TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27015:2017 (ISO/IEC TR 27015:2012) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH

Hiệu lực: Còn hiệu lực

TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27015:2017

ISO/IEC TR 27015:2012

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH

Information technology – Security techniques – Information security management guidelines for financial services

Lời nói đầu

TCVN ISO/IEC 27015:2017 hoàn toàn tương đương ISO/IEC TR 27015:2012.

TCVN ISO/IEC 27015:2017 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Cht lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Sự phát triển không ngừng của công nghệ thông tin đã đem đến sự tin cậy ngày càng tăng của các tổ chức cung cấp dịch vụ tài chính vào các tài sản xử lý thông tin của họ. Vì vậy, lãnh đạo, khách hàng và các nhà quản lý có những kỳ vọng ngày càng cao về việc bảo vệ an toàn thông tin hiệu quả cho các tài sản này và thông tin được xử lý.

TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) đã đề cập đến việc quản lý và các biện pháp kiểm soát an toàn thông tin.

Các tổ chức cung cấp dch vụ tài chính có những nhu cầu an toàn thông tin riêng và những ràng buộc trong việc tổ chức hoặc thực hiện các giao dịch tài chính với các đối tác kinh doanh, điều này đòi hỏi mức độ tin cậy cao giữa các bên liên quan tham gia vào giao dịch.

Tiêu chuẩn này cung cấp các hướng dẫn bổ sung cho các tổ chức cung cấp dịch vụ tài chính. Cụ th là, tiêu chuẩn này cung cấp hướng dẫn bổ sung bên cạnh các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong TCVN ISO/IEC 27002:2011

Thuật ngữ “dịch vụ tài chính” cần được hiểu là các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn có thể được cung cấp bởi các tổ chức tài chính.

Bên cạnh việc triển khai TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011, khi sử dụng tiêu chuẩn này các tổ chức cung cấp dịch vụ tài chính có th đạt được mức độ tin cậy cao hơn đối với khách hàng và các đối tác kinh doanh, đặc biệt là nếu có th chứng minh được rằng họ đã sử dụng hướng dẫn chuyên ngành trong việc quản lý an toàn thông tin.

Tiêu chuẩn này không dành cho mục đích chứng nhận.

 

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH

Information technology – Security techniques – Information security management guidelines for financial Services

1  Phạm vi áp dụng

Tiêchuẩn này cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) cho việc khởi tạo, triển khai, duy trì, và cải tiến vấn đề an toàn thông tin trong các tổ chức cung cấp dịch vụ tài chính.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bn được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi (nếu có).

ISO/IEC 27000:2009, Information technology – Security Techniques – Information security management systems – Overview and vocabulary Công nghệ thông tin – Kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Tng quan và từ vựng) 1).

3  Thuật ngữ, định nghĩa và thuật ngữ viết tắt

3.1  Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa nêu trong tiêu chuẩn ISO/IEC 27000:2009 cùng với thuật ngữ và đnh nghĩa sau đây.

3.1.1

Dịch vụ tài chính (financial services)

Các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vn.

3.2  Ký hiệu và thuật ngữ viết tắt

ATM Automatic Teller Machines Máy rút tiền tự động
COBIT Control Objectives for Information Technology Các mục tiêu kim soát công nghệ thông tin
OTP One-Time Password Mật khẩu sử dụng một lần
PCI-DSS Payment Card Industry – Data Security Standard Chuẩn bảo mật dữ liệu cho th thanh toán
POS Point Of Sale Máy chấp nhận thanh toán thẻ
SST Self Service Terminal Thiết bị đầu cuối tự phục vụ

4. Cấu trúc tiêu chuẩn

Tiêu chuẩn này cung cp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 từ điều 5 đến điều 15 dưới đây.

5. Chính sách an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6. Tổ chức đảm bảo an toàn thông tin

6.1  Tổ chức nội bộ

6.1.1  Cam kết của lãnh đạp về đảm bảo an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.2  Phối hợp bảo đảm an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.3  Phân định trách nhiệm đm bo an toàn thông tin

Áp dụng biện pháp kim soát 5.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau.

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cần xem xét vấn đề trong định nghĩa các yêu cầu về vai trò và trách nhiệm bảo đảm an toàn thông tin, và các khuyến ngh được tuyên bố bởi luật pháp và quy định áp dụng cho tổ chức trong các khuôn khổ ngành nghề.

Tổ chức cung cp dịch vụ tài chính cũng cần chú ý ti việc đảm bảo sự triển khai nội bộ các yêu cầu và khuyến nghị liên quan đến vấn đề định nghĩa vai trò và trách nhiệm đảm bảo an toàn thông tin đã được tuyên bố bởi các đối tác quốc tế.

Dưới đây là một số ví dụ về quy định thường được áp dụng bởi các tổ chức cung cấp dịch vụ tài chính. Những quy định này cung cấp thông tin về việc phân bổ các vai trò và trách nhiệm đảm bảo an toàn thông tin:

a) PCI-DSS [1]:

1. PCI 12.5: Được giao trách nhiệm quản lý an toàn thông tin.

b) COBIT [2]:

2. 4.0 Định rõ tổ chức công nghệ thông tin và các mối quan hệ.

3. 4.4 Các vai trò và trách nhiệm.

4. 4.6 Trách nhiệm đối với việc đảm bảo an toàn vật lý và logic.

Vai trò và trách nhiệm về đảm bảo an toàn thông tin đã được phân định cần được xem xét thường xuyên đ đảm bảo phù hợp với những thay đổi về yêu cầu và khuyến nghị được tuyên bố bởi luật pháp, quy định, khuôn khổ ngành nghề và các đối tác.

6.1.4  Quy trình cấp phép cho phương tiện xử lý thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.5  Các thỏa thuận bo mật

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.6  Liên lạc với những cơ quan/tổ chức có thẩm quyền

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

6.1.7  Liên lạc với các nhóm chuyên gia

Áp dụng biện pháp kiểm soát 5.1.7 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, thành viên của các nhóm hoặc các diễn đàn có quan tâm đặc biệt cần được cân nhắc như một kênh để:

a) bí mật chia sẻ và trao đổi thông tin về các hoạt động gian lận và tội phạm mạng xảy ra trong thời gian gần.

6.1.8  Xem xét độc lập về an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

6.2  Các bên tham gia bên ngoài

6.2.1  Xác định các rủi ro liên quan đến các bên tham gia bên ngoài

Áp dụng biện pháp kiểm soát 5.2.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cung cấp dịch vụ tài chính cũng cần xem xét vấn đề sau khi xác định rủi ro liên quan tới truy cập của tổ chức bên ngoài:

a) Các yêu cầu về pháp lý và quy định, cùng với những cam kết hợp đồng có thể được áp dụng đối với bên tham gia bên ngoài có trụ sở tại nước ngoài và những cam kết hợp đồng có thể dẫn ti sự tiết lộ thông tin về khách hàng và thông tin tài chính với bên thứ ba (ví dụ như tổ chức mẹ, tổ chức liên kết, cơ quan công quyền)Vn đề này có thể gây ra lỗ hng bảo mật nghiêm trọng với việc tiết lộ trái phép các thông tin này.

6.2.2  Giải quyết an toàn khi làm việc với khách hàng

Áp dụng biện pháp kiểm soát 5.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các nguyên tắc sau đây cần được xem xét để giải quyết an toàn khi giao dịch với khách hàng:

a) Tổ chức cần đưa ra chỉ dẫn an toàn thông tin để nâng cao nhận thức của khách hàng về các mối đe dọa (như Trojan, lừa đảo trực tuyến, các cuộc gọi giả mạo) rằng chúng có thể đem đến những rủi ro an toàn thông tin cho họ.

Chỉ dẫn này cần hướng tới nhu cầu của khách hàng và mức nhu cầu trao đổi kỹ thuật hợp lý cần được lựa chọn để đảm bảo nâng cao nhận thức có hiệu quả đối với khách hàng.

Tổ chức cần thường xuyên xem xét ch dẫn an toàn thông tin được cung cấp cho khách hàng nhằm đảm bo tính đầy đủ và phù hợp với hồ sơ ri ro của tổ chức, cũng như xử lý tốt những mối đe dọa an toàn thông tin mới.

Dưới đây là các ví dụ đin hình về chỉ dẫn an toàn thông tin:

1. Áp dụng biện pháp kiểm soát phù hợp (ví dụ: bảo vệ mật khu, chống virus) đảm bảo an toàn cho máy tính cá nhân và các thiết b khác được sử dụng để truy cập các dịch vụ ngân hàng trực tuyến.

2. Không tiết lộ thông tin khách hàng và thông tin tài chính (ví dụ số thẻ thanh toán) khi không cần thiết hoặc trong trường hợp sự toàn vẹn thông tin khách hàng nghi ngờ có vấn đề.

3. Cần đảm bảo an toàn khi hủy thẻ thanh toán đã hết hạn hoặc thẻ không sử dụng:

i đây là một số ví dụ về khuyến nghị có thể được cung cấp cho khách hàng:

a. Cắt b chính xác và đúng cách thẻ thanh toán.

b. Sử dụng một máy cắt chuyên dụng cho việc phá hủy thẻ thanh toán.

c. Đảm bảo chắc chắn đã phá hủy Chip và giải từ của thẻ thanh toán.

d. Sử dụng những thùng rác đặt ở những nơi khác nhau đ bỏ đi những miếng cắt của thẻ thanh toán.

e. Tránh vứt những miếng thẻ đã bị cắt vào các thùng tái chế, vì có thể có nguy cơ khôi phục lại th tại các trung tâm tái chế.

4. Khi thực hiện các hoạt động ngân hàng, cần có các biện pháp bảo vệ đ đm bảo những người không có quyền thì không được nhìn thấy hoặc tiếp xúc với thông tin xác thực người dùng, hoặc thông tin bảo mật khác về hệ thống thông tin.

5. Áp dụng cơ chế xác thực an toàn, như sử dụng mật khu mạnh, mã PIN hoặc xác thực hai yếu tố khi hệ thống được trang bị sẵn.

6. Tránh sử dụng mật khu giống nhau để truy cập vào các dịch vụ ngân hàng được cung cấp bởi các tổ chức ngân hàng khác nhau.

7. Tránh sử dụng mã PIN giống nhau cho tất cả các thẻ thanh toán.

8. Nhắc nhở khách hàng rằng, tổ chức sẽ không bao giờ thực hiện việc thuyết phục để khách hàng cung cấp thông tin xác thực (ví dụ mật khẩu, mã PIN).

9. Thông báo cho khách hàng về việc phải thường xuyên theo dõi các giao dịch và số dư tài khoản.

10. Cần thông báo kịp thời cho khách hàng về các bước cần thiết phải thực hiện khi phát hiện tài khoản đã bị hoặc có thể sẽ bị xâm hại..

Để giảm thiểu nguy cơ tr thành mục tiêu tấn công của bọn tội phạm gian lận, về cơ bản tổ chức nên thường xuyên so sánh các chỉ dẫn cho khách hàng với các tổ chức cùng loại khác và với cộng đồng các nhà cung cấp dịch vụ tài chính.

b) Tổ chức cần thông báo cho khách hàng:

1. Đầu mối chuyên tiếp nhận các khiếu nại, thắc mắc về an toàn thông tin, hoặc những vấn đề khác liên quan tới dịch vụ tài chính của tổ chức.

2. Các hành động cần thực hiện khi thông tin xác thực người dùng của họ bị xâm hại (ví dụ mật khu, mã PIN), thậm chí ngay cả khi khách hàng chính là người gây ra lỗi.

3. Cách thức báo cáo sự kiện bất thường trong khi truy cập vào dịch vụ tài chính của tổ chức.

c) Khi thiết lập hệ thống giao dịch trực tuyến (ví dụ ngân hàng trực tuyến) đến khách hàng, tổ chức cần cân nhắc những vấn đề sau:

1. Các điều khoản và điều kiện về sử dụng hệ thống giao dịch trực tuyếnCần đặc biệt lưu ý đến việc xác định sự tha nhận pháp lý của các giao dịch được thực hiện.

2. Công khai, minh bạch về vai trò và trách nhiệm cũng như nghĩa vụ pháp lý của tổ chức và khách hàng.

3. Công khai, minh bạch về giám sát tính riêng tư và giám sát sử dụng, bao gồm cả giám sát gian lận trong hệ thống giao dịch trc tuyến thông qua các biện pháp bảo vệ lợi ích của cả khách hàng và tổ chức.

4. Giao quyền truy cập dựa trên nguyên tắc sau đây:

a. Hiểu khách hàng: nguyên tắc này được những nhà quản lý sử dụng để bày tỏ quan điểm của họ với các cơ quan tài chính. Những quan điểm này xuất phát từ sự nhìn nhận, hiểu biết về các hoạt động của khách hàng.

b. Cần biết: nguyên tắc này giới hạn quyền truy cập thông tin và các tài nguyên ở mức cần thiết và vừa đủ để thực hiện hoạt động nào đó liên quan đến việc xử lý thông tin.

c. Kiểm soát kép: đây là nguyên tắc của quá trình duy trì tính toàn vẹn và chống sai lệch các chức năng về yêu cầu ở hệ thống sao lưu (thuật toán, thời gian, tài nguyên, v.v…) các hành động cho đến khi kết thúc giao dịch nào đó.

5. Thiết lập:

a. Các phương thức xác thực mạnh đối người dùng (ví dụ: thiết bị OTP, chữ ký số người dùng).

b. Các hệ thống xác minh nhằm đảm bảo tính hợp lệ của các ủy nhiệm người dùng và các thiết bị cần xác minh.

c. Xác minh mc độ tha nhận của cơ quan chứng thực.

6. Mỗi một khách hàng chỉ được gán một định danh duy nhất.

7. Cần có cơ chế thông báo cho khách hàng một cách tự động (thường xuyên, liên tục hoặc theo yêu cầu) về toàn bộ các hoạt động của họ.

Các thông tin khác

Mặc dù khách hàng thuộc nhiều ngành nghề hoặc các nhà cung cp dịch vụ có thể được coi là các bên liên quan đến cùng một nghiệp vụ nhưng xét trên phương diện cung cấp dịch vụ tài chính, nhìn chung, tổ chức phải có nhiệm vụ đưa ra chỉ dẫn cho khách hàng về các biện pháp bảo vệ phù hợp. Nếu xảy ra lỗ hng hoặc mất mát thì tổ chức sẽ bị ảnh hưởng đến danh tiếng, uy tín và cả vấn đề tài chính.

6.2.3  Giải quyết an toàn trong các thỏa thuận với bên thứ ba

Áp dụng biện pháp kim soát 5.2.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, các vấn đề sau cần được xem xét trong thỏa thuận với nhà cung ứng nếu phạm vi của thỏa thuận có liên quan đến các dịch vụ tài chính được tổ chức cung cp:

a) Đầu mối liên lạc được ủy quyền để xử lý các yêu cầu của tổ chức.

b) Điều khoản về quyền sở hữu hồ sơ được thiết lập bởi nhà cung ứng trong quá trình thực hiện các thỏa thuận với nhà cung ứng.

c) Thông báo kịp thời về những thay đổi an toàn thông tin đối với các tài sản của nhà cung ứng hỗ trợ các dịch vụ tài chính của tổ chức.

d) Đảm bảo rằng các thông tin của tổ chức luôn sẵn sàng cho nhà cung ứng sẽ được xử lý hoàn toàn theo các điều khoản và điều kiện đã được cụ thể hóa trong thỏa thuận.

e) Đảm bảo rằng những thay đổi của các nhà thầu phụ hoặc những nơi lưu trữ thông tin đã được xử lý của tổ chức (ví dụ việc gia công ở nước ngoài) sẽ được thông báo cho tổ chức và có thể cn có sự chấp thuận trước đó của tổ chức, đặc biệt là khi có liên quan tới việc xử lý thông tin của tổ chức.

f) Đảm bảo rằng các sự cố phát sinh trong quá trình nhà cung ứng thực hiện thỏa thuận sẽ được báo cáo tới tổ chức một cách kịp thời và nhà cung ứng sẽ thực hiện các cuộc điều tra phù hợp.

g) Sự tham gia của các nhà cung ứng trong trường hợp xảy ra sự cố hoặc một sự việc bất thường có th vượt quá gii hạn được tổ chức đưa ra. Cần đảm bảo rằng phn ứng của nhà cung ứng trong trường hợp này sẽ chỉ trong giới hạn nht định, ví dụ để giám sát hoặc hủy bỏ giao dịch tài chính đã được cung cấp giữa một vài tổ chức trong trưng hợp có sự nghi ngờ về tính hợp pháp của giao dịch đó.

h) Quyền để:

a. đánh giá các nhà thầu phụ ở mức độ tương đương như đối với nhà cung ứng:

b. Các nhà quản lý của tổ chức truy cập thông tin và các hoạt động của nhà cung ứng, các nhà thầu phụ của họ.

7  Quản lý tài sản

7.1  Trách nhiệm đối với tài sản

7.1.1  Kiểm kê tài sản

Áp dụng biện pháp kiểm soát 6.1.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cần lưu ý đảm bảo rằng:

a) Các tài sản cụ thể được sử dụng để cung cấp dịch vụ tài chính, chẳng hạn như các thiết bị thanh toán (ATM, SST, POS), thẻ thanh toán (ghi nợ, tín dụng, thuê bao trả trước) và các hệ thống liên ngân hàng được lưu trữ tại chỗ hoặc cách xa đều được kiểm kê tài sản.

b) Việc kiểm kê các thẻ thanh toán, bao gm cả thông tin trạng thái của th (đã hết hiệu lực, đã bị thu hồi) được tiến hành bởi nhà cung ứng (ví dụ như một nhà cung cấp dịch vụ thanh toán chấp nhận các khoản thanh toán được thực hiện vi các thẻ thanh toán được phát hành bởi tổ chức và đại diện của tổ chức), phải chính xác nhằm tránh việc chi trả cho những thẻ không hợp lệ.

7.1.2  Quyền sở hữu tài sn

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

7.1.3  Sử dụng hợp lý i sản

Áp dụng biện pháp kiểm soát 6.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cũng cần đảm bo có các quy tắc về xử lý và hủy b đồng phục hay bất kỳ vật gì được gắn nhãn, bao gồm cả các mẫu in sẵn để tránh bị sử dụng trái phép cho hoạt động gian lận hay tội phạm.

7.2  Phân loại thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

8  Đảm bảo an toàn thông tin từ nguồn nhân lực

8.1  Trước khi tuyển dụng

8.1.1  Các vai trò và trách nhiệm

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

8.1.2  Thẩm tra

Áp dụng biện pháp kiểm soát 7.1.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cần lưu ý rằng bọn tội phạm có tổ chức có thể cài người vào các quy trình nghiệp vụ quan trọng.

Đặc biệt, cần rất cẩn thận đối với các chức năng nht định, ví dụ các chức năng bên dưới, thông qua việc đảm bảo đã thực hiện các cuộc kiểm tra chi tiết hơn về hình sự và lý lịch nếu pháp luật cho phép:

a) Tt c nhân viên có quyền truy cập tới thông tin khách hàng và thông tin tài chính (ví dụ: thẻ thanh toán, mật khẩu, mã PIN).

b) Người quản trị hệ thống chịu trách nhiệm xử lý thông tin khách hàng và thông tin tài chính.

c) Người quản tr về bảo mật chịu trách nhiệm quản lý khóa mật mã phục vụ cho mục đích sau:

1. Truyền tải, lưu trữ thông tin tài chính và thông tin khách hàng.

2. Xác thực các giao dịch tài chính.

3. Mật khẩu khách hàng, mã PIN, hoặc qun lý xác thực hai yếu tố.

8.1.3  Điều khoản và điều kiện tuyển dụng

Áp dụng biện pháp kiểm soát 7.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

ng dn triển khai

Các điều khoản và điều kiện tuyển dụng cần phải kết hợp với chính sách nghỉ lễ áp dụng đối với tổ chức và nhân viên của các nhà cung ứng tham gia vào các hoạt động tài chính nhạy cảm.

Xem như một biện pháp chống gian lận, chính sách nghỉ lễ cần đưa ra thời gian ngh làm tối thiểu (ví dụ, 10 ngày làm việc liên tục trong một năm) để đảm bảo rằng các hoạt động tài chính nhạy cảm không phải lúc nào cũng được thực hiện bởi chỉ một người.

8.2  Trong thời gian làm việc

8.2.1  Trách nhiệm của lãnh đạo

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

8.2.2  Nhận thức, giáo dục và đào tạo về an toàn thông tin

Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cấp dịch vụ tài chính cần xem xét các điều luật và quy định áp dụng cho tổ chức, cùng với các công bố từ nhà quản lý, yêu cầu các vấn đề cụ th (chẳng hạn như việc sử dụng điện thoại để ph biến các thông tin tài chính và thông tin khách hàng, các chương trình chống rửa tiền) được giải quyết trong các hoạt động đào tạo và nâng cao nhận thức về an toàn cho tổ chức.

Việc nâng cao nhận thức về an toàn thông tin cũng cần giải quyết những chủ đề cụ thể như kỹ thuật tấn công khai thác mang tính xã hội, lừa đảo nhắm vào yếu tố con người, các hướng tấn công trc tuyến, hệ thống quẹt thẻ và phần mềm độc hại.

8.3  Chấm dứt hoặc thay đổi công việc

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9  Đảm bảo an toàn vật lý và môi trường

9.1  Các khu vực an toàn

9.1.1  Vành đai an toàn vật lý

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.2  Kim soát cng truy cập vật lý

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.3  Bảo vệ các văn phòng, phòng làm việc và vật dụng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.4  Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.1.5  Làm việc trong khu vực an toàn

Áp dụng biện pháp kiểm soát 7.2.2 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cần thận trọng để đm bảo rằng việc sử dụng thiết bị di động cần đặc biệt hạn chế trong khu vực xử lý nghiệp vụ trọng yếu, đó là nơi xử lý và sẵn có các thông tin khách hàng và số thẻ thanh toán. Điều này nhằm ngăn chặn việc ghi lại hoặc truyền trái phép các thông tin.

9.1.6  Các khu vực truy cập tự do, phân phi và tập kết hàng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

9.2  Đảm bảo an toàn trang thiết bị

9.2.1  Bố trí và bảo vệ thiết bị

Áp dụng biện pháp kiểm soát 8.2.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cung cp dịch vụ tài chính cẩn thận trọng trong việc bảo vệ các thiết bị thanh toán (ví dụ thiết bị ATM, SST, POS) được đặt bên ngoài trụ sở của tổ chức, thông tin khách hàng, thông tin tài chính hoặc những tài sản vật chất khác trước nguy cơ b thay đi trái phép, bị m ra và đánh cắp. Các biện pháp đảm bảo an toàn được triển khai cần phải bao gồm, ví dụ, xây dựng hệ thống bảo vệ kiên cố, cơ chế tự động tiêu hủy, bảo vệ hệ thống cáp.

9.2.2  Các tiện ích hỗ trợ

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

9.2.3  An toàn cho dây cáp

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

9.2.4  Bảo dưỡng thiết bị

Áp dụng biện pháp kiểm soát 8.2.4 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn tiêu chuẩn TCVN ISO/IEC 27002:2011, tổ chức cũng cn xem xét việc thiết lập kiểm soát kép đ bảo trì các thiết bị thanh toán (như ATM, SST, POS).

9.2.5  An toàn cho thiết bị hoạt động bên ngoài trụ s của tổ chức

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

9.2.6  An toàn khi loại bỏ hoặc tái sử dụng thiết bị

Áp dụng biện pháp kim soát 8.2.6 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Tổ chức cần lưu ý các thông tin khách hàng, thông tài chính được lưu trữ trong các thành phần bộ nh (ATM, SST, đĩa cứng, bộ nhớ trong POS) của các thiết bị thanh toán phải bị hủy bỏ, xoá, ghi đè trước khi bị loại bỏ.

9.2.7  Di rời tài sản

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

1. Quản lý truyền thông và vận hành

10.1  Các trách nhiệm và thủ tục vận hành

10.1.1  Các thủ tục vận hành được ghi thành văn bản

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.1.2  Quản lý thay đổi

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.1.3  Phân tách nhiệm vụ

Áp dụng biện pháp kiểm soát 9.1.3 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Việc phân tách nhiệm vụ cần được áp dụng trong phạm vi các hệ thống giao dịch tài chính đ đảm bảo không chỉ việc khởi tạo một sự kiện (chẳng hạn như một giao dịch tài chính) được tách khỏi việc xử lý hoặc việc ủy quyền của giao dịch, mà sự khởi tạo này còn được tách khỏi việc xác minh của nó.

Tổ chức tối thiểu cần đảm bảo có kiểm soát kép trong quản lý giao dịch tài chính, tức là việc xử lý thông tin tài chính hoặc giao dịch tài chính và việc xác minh kết quả được thực hiện bởi những nhân viên khác nhau hoặc các quy trình tự động.

10.1.4  Phân tách các chức năng phát triển, kiểm thử và vận hành

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

10.2  Quản lý chuyển giao dịch vụ của bên th ba

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính

10.3  Lập kế hoạch và chấp nhận hệ thống

10.3.1  Quản lý năng lực hệ thống

Áp dụng biện pháp kiểm soát 10.3.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Cần chú ý đảm bảo các yêu cầu về năng lực phải được xác định cho các tài sản đã được triển khai hoặc tài sản dự kiến được triển khai dưới đây:

a) Dịch vụ ngân hàng trực tuyến, trên cơ sở xem xét các yêu cầu nghiệp vụ sau:

1. Số lượng giao dịch hiện tại và dự kiến.

2. Các khoảng thời gian giao dịch đột biến hiện tại và dự kiến, và lượng giao dịch cao nhất.

3. Số lượng khách hàng hiện tại.

4. Tăng trưởng dự kiến về số lượng khách hàng.

5. Đảm bảo tính sẵn sàng của các dịch vụ ngân hàng trực tuyến ngay cả trong thời điểm có nhiều khách hàng truy cập.

b) Các thiết bị thanh toán (như ATM, SST, POS) xử lý thông tin tài chính và thông tin khách hàng.

10.3.2  Chấp nhận hệ thống

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.4  Bảo vệ chống lại mã độc hại và mã di động

10.4.1  Quản lý chống lại mã độc hại

Áp dụng biện pháp kiểm soát 9.4.1 từ TCVN ISO/IEC 27002:2011 và hướng dẫn bổ sung như sau:

Hướng dẫn triển khai

Các kiểm tra bằng phần mềm phát hiện mã độc và phần mềm sửa chữa cần thực hiện trên cả các thiết bị thanh toán (như ATM, SST, POS) có xử thông tin tài chính và thông tin khách hàng. Những thiết bị này thường được coi là ít bị ảnh hưởng bởi mã độc.

10.4.2  Qun lý các mã di động

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.5  Sao lưu

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.6  Quản lý an toàn mạng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.7  Xử lý phương tiện

10.7.1  Quản lý các phương tiện có th di dời

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.7.2  Loại bỏ phương tiện

Áp dụng biện pháp kiểm soát 9.7.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Tổ chức cần phải chú ý đảm bảo các thủ tục loại bỏ một cách an toàn được thực hiện đối với toàn bộ các phương tiện xử lý thông tin khách hàng và thông tin tài chính (thông tin th thanh toán, mật khẩu khách hàng, mã PIN) cùng với các tài sản cụ thể được sử dụng để sn xuất các thẻ thanh toán, chẳng hạn như dây băng.

10.7.3  Các thủ tục xử lý thông tin

Áp dụng biện pháp kiểm soát 9.7.3 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Tổ chức cần đảm bảo các thủ tục xử lý thông tin giải quyết việc xử lý, loại bỏ chứng từ, sổ ký quỹ, thẻ thanh toán (thẻ ghi nợ, tín dụng, trả trước) và các giấy tờ khác.

10.7.4  An toàn cho các tài liệu hệ thng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.8  Trao đổi thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.9  Các dịch vụ thương mại điện t

10.9.1  Thương mại điện t

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.9.2  Các giao dịch trực tuyến

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.9.3  Thông tin công khai

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.9.4  Dịch vụ ngân hàng trực tuyến

Bin pháp kim soát

Dịch vụ ngân hàng trực tuyến cần phải được bảo vệ trưc những truy cập và sa đi trái phép nhằm ngăn chặn việc tiết lộ trái phép các thông tin khách hàng và thông tin tài chính, đồng thời ngăn chặn các giao dịch trái phép.

Hướng dẫn triển khai

Tổ chức cần cân nhắc các vấn đề an toàn sau đây để bảo vệ dịch vụ ngân hàng trực tuyến:

a) Thông báo cho khách hàng sử dụng dịch vụ ngân hàng trực tuyến bằng một kênh và phương tiện thông tin được thiết lập từ trước. Chẳng hạn như các sao kê tài khoản in sẵn trên giấy.

b) Những giới hạn tài chính phòng ngừa, ví dụ: giới hạn giao dịch liên ngân hàng, giới hạn tùy ý khác.

c) Các ủy nhiệm thư riêng của người dùng cho ch tài khoản kèm các đặc quyền liên quan thể hiện hiệu lực đã được xác định ban đầu của chữ ký.

d) Tiết lộ hạn chế về thông tin khách hàng và thông tin tài chính, chẳng hạn như định danh người dùng, tên và số tài khoản, ngoại trừ cho các mục đích nghiệp vụ hợp lệ và các hành động được khách hàng thực hiện.

e) Chấp thuận các hành động của khách hàng chỉ nếu họ đã được xem xét trong cùng một phiên giao dịch mà không xảy ra gián đoạn hoặc mất kết nối. Nếu có gián đoạn hoặc mất kết nối trong phiên giao dịch của người dùng thì các yêu cầu xác thực người dùng cần được áp dụng lại cho khách hàng có truy cập vào các dịch vụ ngân hàng trực tuyến.

Các thông tin khác:

Hệ thống thông tin lưu trữ giao diện web cho khách hàng trong việc sử dụng dịch vụ ngân hàng trực tuyến không cần phải lưu trữ, xử lý các thông tin khách hàng và thông tin tài chính trên đó để giảm bớt rủi ro trong trường hợp hệ thống bị thỏa hiệp.

10.10  Giám sát

10.10.1  Ghi nhật ký đánh giá

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.2  Giám sát sử dụng hệ thống

Áp dụng biện pháp kim soát 9.10.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Ngoài các nội dung được nêu trong TCVN ISO/IEC 27002:2011 về các hoạt động giám sát thiết bị cá nhân, cần xem xét các nội dung sau:

a) Các sự kiện bt thường liên quan đến thông tin khách hàng và thông tin tài chính, cùng với các giao dịch được thực hiện bởi khách hàng, như:

1. Các giao dịch bất thưng (ví dụ: chuyển tiền vào một tài khoản ngân hàng không rõ ràng ở nước ngoài).

2. Các hành động của người dùng ngoài thời gian sử dụng thông thường.

3. Các hành động của người dùng được thực hiện với tốc độ bất thường nhằm dò tìm các biện pháp ngăn chặn tự động.

4. Các hành động của người dùng bỏ qua các hoạt động thông thường trong quá trình giao dịch trực tuyến.

5. Phiên của người dùng bị trùng lặp.

10.10.3  Bảo vệ các thông tin nhật ký

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.4  Nhật ký của người điều hành và người quản trị

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.5  Ghi nhật ký lỗi

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

10.10.6  Đồng bộ thời gian

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

11  Quản lý truy cập

Không có hướng dn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12  Tiếp nhận, duy trì và phát triển hệ thống thông tin

12.1  Yêu cầu đảm bảo an toàn cho các hệ thống thông tin

12.1.1  Phân tích và đặc tả các yêu cầu về an toàn

Áp dụng biện pháp kiểm soát 12.1.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

ng dẫn triển khai

Khi thiết kế một hệ thống giao dịch tài chính mới hoặc khi thực hiện các thay đổi đối với hệ thống cũ, tổ chức cần xem xét các yêu cầu về an toàn sau:

a) Bảo vệ thông tin giao dịch tài chính tránh khỏi bị sửa chữa, giả mạo, thay địa chỉ hoặc phá hoại trái phép.

b) Khôi phục thông tin giao dịch tài chính trong trường hợp bị sửa chữa, giả mạo, thay địa chỉ hoặc phá hoại trái phép.

c) Tự động kiểm tra sự phù hợp khi khi tạo, xử lý, truyền và lưu trữ các giao dịch tài chính.

d) Khả năng lưu vết các gian lận giao dịch tài chính có thể để tìm bên khởi tạo.

e) Xác thực:

1. các máy tự động (các máy trạm và máy chủ) và các bên tham gia vào việc trao đi các giao dịch tài chính.

2. Các thông điệp thanh toán điện tử từ hai chiều.

f) Gửi thông điệp thanh toán điện tử cho các bên tham gia vào việc trao đổi các giao dịch tài chính.

g) Đối chiếu thông điệp thanh toán điện tử gửi đi tương ứng với thông điệp thanh toán điện t gửi đến và được xử lý trong quyết toán liên ngân hàng.

h) Xác thực người dùng cho việc truy cập vào các tham số nhạy cảm hoặc thực hiện những hành động nhạy cm, như kế toán kép, đối chiếu số liệu, thiết lập giới hạn về giá trị của hoạt động tài chính.

i) Phân tách nhiệm vụ đối với tất cả các luồng giao dịch và các chấp thuận giải ngân.

12.2  Xử lý đúng trong các ứng dụng

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.3  Quản lý mã hóa

12.3.1  Chính sách sử dụng các biện pháp kiểm soát mã hóa

Áp dụng biện pháp kiểm soát 11.3.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002:2011, khi xây dựng chính sách mã hóa cần cân nhắc những nội dung sau:

a) Tổ chức cần áp dụng một nguyên tắc chung để xem xét một cách hệ thống và áp dụng các biện pháp kim soát mã hóa khi thông tin khách hàng và thông tin tài chính được lưu trữ hoặc xử lý nhằm đảm bảo tính bí mật và tính toàn vẹn.

b) Truy cập những thông tin này ở dạng bản rõ ch được áp dụng với những mục đích nghiệp vụ hợp lệ và phù hợp với những yêu cầu của luật pháp và quy định áp dụng đối với tổ chức.

c) Phương pháp luận và các phương pháp để thường xuyên đánh giá chất lượng và độ mạnh của các thuật toán mã hóa được sử dụng trong các biện pháp kim soát mã hóa để phát hiện sớm những điểm yếu liên quan và ngăn chặn việc sử dụng bất hợp pháp hoặc sử dụng không chính xác các thuật toán mã hóa, thông qua việc thay đổi quản lý khóa mã hóa (ví dụ, bằng việc tăng tn suất thay đổi hoặc cập nhật khoá mã hóa).

Tổ chức cần lưu ý khi xác định và phân công vai trò và trách nhiệm về quản lý khóa mã hóa để đảm bảo rằng những người có trách nhiệm về an toàn liên quan đều không có đặc quyn trong việc sử dụng khóa mã hóa được khởi tạo.

Khóa mã hóa liên quan đến các hệ thống giao dịch tài chính có xử lý và lưu trữ thông tin khách hàng và thông tin tài chính nên được quản lý bởi nhiều người có trách nhiệm về an toàn, mỗi người nắm giữ một phần của hệ thng khóa.

12.3.2  Quản lý khóa

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.4  An toàn cho các tệp tin hệ thống

12.4.1  Quản lý các phần mềm điều hành

Áp dụng biện pháp kiểm soát 11.4.1 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Bên cạnh hướng dẫn trong tiêu chuẩn TCVN ISO/IEC 27002, khuyến nghị sau đây cần được xem xét để giảm rủi ro sai hỏng hệ điều hành:

a) Tính xác thực của những thay đổi do các nhà cung cấp ứng dụng và phần mềm hệ điều hành của thiết bị thanh toán (ví dụ: ATM, SST, POS) cần được kiểm tra (thông qua chữ ký s, thuật toán hàm băm) trước khi được kiểm thử rộng rãi.

12.4.2  Bảo vệ dữ liệu kiểm tra hệ thống

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.4.3  Quản lý truy cập đến mã nguồn chương trình

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.5  Đảm bảo an toàn trong các quy trình hỗ tr và phát triển

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

12.6  Quản lý các điểm yếu kỹ thuật

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

13  Quản lý các sự cố an toàn thông tin

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

14  Quản lý sự liên tục của hoạt động nghiệp vụ

14.1  Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp v

14.1.1  Tính đến an toàn thông tin trong quá trình quản lý tính liên tục của hoạt động nghiệp vụ

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

14.1.2  Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức

Áp dụng biện pháp kiểm soát 13.1.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Khi đánh giá rủi ro trong đảm bảo hoạt động liên tục, tổ chức cần thận trọng trong việc xem xét các phụ thuộc từ bên ngoài của các quy trình nghiệp vụ, ví dụ các nguồn cung cấp về:

a) Thông tin tài chính được đưa ra bởi các đối tác kinh doanh, nhà thầu hoặc nhà cung ứng.

b) Dịch vụ tài chính mua sắm (ví dụ: ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt).

14.1.3  Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm cả vấn đề đảm bảo an toàn thông tin.

Áp dụng biện pháp kiểm soát 13.1.3 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Các kế hoạch liên tục nghiệp vụ được tổ chức phát triển cần đưa ra những phụ thuộc bên ngoài sau vào quy trình phục hồi và khôi phục hoạt động nghiệp vụ:

a) Thông tin tài chính được đưa ra bởi các đối tác kinh doanh, nhà thầu hoặc nhà cung ứng.

b) Cần tính đến tình huống xấu nhất trong các dịch vụ tài chính mua sắm (ngân hàng trực tuyến, xử lý thẻ, quản lý tiền mặt) để đảm bảo tính liên tục của các dịch vụ này trong trường hợp có gián đoạn ảnh hưởng đến hoạt động của nhà cung ứng.

14.1.4  Khung hoạch định trong hoạt động nghiệp vụ

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

14.1.5  Kiểm tra, duy trì và đánh giá lại các kế hoạch đm bảo sự liên tục trong hoạt động nghiệp vụ

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch vụ tài chính.

15  Sự tuân thủ

15.1  Sự tuân thủ các quy đnh pháp lý

Không có hướng dẫn thêm cho các tổ chức cung cp dịch vụ tài chính.

15.2  Sự tuân th các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật

15.2.1  Sự tuân thủ các tiêu chuẩn và các chính sách an toàn

Không có hướng dẫn thêm cho các tổ chức cung cấp dịch v tài chính.

15.2.2  Kiểm tra sự tương thích kỹ thuật

Áp dụng biện pháp kim soát 14.2.2 từ TCVN ISO/IEC 27002:2011 cùng hướng dẫn bổ sung sau:

Hướng dẫn triển khai

Tổ chức cần thận trọng khi tiến hành các cuộc kiểm tra tương thích kỹ thuật một cách thường xuyên trên các hệ thống giao dịch tài chính trực tuyến (ví dụ: ngân hàng trực tuyến), đặc biệt là nếu các hệ thống này sẵn sàng đối với khách hàng hoặc chứa các thông tin tài chính và thông tin khách hàng, nhằm đảm bảo chúng chúng được triển khai đúng hoặc phù hợp với các điều luật và quy định hiện hành.

15.2.3  Giám sát việc tuân thủ

Bin pháp kim soát:

Các tổ chức cần đảm bảo các yêu cầu pháp lý, quy định và hợp đồng liên quan được kim tra định kỳ trong phạm vi quản lý an toàn thông tin nhằm đảm bảo giám sát sự tuân thủ.

Hướng dẫn triển khai

Quy trình giám sát sự tuân thủ cần được xác định đ thường xuyên đối chiếu giữa các yếu tố sau:

a) Các yêu cầu pháp lý, quy định và hợp đồng áp dụng cho an toàn thông tin,

b) Phạm vi qun lý an toàn thông tin của tổ chức, bao gồm các mục tiêu kiểm soát, biện pháp kiểm soát, chính sách, tiêu chuẩn an toàn và các yêu cầu an toàn khác thực hiện bởi tổ chức.

Việc đối chiếu cần được thực hiện thường xuyên đ giải quyết những thay đổi về pháp lý hiện hành và phạm vi quản lý an toàn thông tin, ví dụ trong việc đánh giá, giảm thiểu rủi ro và khi có những thay đổi quan trọng xảy ra.

Tổ chức cần phải xác định và xử lý những trường hợp không tuân th các quy định pháp lý.

 

Thư mục tài liệu tham khảo

[1] Payment Card Industry (PCI) Data Security Standard, Requirements and Security Assessment Procedures (version 1.2)

[2] COBIT – Control Objectives for Information Technology – Version 4.1 – IT Governance Institute and Information Systems Audit and Control Association (ISACA)

[3] TCVN 10541:2014 (ISO/IEC 27003:2010), Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an toàn thông tin

[4] TCVN 10542:2014 (ISO/IEC 27004:2009), Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin – Đo lường

[5] TCVN 10295:2014 (ISO/IEC 27005:2011), Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin

[6] ISO/TR 13569:2005, Financial services – Information security guidelines

[7] ISO/IEC 24762:2008, Information technology  Security techniques  Guidelines for information and communications technology disaster recovery services

[8] ISO/IEC 27031:2011, Information technology  Security techniques  Guidelines for information and communication technology readiness for business continuity

[9] TCVN 9801-1:2013 (ISO/IEC 27033-1:2009), Công nghệ thông tin – Kỹ thuật an ninh – An ninh mạng – Phần 1: Tổng quan và khái niệm

[10] ISO/IEC 27033-2:2012, Information technology  Security techniques  Network security – Part 2: Guidelines for the design and implementation of network security

[11] TCVN 9801-3:2014 (ISO/IEC 27033-3:2010): Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng – Phần 3: Các kịch bản kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát

[12] TCVN 11239:2015 (ISO/IEC 27035:2011), Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý sự cố an toàn thông tin

[13] TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin – Hệ thống quản lý an toàn thông tin – Các yêu cầu

[14] TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an toàn thông tin

 

MỤC LỤC

 Phạm vi áp dụng

2  Tài liệu viện dẫn

 Thuật ngữ, định nghĩa và thuật ngữ viết tắt

3.1  Thuật ngữ và định nghĩa

3.2  Ký hiệu và thuật ngữ viết tắt

4  Cu trúc tiêu chuẩn

5  Chính sách an toàn thông tin

 Tổ chức đảm bảo an toàn thông tin

6.1  Tổ chức nội bộ

6.1.1  Cam kết của lãnh đạo về đảm bảo an toàn thông tin

6.1.2  Phối hợp bảo đm an toàn thông tin

6.1.3  Phân định trách nhiệm đảm bảo an toàn thông tin

6.1.4  Quy trình cấp phép cho phương tiện xử lý thông tin

6.1.5  Các thỏa thuận bảo mật

6.1.6  Liên lạc với những cơ quan/tổ chức có thẩm quyền

6.1.7  Liên lạc với các nhóm chuyên gia

6.1.8  Xem xét độc lập về an toàn thông tin

6.2  Các bên tham gia bên ngoài

6.2.1  Xác định các ri ro liên quan đến các bên tham gia bên ngoài

6.2.2  Giải quyết an toàn khi làm việc với khách hàng

6.2.3  Giải quyết an toàn trong các thỏa thuận với bên thứ ba

 Quản lý tài sản

7.1  Trách nhiệm đối với tài sản

7.1.1  Kiểm kê tài sản

7.1.2  Quyền sở hữu tài sản

7.1.3  Sử dụng hợp lý tài sn

7.2  Phân loại thông tin

 Đảm bảo an toàn thông tin từ nguồn nhân lực

8.1  Trước khi tuyển dụng

8.1.1  Các vai trò và trách nhiệm

8.1.2  Thẩm tra

8.1.3  Điều khoản và điều kiện tuyển dụng

8.2  Trong thời gian làm việc

8.2.1  Trách nhiệm của lãnh đạo

8.2.2  Nhận thức, giáo dục và đào tạo về an toàn thông tin

8.3  Chấm dứt hoặc thay đổi công việc

9. Đảm bảo an toàn vật lý và môi trường

9.1  Các khu vực an toàn

9.1.1  Vành đai an toàn vật lý

9.1.2  Kiểm soát cổng truy cập vật lý

9.1.3  Bo vệ các văn phòng, phòng làm việc và vật dụng

9.1.4  Bảo vệ chống lại các mối đe dọa bên ngoài và môi trường

9.1.5  Làm việc trong khu vực an toàn

9.1.6  Các khu vực truy cập tự do, phân phối và tập kết hàng

9.2  Đảm bảo an toàn trang thiết b

9.2.1  Bố trí và bảo vệ thiết b

9.2.2  Các tiện ích hỗ trợ

9.2.3  An toàn cho việc đi dây cáp

9.2.4  Bảo dưỡng thiết bị

9.2.5  An toàn cho thiết bị hoạt động bên ngoài trụ sở của tổ chức

9.2.6  An toàn khi loại bỏ hoặc tái sử dụng thiết bị

9.2.7  Di rời tài sản

10. Quản lý truyền thông và vận hành

10.1  Các trách nhiệm và thủ tục vận hành

10.1.1  Các thủ tục vận hành được ghi thành văn bn

10.1.2  Quản lý thay đi

10.1.3  Phân tách nhiệm vụ

10.1.4  Phân tách các chức năng phát triển, kim thử và vận hành

10.2  Qun lý chuyển giao dịch vụ của bên thứ ba

10.3  Lập kế hoạch và chấp nhận hệ thống

10.3.1  Quản lý năng lực hệ thống

10.3.2  Chấp nhận hệ thống

10.4  Bảo vệ chống lại mã độc hại và mã di động

10.4.1  Quản lý chống lại mã độc hại

10.4.2  Quản lý các mã di động

10.5  Sao lưu

10.6  Quản lý an toàn mạng

10.7  Xử lý phương tiện

10.7.1  Quản lý các phương tiện có thể di dời

10.7.2  Loại bỏ phương tiện

10.7.3  Các thủ tục xử lý thông tin

10.7.4  An toàn cho các tài liệu hệ thống

10.8  Trao đi thông tin

10.9  Các dịch vụ thương mại điện t

10.9.1  Thương mại điện tử

10.9.2  Các giao dịch trực tuyến

10.9.3  Thông tin công khai

10.9.4  Dịch vụ ngân hàng trực tuyến

10.10  Giám sát

10.10.1  Ghi nhật ký đánh giá

10.10.2  Giám sát sử dụng hệ thống

10.10.3  Bảo vệ các thông tin nhật ký

10.10.4  Nhật ký của người điều hành và người quản trị

10.10.5  Ghi nhật ký lỗi

10.10.6  Đồng bộ thời gian

11  Quản lý truy cập

12  Tiếp nhận, duy trì và phát triển hệ thống thông tin

12.1  Yêu cầu đảm bảo an toàn cho các hệ thống thông tin

12.1.1  Phân tích và đặc tả các yêu cầu về an toàn

12.2  Xử lý đúng trong các ứng dụng

12.3  Quản lý mã hóa

12.3.1  Chính sách sử dụng các biện pháp kim soát mã hóa

12.3.2  Quản lý khóa

12.4  An toàn cho các tệp tin hệ thống

12.4.1  Quản lý các phần mềm điều hành

12.4.2  Bảo vệ dữ liệu kiểm tra hệ thống

12.4.3  Quản lý truy cập đến mã nguồn chương trình

12.5  Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển

12.6  Quản lý các điểm yếu kỹ thuật

13  Quản lý các sự cố an toàn thông tin

14  Quản lý sự liên tục của hoạt động nghiệp vụ

14.1  Các khía cạnh an toàn thông tin trong quản lý sự liên tục của hoạt động nghiệp v

14.1.1  Tính đến an toàn thông tin trong quá trình quản lý tính liên tục của hoạt động nghiệp vụ

14.1.2  Đánh giá rủi ro và sự liên tục trong hoạt động của tổ chức

14.1.3  Xây dựng và triển khai các kế hoạch về tính liên tục, trong đó bao gồm cả vấn đề đảm bo an toàn thông tin

14.1.4  Khung hoạch định trong hoạt động nghiệp vụ

14.1.5  Kiểm tra, duy trì và đánh giá lại các kế hoạch đảm bo sự liên tục trong hoạt động nghiệp vụ

15  Sự tuân thủ

15.1  Sự tuân th các quy định pháp lý

15.2  Sự tuân th các chính sách và tiêu chun an toàn, và tương thích kỹ thuật

15.2.1  Sự tuân thủ các tiêu chun và các chính sách an toàn

15.2.2  Kiểm tra sự tương thích kỹ thuật

15.2.3  Giám sát việc tuân thủ

Thư mục tài liệu tham khảo



1) Đã có TCVN 11238:2015 hoàn toàn tương đương với ISO/IEC 27000:2013.

TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC 27015:2017 (ISO/IEC TR 27015:2012) VỀ CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH
Số, ký hiệu văn bản TCVNISO/IEC27015:2017 Ngày hiệu lực
Loại văn bản Tiêu chuẩn Việt Nam Ngày đăng công báo
Lĩnh vực Điện lực
Giao dịch điện tử
Ngày ban hành 01/01/2017
Cơ quan ban hành Tình trạng Còn hiệu lực

Các văn bản liên kết

Văn bản được hướng dẫn Văn bản hướng dẫn
Văn bản được hợp nhất Văn bản hợp nhất
Văn bản bị sửa đổi, bổ sung Văn bản sửa đổi, bổ sung
Văn bản bị đính chính Văn bản đính chính
Văn bản bị thay thế Văn bản thay thế
Văn bản được dẫn chiếu Văn bản căn cứ

Tải văn bản