết bị OTP, chữ ký số người dùng).
b. Các hệ thống xác minh nhằm đảm bảo tính hợp lệ của các ủy nhiệm người dùng và các thiết bị cần xác minh.
c. Xác minh mức độ thừa nhận của cơ quan chứng thực.
6. Mỗi một khách hàng chỉ được gán một định danh duy nhất.
7. Cần có cơ chế thông báo cho khách hàng một cách tự động (thường xuyên, liên tục hoặc theo yêu cầu) về toàn bộ các hoạt động của họ.
Các thông tin khác
Mặc dù khách hàng thuộc nhiều ngành nghề hoặc các nhà cung cấp dịch vụ có thể được coi là các bên liên quan đến cùng một nghiệp vụ nhưng xét trên phương diện cung cấp dịch vụ tài chính, nhìn chung, tổ chức phải có nhiệm vụ đưa ra chỉ dẫn cho khách hàng về các biện pháp bảo vệ phù hợp. Nếu xảy ra lỗ hổng hoặc mất mát thì tổ chức sẽ bị ảnh hưởng đến danh tiếng, uy tín và cả vấn đề tài chính.
6.2.3 Giải quyết an toàn trong các thỏa thuận với bên thứ ba
Áp dụng biện pháp kiểm soát 5.2.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các vấn đề sau cần được xem xét trong thỏa thuận với nhà cung ứng nếu phạm vi của thỏa thuận có liên quan đến các dịch vụ tài chính được tổ chức cung cấp:
a) Đầu mối liên lạc được ủy quyền để xử lý các yêu cầu của tổ chức.
b) Điều khoản về quyền sở hữu hồ sơ được thiết lập bởi nhà cung ứng trong quá trình thực hiện các thỏa thuận với nhà cung ứng.
c) Thông báo kịp thời về những thay đổi an toàn thông tin đối với các tài sản của nhà cung ứng hỗ trợ các dịch vụ tài chính của tổ chức.
d) Đảm bảo rằng các thông tin của tổ chức luôn sẵn sàng cho nhà cung ứng sẽ được xử lý hoàn toàn theo các điều khoản và điều kiện đã được cụ thể hóa trong thỏa thuận.
e) Đảm bảo rằng những thay đổi của các nhà thầu phụ hoặc những nơi lưu trữ thông tin đã được xử lý của tổ chức (ví dụ việc gia công ở nước ngoài) sẽ được thông báo cho tổ chức và có thể cần có sự chấp thuận trước đó của tổ chức, đặc biệt là khi có liên quan tới việc xử lý thông tin của tổ chức.
f) Đảm bảo rằng các sự cố phát sinh trong quá trình nhà cung ứng thực hiện thỏa thuận sẽ được báo cáo tới tổ chức một cách kịp thời và nhà cung ứng sẽ thực hiện các cuộc điều tra phù hợp.
g) Sự tham gia của các nhà cung ứng trong trường hợp xảy ra sự cố hoặc một sự việc bất thường có thể vượt quá giới hạn được tổ chức đưa ra. Cần đảm bảo rằng phản ứng của nhà cung ứng trong trường hợp này sẽ chỉ trong giới hạn nhất định, ví dụ để giám sát hoặc hủy bỏ giao dịch tài chính đã được cung cấp giữa một vài tổ chức trong trường hợp có sự nghi ngờ về tính hợp pháp của giao dịch đó.
h) Quyền để:
a. đánh giá các nhà thầu phụ ở mức độ tương đương như đối với nhà cung ứng:
b. Các nhà quản lý của tổ chức truy cập thông tin và các hoạt động của nhà cung ứng, các nhà thầu phụ của họ.
7 Quản lý tài sản
7.1 Trách nhiệm đối với tài sản
7.1.1 Kiểm kê tài sản
Áp dụng biện pháp kiểm soát 6.1.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Tổ chức cần lưu ý đảm bảo rằng:
a) Các tài sản cụ thể được sử dụng để cung cấp dịch vụ tài chính, chẳng hạn như các thiết bị thanh toán (ATM, SST, POS), thẻ thanh toán (ghi nợ, tín dụng, thuê bao trả trước) và các hệ thống liên ngân hàng được lưu trữ tại chỗ hoặc cách xa đều được kiểm kê tài sản.
b) Việc kiểm kê các thẻ thanh toán, bao gồm cả thông tin trạng thái của thẻ (đã hết hiệu lực, đã bị thu hồi) được tiến hành bởi nhà cung ứng (ví dụ như một nhà cung cấp dịch vụ thanh toán chấp nhận các khoản thanh toán được thực hiện với các thẻ thanh toán được phát hành bởi tổ chức và đại diện của tổ chức), phải chính xác nhằm tránh việc chi trả cho những thẻ không hợp lệ.
7.1.2 Quyền sở hữu tài sản
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
7.1.3 Sử dụng hợp lý tài sản
Áp dụng biện pháp kiểm soát 6.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Tổ chức cung cấp dịch vụ tài chính cũng cần đảm bảo có các quy tắc về xử lý và hủy bỏ đồng phục hay bất kỳ vật gì được gắn nhãn, bao gồm cả các mẫu in sẵn để tránh bị sử dụng trái phép cho hoạt động gian lận hay tội phạm.
7.2 Phân loại thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
8 Đảm bảo an toàn thông tin từ nguồn nhân lực
8.1 Trước khi tuyển dụng
8.1.1 Các vai trò và trách nhiệm
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
8.1.2 Thẩm tra
Áp dụng biện pháp kiểm soát 7.1.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Tổ chức cung cấp dịch vụ tài chính cần lưu ý rằng bọn tội phạm có tổ chức có thể cài người vào các quy trình nghiệp vụ quan trọng.
Đặc biệt, cần rất cẩn thận đối với các chức năng nhất định, ví dụ các chức năng bên dưới, thông qua việc đảm bảo đã thực hiện các cuộc kiểm tra chi tiết hơn về hình sự và lý lịch nếu pháp luật cho phép:
a) Tất cả nhân viên có quyền truy cập tới thông tin khách hàng và thông tin tài chính (ví dụ: thẻ thanh toán, mật khẩu, mã PIN).
b) Người quản trị hệ thống chịu trách nhiệm xử lý thông tin khách hàng và thông tin tài chính.
c) Người quản trị về bảo mật chịu trách nhiệm quản lý khóa mật mã phục vụ cho mục đích sau:
1. Truyền tải, lưu trữ thông tin tài chính và thông tin khách hàng.
2. Xác thực các giao dịch tài chính.
3. Mật khẩu khách hàng, mã PIN, hoặc quản lý xác thực hai yếu tố.
8.1.3 Điều khoản và điều kiện tuyển dụng
Áp dụng biện pháp kiểm soát 7.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Các điều khoản và điều kiện tuyển dụng cần phải kết hợp với chính sách nghỉ lễ áp dụng đối với tổ chức và nhân viên của các nhà cung ứng tham gia vào các hoạt động tài chính nhạy cảm.
Xem như một biện pháp chống gian lận, chính sách nghỉ lễ cần đưa ra thời gian nghỉ làm tối thiểu (ví dụ, 10 ngày làm việc liên tục trong một năm) để đảm bảo rằng các hoạt động tài chính nhạy cảm không phải lúc nào cũng được thực hiện bởi chỉ một người.
8.2 Trong thời gian làm việc
8.2.1 Trách nhiệm của lãnh đạo
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
8.2.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin
Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Tổ chức cung cấp dịch vụ tài chính cần xem xét các điều luật và quy định áp dụng cho tổ chức, cùng với các công bố từ nhà quản lý, yêu cầu các vấn đề cụ thể (chẳng hạn như việc sử dụng điện thoại để phổ biến các thông tin tài chính và thông tin khách hàng, các chương trình chống rửa tiền) được giải quyết trong các hoạt động đào tạo và nâng cao nhận thức về an toàn cho tổ chức.
Việc nâng cao nhận thức về an toàn thông tin cũng cần giải quyết những chủ đề cụ thể như kỹ thuật tấn công khai thác mang tính xã hội, lừa đảo nhắm vào yếu tố con người, các hướng tấn công trực tuyến, hệ thống quẹt thẻ và phần mềm độc hại.
8.3 Chấm dứt hoặc thay đổi công việc
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
9 Đảm bảo an toàn vật lý và môi trường
9.1 Các khu vực an toàn
9.1.1 Vành đai an toàn vật lý
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
9.1.2 Kiểm soát cổng truy cập vật lý
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
9.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
9.1.4 Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
9.1.5 Làm việc trong khu vực an toàn
Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Tổ chức cần thận trọng để đảm bảo rằng việc sử dụng thiết bị di động cần đặc biệt hạn chế trong khu vực xử lý nghiệp vụ trọng yếu, đó là nơi xử lý và sẵn có các thông tin khách hàng và số thẻ thanh toán. Điều này nhằm ngăn chặn việc ghi lại hoặc truyền trái phép các thông tin.
9.1.6 Các khu vực truy cập tự do, phân phối và tập kết hàng
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
9.2 Đảm bảo an toàn trang thiết bị
9.2.1 Bố trí và bảo vệ thiết bị
Áp dụng biện pháp kiểm soát 8.2.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Tổ chức cung cấp dịch vụ tài chính cẩn thận trọng trong việc bảo vệ các thiết bị thanh toán (ví dụ thiết bị ATM, SST, POS) được đặt bên ngoài trụ sở của tổ chức, thông tin khách hàng, thông tin tài chính hoặc những tài sản vật chất khác trước nguy cơ bị thay đổi trái phép, bị mở ra và đánh cắp. Các biện pháp đảm bảo an toàn được triển khai cần phải bao gồm, ví dụ, xây dựng hệ thống bảo vệ kiên cố, cơ chế tự động tiêu hủy, bảo vệ hệ thống cáp.
9.2.2 Các tiện ích hỗ trợ
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính
9.2.3 An toàn cho dây cáp
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính
9.2.4 Bảo dưỡng thiết bị
Áp dụng biện pháp kiểm soát 8.2.4 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Bên cạnh hướng dẫn trong tiêu chuẩn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cũng cần xem xét việc thiết lập kiểm soát kép để bảo trì các thiết bị thanh toán (như ATM, SST, POS).
9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính
9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị
Áp dụng biện pháp kiểm soát 8.2.6 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Tổ chức cần lưu ý các thông tin khách hàng, thông tài chính được lưu trữ trong các thành phần bộ nhớ (ATM, SST, đĩa cứng, bộ nhớ trong POS) của các thiết bị thanh toán phải bị hủy bỏ, xoá, ghi đè trước khi bị loại bỏ.
9.2.7 Di rời tài sản
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
1. Quản lý truyền thông và vận hành
10.1 Các trách nhiệm và thủ tục vận hành
10.1.1 Các thủ tục vận hành được ghi thành văn bản
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.1.2 Quản lý thay đổi
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.1.3 Phân tách nhiệm vụ
Áp dụng biện pháp kiểm soát 9.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Việc phân tách nhiệm vụ cần được áp dụng trong phạm vi các hệ thống giao dịch tài chính để đảm bảo không chỉ việc khởi tạo một sự kiện (chẳng hạn như một giao dịch tài chính) được tách khỏi việc xử lý hoặc việc ủy quyền của giao dịch, mà sự khởi tạo này còn được tách khỏi việc xác minh của nó.
Tổ chức tối thiểu cần đảm bảo có kiểm soát kép trong quản lý giao dịch tài chính, tức là việc xử lý thông tin tài chính hoặc giao dịch tài chính và việc xác minh kết quả được thực hiện bởi những nhân viên khác nhau hoặc các quy trình tự động.
10.1.4 Phân tách các chức năng phát triển, kiểm thử và vận hành
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính
10.2 Quản lý chuyển giao dịch vụ của bên thứ ba
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính
10.3 Lập kế hoạch và chấp nhận hệ thống
10.3.1 Quản lý năng lực hệ thống
Áp dụng biện pháp kiểm soát 10.3.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Cần chú ý đảm bảo các yêu cầu về năng lực phải được xác định cho các tài sản đã được triển khai hoặc tài sản dự kiến được triển khai dưới đây:
a) Dịch vụ ngân hàng trực tuyến, trên cơ sở xem xét các yêu cầu nghiệp vụ sau:
1. Số lượng giao dịch hiện tại và dự kiến.
2. Các khoảng thời gian giao dịch đột biến hiện tại và dự kiến, và lượng giao dịch cao nhất.
3. Số lượng khách hàng hiện tại.
4. Tăng trưởng dự kiến về số lượng khách hàng.
5. Đảm bảo tính sẵn sàng của các dịch vụ ngân hàng trực tuyến ngay cả trong thời điểm có nhiều khách hàng truy cập.
b) Các thiết bị thanh toán (như ATM, SST, POS) xử lý thông tin tài chính và thông tin khách hàng.
10.3.2 Chấp nhận hệ thống
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.4 Bảo vệ chống lại mã độc hại và mã di động
10.4.1 Quản lý chống lại mã độc hại
Áp dụng biện pháp kiểm soát 9.4.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:
Hướng dẫn triển khai
Các kiểm tra bằng phần mềm phát hiện mã độc và phần mềm sửa chữa cần thực hiện trên cả các thiết bị thanh toán (như ATM, SST, POS) có xử thông tin tài chính và thông tin khách hàng. Những thiết bị này thường được coi là ít bị ảnh hưởng bởi mã độc.
10.4.2 Quản lý các mã di động
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.5 Sao lưu
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.6 Quản lý an toàn mạng
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.7 Xử lý phương tiện
10.7.1 Quản lý các phương tiện có thể di dời
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.7.2 Loại bỏ phương tiện
Áp dụng biện pháp kiểm soát 9.7.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Tổ chức cần phải chú ý đảm bảo các thủ tục loại bỏ một cách an toàn được thực hiện đối với toàn bộ các phương tiện xử lý thông tin khách hàng và thông tin tài chính (thông tin thẻ thanh toán, mật khẩu khách hàng, mã PIN) cùng với các tài sản cụ thể được sử dụng để sản xuất các thẻ thanh toán, chẳng hạn như dây băng.
10.7.3 Các thủ tục xử lý thông tin
Áp dụng biện pháp kiểm soát 9.7.3 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Tổ chức cần đảm bảo các thủ tục xử lý thông tin giải quyết việc xử lý, loại bỏ chứng từ, sổ ký quỹ, thẻ thanh toán (thẻ ghi nợ, tín dụng, trả trước) và các giấy tờ khác.
10.7.4 An toàn cho các tài liệu hệ thống
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.8 Trao đổi thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.9 Các dịch vụ thương mại điện tử
10.9.1 Thương mại điện tử
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.9.2 Các giao dịch trực tuyến
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.9.3 Thông tin công khai
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.9.4 Dịch vụ ngân hàng trực tuyến
Biện pháp kiểm soát
Dịch vụ ngân hàng trực tuyến cần phải được bảo vệ trước những truy cập và sửa đổi trái phép nhằm ngăn chặn việc tiết lộ trái phép các thông tin khách hàng và thông tin tài chính, đồng thời ngăn chặn các giao dịch trái phép.
Hướng dẫn triển khai
Tổ chức cần cân nhắc các vấn đề an toàn sau đây để bảo vệ dịch vụ ngân hàng trực tuyến:
a) Thông báo cho khách hàng sử dụng dịch vụ ngân hàng trực tuyến bằng một kênh và phương tiện thông tin được thiết lập từ trước. Chẳng hạn như các sao kê tài khoản in sẵn trên giấy.
b) Những giới hạn tài chính phòng ngừa, ví dụ: giới hạn giao dịch liên ngân hàng, giới hạn tùy ý khác.
c) Các ủy nhiệm thư riêng của người dùng cho chủ tài khoản kèm các đặc quyền liên quan thể hiện hiệu lực đã được xác định ban đầu của chữ ký.
d) Tiết lộ hạn chế về thông tin khách hàng và thông tin tài chính, chẳng hạn như định danh người dùng, tên và số tài khoản, ngoại trừ cho các mục đích nghiệp vụ hợp lệ và các hành động được khách hàng thực hiện.
e) Chấp thuận các hành động của khách hàng chỉ nếu họ đã được xem xét trong cùng một phiên giao dịch mà không xảy ra gián đoạn hoặc mất kết nối. Nếu có gián đoạn hoặc mất kết nối trong phiên giao dịch của người dùng thì các yêu cầu xác thực người dùng cần được áp dụng lại cho khách hàng có truy cập vào các dịch vụ ngân hàng trực tuyến.
Các thông tin khác:
Hệ thống thông tin lưu trữ giao diện web cho khách hàng trong việc sử dụng dịch vụ ngân hàng trực tuyến không cần phải lưu trữ, xử lý các thông tin khách hàng và thông tin tài chính trên đó để giảm bớt rủi ro trong trường hợp hệ thống bị thỏa hiệp.
10.10 Giám sát
10.10.1 Ghi nhật ký đánh giá
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.10.2 Giám sát sử dụng hệ thống
Áp dụng biện pháp kiểm soát 9.10.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Ngoài các nội dung được nêu trong TCVN ISO/IEC 27002:2011 về các hoạt động giám sát thiết bị cá nhân, cần xem xét các nội dung sau:
a) Các sự kiện bất thường liên quan đến thông tin khách hàng và thông tin tài chính, cùng với các giao dịch được thực hiện bởi khách hàng, như:
1. Các giao dịch bất thường (ví dụ: chuyển tiền vào một tài khoản ngân hàng không rõ ràng ở nước ngoài).
2. Các hành động của người dùng ngoài thời gian sử dụng thông thường.
3. Các hành động của người dùng được thực hiện với tốc độ bất thường nhằm dò tìm các biện pháp ngăn chặn tự động.
4. Các hành động của người dùng bỏ qua các hoạt động thông thường trong quá trình giao dịch trực tuyến.
5. Phiên của người dùng bị trùng lặp.
10.10.3 Bảo vệ các thông tin nhật ký
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.10.4 Nhật ký của người điều hành và người quản trị
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.10.5 Ghi nhật ký lỗi
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
10.10.6 Đồng bộ thời gian
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
11 Quản lý truy cập
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
12 Tiếp nhận, duy trì và phát triển hệ thống thông tin
12.1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin
12.1.1 Phân tích và đặc tả các yêu cầu về an toàn
Áp dụng biện pháp kiểm soát 12.1.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Khi thiết kế một hệ thống giao dịch tài chính mới hoặc khi thực hiện các thay đổi đối với hệ thống cũ, tổ chức cần xem xét các yêu cầu về an toàn sau:
a) Bảo vệ thông tin giao dịch tài chính tránh khỏi bị sửa chữa, giả mạo, thay địa chỉ hoặc phá hoại trái phép.
b) Khôi phục thông tin giao dịch tài chính trong trường hợp bị sửa chữa, giả mạo, thay địa chỉ hoặc phá hoại trái phép.
c) Tự động kiểm tra sự phù hợp khi khởi tạo, xử lý, truyền và lưu trữ các giao dịch tài chính.
d) Khả năng lưu vết các gian lận giao dịch tài chính có thể để tìm bên khởi tạo.
e) Xác thực:
1. các máy tự động (các máy trạm và máy chủ) và các bên tham gia vào việc trao đổi các giao dịch tài chính.
2. Các thông điệp thanh toán điện tử từ hai chiều.
f) Gửi thông điệp thanh toán điện tử cho các bên tham gia vào việc trao đổi các giao dịch tài chính.
g) Đối chiếu thông điệp thanh toán điện tử gửi đi tương ứng với thông điệp thanh toán điện tử gửi đến và được xử lý trong quyết toán liên ngân hàng.
h) Xác thực người dùng cho việc truy cập vào các tham số nhạy cảm hoặc thực hiện những hành động nhạy cảm, như kế toán kép, đối chiếu số liệu, thiết lập giới hạn về giá trị của hoạt động tài chính.
i) Phân tách nhiệm vụ đối với tất cả các luồng giao dịch và các chấp thuận giải ngân.
12.2 Xử lý đúng trong các ứng dụng
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
12.3 Quản lý mã hóa
12.3.1 Chính sách sử dụng các biện pháp kiểm soát mã hóa
Áp dụng biện pháp kiểm soát 11.3.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, khi xây dựng chính sách mã hóa cần cân nhắc những nội dung sau:
a) Tổ chức cần áp dụng một nguyên tắc chung để xem xét một cách hệ thống và áp dụng các biện pháp kiểm soát mã hóa khi thông tin khách hàng và thông tin tài chính được lưu trữ hoặc xử lý nhằm đảm bảo tính bí mật và tính toàn vẹn.
b) Truy cập những thông tin này ở dạng bản rõ chỉ được áp dụng với những mục đích nghiệp vụ hợp lệ và phù hợp với những yêu cầu của luật pháp và quy định áp dụng đối với tổ chức.
c) Phương pháp luận và các phương pháp để thường xuyên đánh giá chất lượng và độ mạnh của các thuật toán mã hóa được sử dụng trong các biện pháp kiểm soát mã hóa để phát hiện sớm những điểm yếu liên quan và ngăn chặn việc sử dụng bất hợp pháp hoặc sử dụng không chính xác các thuật toán mã hóa, thông qua việc thay đổi quản lý khóa mã hóa (ví dụ, bằng việc tăng tần suất thay đổi hoặc cập nhật khoá mã hóa).
Tổ chức cần lưu ý khi xác định và phân công vai trò và trách nhiệm về quản lý khóa mã hóa để đảm bảo rằng những người có trách nhiệm về an toàn liên quan đều không có đặc quyền trong việc sử dụng khóa mã hóa được khởi tạo.
Khóa mã hóa liên quan đến các hệ thống giao dịch tài chính có xử lý và lưu trữ thông tin khách hàng và thông tin tài chính nên được quản lý bởi nhiều người có trách nhiệm về an toàn, mỗi người nắm giữ một phần của hệ thống khóa.
12.3.2 Quản lý khóa
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
12.4 An toàn cho các tệp tin hệ thống
12.4.1 Quản lý các phần mềm điều hành
Áp dụng biện pháp kiểm soát 11.4.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002, khuyến nghị sau đây cần được xem xét để giảm rủi ro sai hỏng hệ điều hành:
a) Tính xác thực của những thay đổi do các nhà cung cấp ứng dụng và phần mềm hệ điều hành của thiết bị thanh toán (ví dụ: ATM, SST, POS) cần được kiểm tra (thông qua chữ ký số, thuật toán hàm băm) trước khi được kiểm thử rộng rãi.
12.4.2 Bảo vệ dữ liệu kiểm tra hệ thống
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
12.4.3 Quản lý truy cập đến mã nguồn chương trình
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
12.5 Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
12.6 Quản lý các điểm yếu kỹ thuật
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
13 Quản lý các sự cố an toàn thông tin
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
14 Quản lý sự liên tục của hoạt động nghiệp vụ
14.1 Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ
14.1.1 Tính đến an toàn thông tin trong quá trình quản lý tính liên tục của hoạt động nghiệp vụ
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
14.1.2 Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức
Áp dụng biện pháp kiểm soát 13.1.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Khi đánh giá rủi ro trong đảm bảo hoạt động liên tục, tổ chức cần thận trọng trong việc xem xét các phụ thuộc từ bên ngoài của các quy trình nghiệp vụ, ví dụ các nguồn cung cấp về:
a) Thông tin tài chính được đưa ra bởi các đối tác kinh doanh, nhà thầu hoặc nhà cung ứng.
b) Dịch vụ tài chính mua sắm (ví dụ: ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt).
14.1.3 Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm cả vấn đề đảm bảo an toàn thông tin.
Áp dụng biện pháp kiểm soát 13.1.3 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Các kế hoạch liên tục nghiệp vụ được tổ chức phát triển cần đưa ra những phụ thuộc bên ngoài sau vào quy trình phục hồi và khôi phục hoạt động nghiệp vụ:
a) Thông tin tài chính được đưa ra bởi các đối tác kinh doanh, nhà thầu hoặc nhà cung ứng.
b) Cần tính đến tình huống xấu nhất trong các dịch vụ tài chính mua sắm (ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt) để đảm bảo tính liên tục của các dịch vụ này trong trường hợp có gián đoạn ảnh hưởng đến hoạt động của nhà cung ứng.
14.1.4 Khung hoạch định trong hoạt động nghiệp vụ
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
14.1.5 Kiểm tra, duy trì và đánh giá lại các kế hoạch đảm bảo sự liên tục trong hoạt động nghiệp vụ
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
15 Sự tuân thủ
15.1 Sự tuân thủ các quy định pháp lý
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
15.2 Sự tuân thủ các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật
15.2.1 Sự tuân thủ các tiêu chuẩn và các chính sách an toàn
Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.
15.2.2 Kiểm tra sự tương thích kỹ thuật
Áp dụng biện pháp kiểm soát 14.2.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:
Hướng dẫn triển khai
Tổ chức cần thận trọng khi tiến hành các cuộc kiểm tra tương thích kỹ thuật một cách thường xuyên trên các hệ thống giao dịch tài chính trực tuyến (ví dụ: ngân hàng trực tuyến), đặc biệt là nếu các hệ thống này sẵn sàng đối với khách hàng hoặc chứa các thông tin tài chính và thông tin khách hàng, nhằm đảm bảo chúng chúng được triển khai đúng hoặc phù hợp với các điều luật và quy định hiện hành.
15.2.3 Giám sát việc tuân thủ
Biện pháp kiểm soát:
Các tổ chức cần đảm bảo các yêu cầu pháp lý, quy định và hợp đồng liên quan được kiểm tra định kỳ trong phạm vi quản lý an toàn thông tin nhằm đảm bảo giám sát sự tuân thủ.
Hướng dẫn triển khai
Quy trình giám sát sự tuân thủ cần được xác định để thường xuyên đối chiếu giữa các yếu tố sau:
a) Các yêu cầu pháp lý, quy định và hợp đồng áp dụng cho an toàn thông tin,
b) Phạm vi quản lý an toàn thông tin của tổ chức, bao gồm các mục tiêu kiểm soát, biện pháp kiểm soát, chính sách, tiêu chuẩn an toàn và các yêu cầu an toàn khác thực hiện bởi tổ chức.
Việc đối chiếu cần được thực hiện thường xuyên để giải quyết những thay đổi về pháp lý hiện hành và phạm vi quản lý an toàn thông tin, ví dụ trong việc đánh giá, giảm thiểu rủi ro và khi có những thay đổi quan trọng xảy ra.
Tổ chức cần phải xác định và xử lý những trường hợp không tuân thủ các quy định pháp lý.
Thư mục tài liệu tham khảo
[1] Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures (version 1.2)
[2] COBIT – Control Objectives for Information Technology – Version 4.1 – IT Governance Institute and Information Systems Audit and Control Association (ISACA)
[3] TCVN 10541:2014 (ISO/IEC 27003:2010), Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an toàn thông tin
[4] TCVN 10542:2014 (ISO/IEC 27004:2009), Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin – Đo lường
[5] TCVN 10295:2014 (ISO/IEC 27005:2011), Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin
[6] ISO/TR 13569:2005, Financial services – Information security guidelines
[7] ISO/IEC 24762:2008, Information technology – Security techniques – Guidelines for information and communications technology disaster recovery services
[8] ISO/IEC 27031:2011, Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity
[9] TCVN 9801-1:2013 (ISO/IEC 27033-1:2009), Công nghệ thông tin – Kỹ thuật an ninh – An ninh mạng – Phần 1: Tổng quan và khái niệm
[10] ISO/IEC 27033-2:2012, Information technology – Security techniques – Network security – Part 2: Guidelines for the design and implementation of network security
[11] TCVN 9801-3:2014 (ISO/IEC 27033-3:2010): Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng – Phần 3: Các kịch bản kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát
[12] TCVN 11239:2015 (ISO/IEC 27035:2011), Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý sự cố an toàn thông tin
[13] TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin – Hệ thống quản lý an toàn thông tin – Các yêu cầu
[14] TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an toàn thông tin
MỤC LỤC
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ, định nghĩa và thuật ngữ viết tắt
3.1 Thuật ngữ và định nghĩa
3.2 Ký hiệu và thuật ngữ viết tắt
4 Cấu trúc tiêu chuẩn
5 Chính sách an toàn thông tin
6 Tổ chức đảm bảo an toàn thông tin
6.1 Tổ chức nội bộ
6.1.1 Cam kết của lãnh đạo về đảm bảo an toàn thông tin
6.1.2 Phối hợp bảo đảm an toàn thông tin
6.1.3 Phân định trách nhiệm đảm bảo an toàn thông tin
6.1.4 Quy trình cấp phép cho phương tiện xử lý thông tin
6.1.5 Các thỏa thuận bảo mật
6.1.6 Liên lạc với những cơ quan/tổ chức có thẩm quyền
6.1.7 Liên lạc với các nhóm chuyên gia
6.1.8 Xem xét độc lập về an toàn thông tin
6.2 Các bên tham gia bên ngoài
6.2.1 Xác định các rủi ro liên quan đến các bên tham gia bên ngoài
6.2.2 Giải quyết an toàn khi làm việc với khách hàng
6.2.3 Giải quyết an toàn trong các thỏa thuận với bên thứ ba
7 Quản lý tài sản
7.1 Trách nhiệm đối với tài sản
7.1.1 Kiểm kê tài sản
7.1.2 Quyền sở hữu tài sản
7.1.3 Sử dụng hợp lý tài sản
7.2 Phân loại thông tin
8 Đảm bảo an toàn thông tin từ nguồn nhân lực
8.1 Trước khi tuyển dụng
8.1.1 Các vai trò và trách nhiệm
8.1.2 Thẩm tra
8.1.3 Điều khoản và điều kiện tuyển dụng
8.2 Trong thời gian làm việc
8.2.1 Trách nhiệm của lãnh đạo
8.2.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin
8.3 Chấm dứt hoặc thay đổi công việc
9. Đảm bảo an toàn vật lý và môi trường
9.1 Các khu vực an toàn
9.1.1 Vành đai an toàn vật lý
9.1.2 Kiểm soát cổng truy cập vật lý
9.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng
9.1.4 Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường
9.1.5 Làm việc trong khu vực an toàn
9.1.6 Các khu vực truy cập tự do, phân phối và tập kết hàng
9.2 Đảm bảo an toàn trang thiết bị
9.2.1 Bố trí và bảo vệ thiết bị
9.2.2 Các tiện ích hỗ trợ
9.2.3 An toàn cho việc đi dây cáp
9.2.4 Bảo dưỡng thiết bị
9.2.5 An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức
9.2.6 An toàn khi loại bỏ hoặc tái sử dụng thiết bị
9.2.7 Di rời tài sản
10. Quản lý truyền thông và vận hành
10.1 Các trách nhiệm và thủ tục vận hành
10.1.1 Các thủ tục vận hành được ghi thành văn bản
10.1.2 Quản lý thay đổi
10.1.3 Phân tách nhiệm vụ
10.1.4 Phân tách các chức năng phát triển, kiểm thử và vận hành
10.2 Quản lý chuyển giao dịch vụ của bên thứ ba
10.3 Lập kế hoạch và chấp nhận hệ thống
10.3.1 Quản lý năng lực hệ thống
10.3.2 Chấp nhận hệ thống
10.4 Bảo vệ chống lại mã độc hại và mã di động
10.4.1 Quản lý chống lại mã độc hại
10.4.2 Quản lý các mã di động
10.5 Sao lưu
10.6 Quản lý an toàn mạng
10.7 Xử lý phương tiện
10.7.1 Quản lý các phương tiện có thể di dời
10.7.2 Loại bỏ phương tiện
10.7.3 Các thủ tục xử lý thông tin
10.7.4 An toàn cho các tài liệu hệ thống
10.8 Trao đổi thông tin
10.9 Các dịch vụ thương mại điện tử
10.9.1 Thương mại điện tử
10.9.2 Các giao dịch trực tuyến
10.9.3 Thông tin công khai
10.9.4 Dịch vụ ngân hàng trực tuyến
10.10 Giám sát
10.10.1 Ghi nhật ký đánh giá
10.10.2 Giám sát sử dụng hệ thống
10.10.3 Bảo vệ các thông tin nhật ký
10.10.4 Nhật ký của người điều hành và người quản trị
10.10.5 Ghi nhật ký lỗi
10.10.6 Đồng bộ thời gian
11 Quản lý truy cập
12 Tiếp nhận, duy trì và phát triển hệ thống thông tin
12.1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin
12.1.1 Phân tích và đặc tả các yêu cầu về an toàn
12.2 Xử lý đúng trong các ứng dụng
12.3 Quản lý mã hóa
12.3.1 Chính sách sử dụng các biện pháp kiểm soát mã hóa
12.3.2 Quản lý khóa
12.4 An toàn cho các tệp tin hệ thống
12.4.1 Quản lý các phần mềm điều hành
12.4.2 Bảo vệ dữ liệu kiểm tra hệ thống
12.4.3 Quản lý truy cập đến mã nguồn chương trình
12.5 Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển
12.6 Quản lý các điểm yếu kỹ thuật
13 Quản lý các sự cố an toàn thông tin
14 Quản lý sự liên tục của hoạt động nghiệp vụ
14.1 Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp vụ
14.1.1 Tính đến an toàn thông tin trong quá trình quản lý tính liên tục của hoạt động nghiệp vụ
14.1.2 Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức
14.1.3 Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm cả vấn đề đảm bảo an toàn thông tin
14.1.4 Khung hoạch định trong hoạt động nghiệp vụ
14.1.5 Kiểm tra, duy trì và đánh giá lại các kế hoạch đảm bảo sự liên tục trong hoạt động nghiệp vụ
15 Sự tuân thủ
15.1 Sự tuân thủ các quy định pháp lý
15.2 Sự tuân thủ các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật
15.2.1 Sự tuân thủ các tiêu chuẩn và các chính sách an toàn
15.2.2 Kiểm tra sự tương thích kỹ thuật
15.2.3 Giám sát việc tuân thủ
Thư mục tài liệu tham khảo
1) Đã có TCVN 11238:2015 hoàn toàn tương đương với ISO/IEC 27000:2013.
TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27015:2017 (ISO/IEC TR 27015:2012) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH | |||
Số, ký hiệu văn bản | TCVNISO/IEC27015:2017 | Ngày hiệu lực | |
Loại văn bản | Tiêu chuẩn Việt Nam | Ngày đăng công báo | |
Lĩnh vực |
Điện lực Giao dịch điện tử |
Ngày ban hành | 01/01/2017 |
Cơ quan ban hành | Tình trạng | Còn hiệu lực |
Các văn bản liên kết
Văn bản được hướng dẫn | Văn bản hướng dẫn | ||
Văn bản được hợp nhất | Văn bản hợp nhất | ||
Văn bản bị sửa đổi, bổ sung | Văn bản sửa đổi, bổ sung | ||
Văn bản bị đính chính | Văn bản đính chính | ||
Văn bản bị thay thế | Văn bản thay thế | ||
Văn bản được dẫn chiếu | Văn bản căn cứ |