“Tài liệu này cung cấp một bộ tài liệu tham khảo về các biện pháp kiểm soát bảo mật thông tin chung bao gồm cả hướng dẫn triển khai. Tài liệu này được thiết kế để các tổ chức sử dụng: (a) trong bối cảnh hệ thống quản lý bảo mật thông tin (ISMS) dựa trên ISO/IEC27001; (b) để thực hiện các biện pháp kiểm soát an ninh thông tin dựa trên các thông lệ tốt nhất được quốc tế công nhận; [và] (c) để phát triển các nguyên tắc quản lý bảo mật thông tin dành riêng cho tổ chức.”
[Nguồn: ISO/IEC 27002:2022]
Giới thiệu
ISO/IEC 27002 là một tiêu chuẩn quốc tế phổ biến mô tả một lựa chọn chung về các biện pháp kiểm soát bảo mật thông tin 'thực hành tốt', thường được sử dụng để giảm thiểu rủi ro không thể chấp nhận được đối với tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin.
Dòng dõi của nó kéo dài từ BS 7799 vào giữa những năm 1990.
ISO/IEC 27002 là tài liệu tư vấn, khuyến nghị chứ không phải là thông số kỹ thuật chính thức như ISO/IEC 27001. Các tổ chức nên xác định và đánh giá rủi ro thông tin của chính mình, lựa chọn và áp dụng các biện pháp kiểm soát bảo mật thông tin phù hợp để giảm thiểu rủi ro không thể chấp nhận được khi sử dụng ISO/IEC 27002 và các tiêu chuẩn và nguồn hướng dẫn có liên quan khác.
Phạm vi
Giống như quản trị và quản lý rủi ro, quản lý bảo mật thông tin là một chủ đề rộng với sự phân nhánh cho tất cả các tổ chức. Bảo mật thông tin, và do đó, ISO/IEC 27002, có liên quan đến tất cả các loại hình tổ chức, bao gồm các doanh nghiệp thương mại thuộc mọi quy mô (từ các ban nhạc một người cho đến các công ty khổng lồ đa quốc gia), tổ chức phi lợi nhuận, tổ chức từ thiện, cơ quan chính phủ và tổ chức bán tự trị. cơ quan - trên thực tế là bất kỳ tổ chức nào xử lý và phụ thuộc vào thông tin. Các rủi ro thông tin cụ thể và do đó các yêu cầu kiểm soát khác nhau về chi tiết nhưng có nhiều điểm chung, chẳng hạn như hầu hết các tổ chức cần giải quyết các rủi ro thông tin liên quan đến nhân viên của họ cộng với các nhà thầu, chuyên gia tư vấn và nhà cung cấp bên thứ ba về các dịch vụ CNTT và thông tin khác nhau như đám mây tin học.
Tiêu chuẩn đưa ra một 'bộ tham chiếu' gồm 93 biện pháp kiểm soát bảo mật thông tin chung và hướng dẫn triển khai, được phân loại thành 4 điều khoản dựa trên các 'chủ đề' này:
Kiểm soát tổ chức - một nhóm 37 kiểm soát tổng hợp lớn và được đặt tên gây nhầm lẫn không phù hợp gọn gàng với các chủ đề còn lại;
Kiểm soát con người -8 biện pháp kiểm soát liên quan đến hoặc liên quan đến con người, ví dụ: hành vi, hoạt động, vai trò và trách nhiệm của cá nhân, điều khoản và điều kiện làm việc, v.v.;
Kiểm soát vật lý - 14 kiểm soát hữu hình để đảm bảo tài sản [thông tin] hữu hình;
Kiểm soát công nghệ - 34 kiểm soát liên quan đến hoặc liên quan đến công nghệ, đặc biệt là CNTT.
Mỗi 93 điều khiển được gắn thẻ với một hoặc nhiều giá trị từ mỗi trong số 5 'thuộc tính' để chúng cũng có thể được nhóm, chọn hoặc lọc theo các cách khác:
Loại kiểm soát: phòng ngừa, phát hiện và/hoặc khắc phục;
Các thuộc tính bảo mật thông tin: tính bảo mật, tính toàn vẹn và/hoặc tính sẵn sàng;
Các khái niệm về an ninh mạng: xác định, bảo vệ, phát hiện, phản hồi và/hoặc phục hồi;
Khả năng vận hành: quản trị, quản lý tài sản, bảo vệ thông tin, bảo mật nguồn nhân lực, bảo mật vật lý, bảo mật hệ thống và mạng, bảo mật ứng dụng, cấu hình an toàn, quản lý danh tính và truy cập, quản lý mối đe dọa và lỗ hổng, tính liên tục, bảo mật mối quan hệ nhà cung cấp, pháp lý và tuân thủ, thông tin quản lý sự kiện bảo mật và đảm bảo an toàn thông tin.
Các lĩnh vực bảo mật: quản trị và hệ sinh thái, bảo vệ, phòng thủ và khả năng phục hồi.
Điều này làm cho tiêu chuẩn phản ánh phức tạp hơn nhưng những phức tạp này:
Một biện pháp kiểm soát nhất định có thể có một số ứng dụng (ví dụ: sao lưu giúp bảo vệ chống lại phần mềm độc hại, hack, lỗi, tai nạn, hỏng hóc máy móc, hỏa hoạn, v.v. và có thể bao gồm cấp phó và người thay thế đa kỹ năng cho những người quan trọng cũng như nhà cung cấp/nguồn dịch vụ thông tin cần thiết thay thế , cũng như sao lưu dữ liệu);
Rủi ro không thể chấp nhận thường yêu cầu một số biện pháp kiểm soát (ví dụ: có thể giảm thiểu phần mềm độc hại bằng cách sử dụng sao lưu, nâng cao nhận thức, chống vi-rút, kiểm soát truy cập mạng cùng với IDS/IPS, xác thực, vá lỗi, thử nghiệm, kiểm soát tính toàn vẹn của hệ thống, v.v., đồng thời tránh lây nhiễm có thể là một phương pháp hiệu quả nếu được hỗ trợ với các biện pháp kiểm soát như chính sách và thủ tục, danh sách đen, v.v.);
Nhiều 'kiểm soát' được xác định trong tiêu chuẩn không phải là nguyên tử, bao gồm một số thành phần hoặc phần nhỏ hơn (ví dụ: sao lưu liên quan đến chiến lược, chính sách và quy trình, phần mềm, phần cứng, thử nghiệm, khắc phục sự cố, bảo vệ vật lý của phương tiện sao lưu, v.v.).
Một số chủ đề và thuộc tính được chỉ định tùy ý: ví dụ: khóa truy cập thẻ thương mại trên lối vào tòa nhà có thể rơi vào bất kỳ chủ đề nào, có thể nói là cả bốn chủ đề được liệt kê ở trên, nhưng nếu nó và các điều khiển khác như vậy được đề cập nhiều lần, tiêu chuẩn sẽ trở nên khó sử dụng. Nhiều khả năng, nó sẽ được phân loại là một điều khiển vật lý, có thể có tham chiếu đến các yếu tố khác.
Các tổ chức cũng có thể xác định các thuộc tính của riêng họ.
Mối quan hệ với ISO/IEC 27001
Hệ thống quản lý bảo mật thông tin như được chỉ định trong ISO/IEC 27001 là một cách tiếp cận có hệ thống để quản lý rủi ro thông tin, bao gồm vô số biện pháp kiểm soát bảo mật thông tin cần thiết để giảm thiểu rủi ro không thể chấp nhận cộng với các biện pháp xử lý rủi ro khác: đừng quên rằng rủi ro có thể tránh được, chia sẻ hoặc ISMS là một khuôn khổ để quản lý tất cả chúng một cách nhất quán.
Phụ lục A của ISO/IEC 27001 tóm tắt ngắn gọn/phác thảo các biện pháp kiểm soát bảo mật thông tin từ [ấn bản thứ hai của] ISO/IEC 27002 trên cơ sở rằng chúng là những thông lệ tốt được áp dụng chung, đáng được xem xét. và trong một số trường hợp, các bộ kiểm soát hoàn toàn khác (chẳng hạn như phiên bản thứ ba mới của ISO/IEC 27002 hoặc Khung an ninh mạng NIST) phù hợp hơn.
Trên thực tế, hầu hết các tổ chức áp dụng ISO/IEC 27001 cũng sử dụng Phụ lục A và do đó ISO/IEC 27002 làm khuôn khổ hoặc cấu trúc chung cho các biện pháp kiểm soát của họ, thực hiện các thay đổi khác nhau khi cần thiết để phù hợp với các yêu cầu xử lý rủi ro thông tin cụ thể của họ.
Tình trạng tiêu chuẩn
Ấn bản đầu tiên được xuất bản vào năm 2005.
Phiên bản thứ hai được xuất bản vào năm 2013.
Phiên bản thứ ba được tái cấu trúc và cập nhật hoàn toàn đã được xuất bản vào năm 2022.
Chính thức, có ít hơn 21 điều khiển trong ấn bản thứ ba so với ấn bản thứ hai mặc dù đã thêm 11 điều khiển mới. Một số điều khiển trong ấn bản thứ hai đã được cập nhật hoặc hợp nhất. Số lượng điều khiển thực tế cao hơn nhiều (vài trăm) nếu bạn phân biệt tất cả các 'điều khiển nguyên tử' đề cập trong hoặc ngụ ý bởi các chi tiết.
Các tiêu chuẩn dựa trên ISO/IEC 27002 sẽ được cập nhật đúng hạn. Với những thay đổi sâu rộng, SC 27 sẽ mất một khoảng thời gian để xử lý tất cả.
Hướng dẫn triển khai ISMS ISO/IEC 27002
Bộ sưu tập các hướng dẫn triển khai ISMS và tài liệu mẫu có sẵn để tải xuống trong Bộ công cụ ISO27k miễn phí.
Các mẹo triển khai ISMS được phổ biến rộng rãi trong Câu hỏi thường gặp về ISO27k.
ISO/IEC 27003 cung cấp hướng dẫn triển khai ISMS chung, tập trung vào hệ thống quản lý hơn là kiểm soát an ninh.
Ngoài ra còn có một số hướng dẫn triển khai ISMS 'dành riêng cho ngành', chẳng hạn như ISO/IEC 27011 cho lĩnh vực viễn thông, ISO 27799 cho chăm sóc sức khỏe và ISO/IEC 27019 cho các tiện ích năng lượng.
Nhận xét cá nhân
Theo ý kiến được cân nhắc của tôi, một trong những tính năng đặc biệt, sáng tạo và có giá trị nhất của sổ tay chính sách ban đầu của Shell, Bộ quy tắc thực hành DTI/tiêu chuẩn DISC của Vương quốc Anh PD003 và Tiêu chuẩn Anh BS 7799 là chúng đề cập rõ ràng đến vấn đề bảo mật thông tin, đề xuất các phương pháp tiếp cận và kiểm soát đối với bảo mật thông tin dưới mọi hình thức - không chỉ dữ liệu máy tính, hệ thống, ứng dụng, mạng và công nghệ.
Trong những năm qua kể từ khi ISO/IEC chấp nhận nó như một tiêu chuẩn quốc tế, nó đã dần dần phát triển thành một tiêu chuẩn CNTT, CNTT hoặc an ninh mạng tập trung vào công nghệ.
Phiên bản thứ ba đã bỏ lỡ nhiều cơ hội khuyến khích người dùng xem xét “rủi ro thông tin” của họ để xác định xem có cần nhiều biện pháp kiểm soát khác nhau để tránh hoặc giảm thiểu rủi ro hay không và nếu có thì biện pháp kiểm soát nào là phù hợp, có tính đến hiệu quả, chi phí, giá trị của chúng , độ tin cậy, v.v. Có vẻ như các biện pháp kiểm soát được đưa ra trong tiêu chuẩn không chỉ đơn thuần là những thông lệ tốt đáng được xem xét trong các trường hợp khác nhau, mà còn là yêu cầu hoặc bắt buộc ở mức độ mà việc không thực hiện chúng có thể bị coi là thông lệ không phù hợp, không chuyên nghiệp hoặc tồi. hầu hết nếu không muốn nói là tất cả các biện pháp kiểm soát nên được tất cả các tổ chức sử dụng, bất kể sự đa dạng của các tổ chức về phạm vi và các rủi ro thông tin khác nhau của họ.
Tôi nhớ 'các mục tiêu kiểm soát' từ BS 7799: những mục tiêu này giải thích ngắn gọn những gì các biện pháp kiểm soát dự kiến sẽ đạt được, mang lại cho chúng một mục đích liên quan đến kinh doanh dễ dàng diễn giải trong bối cảnh cụ thể của một tổ chức riêng lẻ. , rất nhiều ví dụ về các loại điều có thể được áp dụng để đạt được mục tiêu. rủi ro thông tin mà các biện pháp kiểm soát được đề xuất có nghĩa vụ phải giảm thiểu - theo như tôi nghĩ là một bước thụt lùi ... có khả năng tạo ra cơ hội để lấp đầy khoảng trống (xem chỗ này!) giữa kiểm toán viên và ban quản lý: Tôi nghi ngờ vấn đề cơ bản là do không hiểu được bản chất thực sự của rủi ro thông tin và các phương án xử lý rủi ro.
Mặc dù tiêu chuẩn được cấu trúc lại có thể đọc và sử dụng được trên giấy, nhưng việc gắn thẻ và liên kết chéo mạnh mẽ của các điều khiển sẽ ưu tiên các ứng dụng cơ sở dữ liệu (thậm chí đơn giản như Excel) cho phép người dùng lọc hoặc chọn và sắp xếp các điều khiển theo bất kỳ tiêu chí hoặc câu hỏi nào họ đặt ra - cho ví dụ, "Các biện pháp kiểm soát bảo mật vật lý nào liên quan đến quyền riêng tư?" hoặc "Các biện pháp kiểm soát phòng ngừa nào không liên quan đến công nghệ?". Với một ứng dụng cơ sở dữ liệu phù hợp, trình tự gần như không liên quan so với việc phân loại, gắn thẻ và mô tả các biện pháp kiểm soát. để xem làm thế nào điều này diễn ra.
Tôi rất thất vọng vì tiêu chuẩn này đã bị nhiễm vi-rút “mạng”, gần như ngay lập tức tạo ra các vấn đề về định nghĩa và diễn giải. những người khác trước tiên muốn hiểu sự khác biệt trước khi phân loại các điều khiển ... và tôi phải nói rằng tôi thuộc nhóm thứ hai. Thực tế, ý nghĩa và phạm vi của "an ninh mạng" là gì? Hãy bắt đầu từ đó, eh, SC 27, trước khi nhảy trên tàu bandwagon!
Tương tự như vậy, ủy ban hy vọng sẽ giải quyết được sự nhầm lẫn về ý nghĩa của “chính sách” trong ấn bản thứ hai bằng cách phân biệt ba biến thể hoặc cấp bậc trong ấn bản thứ ba:
“Chính sách bảo mật thông tin” là chính sách tổng thể, cấp cao của công ty ở đỉnh cao của kim tự tháp chính sách cổ điển, được phê duyệt bởi 'ban lãnh đạo cao nhất';
“Chính sách dành riêng cho chủ đề” là thuật ngữ cho các chính sách cấp trung, ví dụ: chính sách dành riêng cho chủ đề về kiểm soát truy cập và xóa bàn làm việc và xóa màn hình” (đối với tôi, từ sau nghe giống một quy tắc hơn là chính sách cấp trung ... và trên thực tế, như nhóm dự án đã trình bày, khái niệm chính sách theo chủ đề cụ thể bao gồm các hướng dẫn và quy tắc, làm cho lớp này trở thành một sự pha trộn, chuyển tiếp hoặc liên kết giữa cấp trên và cấp dưới. các đơn vị, v.v. khi bối cảnh cụ thể của chúng (rủi ro thông tin, yêu cầu bảo mật, tình huống kinh doanh, địa điểm, v.v.) khác với bối cảnh tổng thể của công ty;
“Quy tắc” là mức thấp nhất, chi tiết/cụ thể nhất, được định nghĩa là “nguyên tắc được chấp nhận”
