[ISO 27001] Cấu trúc tiêu chuẩn

Cấu trúc tiêu chuẩn ISO 27001

ISO 27001 có tổng cộng 10 điều khoản cần thực hiện, trong đó:

Điều khoản 1: Phạm vi

Điều khoản này chỉ rõ các yêu cầu cho việc thiết lập, thực hiện, duy trid và liên tục cải tiến hệ thống phù hợp với bối cảnh của tổ chức
Điều khoản này bao gồm các yêu cầu cho đánh giá, xử lý các rủi ro an ninh thông tin dựa trên năng lực của doanh nghiệp

Điều khoản 2: Tài liệu trích dẫn

Tên tài liệu

Điều khoản 3: Thuật ngữ và định nghĩa

Điều khoản đưa ra các thuật ngữ và định nghĩa được sử dụng trong tiêu chuẩn

Điều khoản 4: Bối cảnh tổ chức

Điều khoản đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi hệ thống an ninh thông tin phù hợp

4.1. Hiểu tổ chức và bối cảnh tổ chức

Tổ chức phải xác định rõ các vấn đề nội bộ và bên ngoài liên quan đến mục đích và tác động của nó ảnh hưởng đến khả năng đạt được các kết quả mong đợi từ hệ thống quản lý an ninh thông tin

Ghi chú: Xác định các vấn đề trên tham chiếu đến điều khoản 5.3 tiêu chuẩn ISO31000:2009 – thiết lập bối cảnh nội bộ và bên ngoài của tổ chức.

4.2. Hiểu về yêu cầu và kỳ vọng của các bên liên quan.

Tổ chức sẽ phải xác định:

a. Các bên quan tâm đến hệ thống quản lý an ninh thông tin

b.Các yêu cầu của các bên liên quan về an ninh thông tin.

Ghi chú: Các yêu cầu của các bên quan tâm bao gồm các yêu cầu của pháp luật và các điều khoản trong hợp đồng.

4.3. Xác định phạm vi hệ thống quản lý an ninh thông tin.

Tổ chức phải xác định giới hạn và khả năng áp dụng hệ thống quản lý an ninh thông tin để thiết lập phạm vi áp dụng.

Khi xác định phạm vi, tổ chức phải xem xét:

a. Các vấn đề nội bộ và bên ngoài quy định tại khoản 4.1.

b. Các yêu cầu quy định tại khoản 4.2;

c. Sự tương tác và phụ thuộc giữa các hoạt động trong tổ chức và vấn đề này với các tổ chức bên ngoài

4.4. Hệ thống quản lý an ninh thông tin

Tổ chức phải thiết lập, thực hiện, duy trì và liên tục cải tiến Hệ thống quản lý an ninh thông tin phù hợp với các yêu cầu của tiêu chuẩn này.

Điều khoản 5: Sự lãnh đạo

Điều khoản quy định các vấn đề về trách nhiệm của Ban lãnh đạo: sự cam kết và sự quyết tâm thực hiện các công việc về:

5.1. Sự lãnh đạo và cam kết

Lãnh đạo cao nhất phải lãnh đạo và cam kết đối với hệ thống quản lý an ninh thông tin bằng cách:

a. Đảm bảo chính sách an ninh thông tin và mục tiêu an ninh thông tin được thiết lập và phù hợp với định hướng chiến lược của tổ chức.

b. Đảm bảo tích hợp các yêu cầu hệ thống quản lý an ninh thông tin các quá trình của tổ chức.

c. Đảm bảo sẵn sàng các nguồn lực cần thiết cho hệ thống quản lý an ninh thông tin.

d. Truyền thông tầm quan trọng về hiệu quả quản lý an ninh thông tin và sự phù hợp với các yêu cầu an ninh thông tin.

e. Đảm bảo rằng hệ thống quản lý an ninh thông tin đạt được các kết quả mong đợi

f. Chỉ đạo và hỗ trợ nhân sự tham gia vào hệ thống quản lý an ninh thông tin có hiệu quả.

g. Thúc đẩy cải tiến liên tục

h. Hỗ trợ các quản lý liên quan thể hiện được vai trò lãnh đạo trong vùng trách nhiệm họ được phân công

5.2. Chính sách

Lãnh đạo cao nhất phải thiết lập chính sách an ninh thông tin đảm bảo:

a. Phù hợp với mục đích của tổ chức

b. Bao gồm các mục tiêu an ninh thông tin (xem 6.2) hoặc cung cấp khuôn khổ cho việc thiết lập các mục tiêu an ninh thông tin.

c. Bao gồm cam kết đáp ứng các yêu cầu áp dụng liên quan đến an ninh thông tin

d. Bao gồm cam kết nhằm cải tiến liên tục hệ thống quản lý an ninh thông tin.

e. Chính sách an ninh thông tin phải được văn bản hóa

f. Được truyền thông trong tổ chức

g. Sẵn sàng với các bên quan tâm, khi thích hợp

5.3. Vai trò, quyền hạn và trách nhiệm của tổ chức.

Lãnh đạo cao nhất phải đảm bảo các trách nhiệm và phê duyệt quyền hạn liên quan đến an ninh thông tin và truyền thông

Lãnh đạo cao nhất phê duyệt trách nhiệm và quyền hạn nhằm:

a. Đảm bảo rằng hệ thống quản lý an ninh thông tin phù hợp với các yêu cầu của tiêu chuẩn quốc tế này

b. Báo cáo về sự thực hiện hệ thống quản lý an ninh thông tin tới lãnh đạo cao nhất.

GHI CHÚ: Lãnh đạo cao nhất có thể ký phê duyệt các trách nhiệm và quyền hạn báo cáo việc thực hiện hệ thống quản lý an ninh thông tin trong nội bộ của tổ chức

Điều khoản 6: Lập kế hoạch/ Hoạch định

Điều khoản đưa ra các yêu cầu, việc thiết lập mục tiêu và kế hoạch để đạt được mục tiêu đó

6.1. Các hành động giải quyết rủi ro và các cơ hội

6.1.1 Tổng quát

Khi hoạch định hệ thống quản lý an ninh thông tin, tổ chức phải xem xét: Các vấn đề tham chiếu điều khoản 4.1, các yêu cầu tham chiếu điều khoản 4.2, Xác định rủi ro cũng như các cơ hội đảm bảo các yêu cầu được đáp ứng:

a. Đảm bảo hệ thống an ninh thông tin có thể đạt được các kết quả mong đợi

b. Phòng ngừa hoặc giảm thiểu các tác động không mong muốn

c. Đạt được cải tiến liên tục Tổ chức phải lập kế hoạch

d. Hành động tập trung vào rủi ro và các cơ hội cải tiến

e. Làm thế nào để:

-Tích hợp và triển khai các hành động trên vào các quá trình hệ thống quản lý an ninh thông tin

-Đánh giá hiệu quả của các hành động này

6.1.2. Đánh giá rủi ro bảo mật thông tin.

Tổ chức phải thiết lập và áp dụng các quá trình đánh giá rủi ro an ninh thông tin nhằm:

a. Thiết lập và duy trì các tiêu chí rủi ro an ninh thông tin bao gồm:

-Các tiêu chí chấp nhận rủi ro

-Tiêu chí cho việc thực hiện đánh giá rủi ro an ninh thông tin.

b. Đảm bảo rằng quá trình đánh giá rủi ro an ninh thông tin được triển khai liên tục, phù hợp, kết quả đánh giá có giá trị và có thể so sánh được.

c. Xác định các rủi ro an ninh thông tin.

-Áp dụng quá trình đánh giá rủi ro an ninh thông tin nhằm xác định các rủi ro liên quan đến việc mất tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin trong phạm vi hệ thống quản lý an ninh thông tin

-Xác định những người nắm giữ rủi ro đó

d. Phân tích rủi ro an ninh thông tin

-Đánh giá những hậu quả tiềm ẩn gây ra bởi các rủi ro đã được xác định bằng văn bản trong điều khoản 6.1.2.c)

-Đánh giá khả năng trở thành hiện thực của các rủi ro đã được xác định bằng văn bản trong điều khoản 6.1.2.c)

-Xác định các mức độ rủi ro.

e. Định lượng rủi ro an ninh thông tin.

-So sánh các kết quả phân tích rủi ro với các tiêu chí rủi ro đã được thiết lập trong điều khoản 6.1.2.a)

-Đưa ra trật tự ưu tiên đối với các rủi ro đã được phân tích cho hoạt động xử lý rủi ro.

Tổ chức phải văn bản hóa quá trình đánh giá rủi ro an ninh thông tin

6.1.3. Xử lý rủi ro an ninh thông tin

Tổ chức phải xác định và áp dụng quá trình đánh giá rủi ro an ninh thông tin nhằm:

a. Chọn lựa các giải pháp xử lý rủi ro an ninh thông tin phù hợp, dựa trên kết quả đánh giá rủi ro

b. Xác định tất cả các kiểm soát cần thiết để thực hiện các giải pháp xử lý an ninh thông tin đã lựa chọn.

c. So sánh các kiểm soát đã được xác định trong khoản 6.1.3.b. với Phụ lục A và làm rõ các lựa chọn nào không cần thiết để loại trừ.

d. Ban hành công bố áp dụng bao gồm các kiểm soát được lựa chọn (xem 6.1.3.b và c) và làm rõ các các biện pháp kiểm soát được áp dụng hay loại trừ trong Phụ lục A.

e. Xây dựng kế hoạch xử lý rủi ro

f. Phê duyệt người nắm giữ rủi ro trong kế hoạch xử lý rủi ro và chấp nhận những rủi ro còn sót lại.

Tổ chức phải lưu các thông tin được văn bản hóa về quá trình xử lý rủi ro an ninh thông tin

6.2. Mục tiêu an ninh thông tin và lập kế hoạch thực đạt mục tiêu

Tổ chức phải thiết lập các mục tiêu an ninh thông tin liên quan đến các chức năng nhiệm vụ và mức độ

Các mục tiêu an ninh thông tin phải:

a. Nhất quán với chính sách an ninh thông tin.

b. Đo lường được (một cách thích hợp)

c. Phù hợp với các yêu cầu an ninh thông tin, và kết quả từ việc đánh giá và xử lý rủi ro.

d. Được truyền đạt

e. Được cập nhật một cách thích hợp.

Tổ chức phải lưu giữ hồ sơ về các mục tiêu an ninh thông tin.

Khi lập kế hoạch làm thế nào để đạt được các mục tiêu an ninh thông tin, Tổ chức phải xác định:

a. Sẽ làm gì

b. Nguồn lực yêu cầu là gì

c. Ai chịu trách nhiệm

d. Khi nào thì hoàn thành

e. Kết quả được đánh giá như thế nào

Điều khoản 7: Hỗ trợ

7.1. Nguồn lực

Xác định và cung cấp nguồn lực cần thiết cho việc thiết lập, thực hiện, duy trì và cải tiến hệ thống ISMS

7.2. Năng lực (Competence)

Tổ chức phải

a. Xác định năng lực cần thiết của các nhân sự đang làm việc và có tác động đến kết quả an ninh thông tin

b. Đảm bảo các nhân sự này có năng lực cơ bản về giáo dục, đào tạo và kinh nghiệm

c. Khi thích hợp, có những hành động để đạt được năng lực cần thiết, đánh giá hiệu quả của các hành động đã thực hiện (Các hành động thích hợp có thể gồm: cung cấp việc đào tạo, kèm cặp - bổ nhiệm nhân sự, thuê ngoài)

d. Giữ lại các thông tin dưới dạng văn bản để làm minh chứng năng lực

7.3. Nhận thức (Awareness)

Người thực hiện cần có các nhận thức:

a. Chính sách ATTT

b. Đóng góp của họ tới hiệu quả của hệ thống ISMS, bao gồm các lợi ích của việc cải tiến hệ thống ISMS

c. Ý nghĩa của sự không phù hợp với yêu cầu của hệ thống ISMS

7.4. Trao đổi thông tin

Tổ chức phải xác định nhu cầu trao đổi thông tin nội bộ và bên ngoài tới hệ thống ISMS, gồm:

a. Nội dung cần trao đổi

b. Thời gian trao đổi

c. Đối tượng trao đổi

d. Người trao đổi

e. Các quá trình mà trao đổi thông tin cần thực hiện

7.5. Thông tin được văn bản hóa

7.5.1. Các văn bản cần thiết

a. Văn bản được yêu cầu bởi tiêu chuẩn này

b. Văn bản được tổ chức xác định là cần thiết đối với hiệu quả của hệ thống

7.5.2.Thiết lập và cập nhật tài liệu

Khi tạo và cập nhật văn bản cần đảm bảo văn bản phù hợp:

a. Định danh và mô tả: Tiêu đề, Tác giả, Thời gian…

b. Định dạng: ngôn ngữ, phiên bản, đồ họa,… được sử dụng qua văn bane giấy hay điện tử

c. Xem xét và chấp nhận sự thích hợp và đầy đủ của văn bản

7.5.3. Kiểm soát các thông tin được văn bản

Việc kiểm soát cần đảm bảo:

a. Tính Sẵn có và thích hợp để sử dụng khi cần cần thiết

b. Tính đầy đủ

Các hoạt động cần kiểm soát:

a. Phân phối, truy cập, thu hồi (retrieval) và sử dụng

b. Lưu trữ và bảo quản, duy trì tính rõ ràng

c. Kiểm soát các thay đổi

d. Lưu giữ và Hủy

Điều khoản 8: Vận hành hệ thống

8.1. Lập kế hoạch và kiểm soát

Tổ chức phải lên kế hoạch, thực hiện kiểm soát quá trình cần thiết để đáp ứng yêu cầu và thực hiện các hành động đã xác định trong Điều 6
Tổ chức phải thực hiện kế hoạch để đạt được mục tiêu an toàn thông tin đã xác định trong Điều 6
Phải giữ các văn bản cần thiết để có sự tin cậy (confidence) về các quy trình đã được thực hiện theo kế hoạch
Phải kiểm soát các thay đổi và xem xét các hậu quả của các thay đổi ngoài dự kiến (unintended changes); thực hiện các hành động để giảm thiểu các ảnh hưởng bất lợi
Xác định và kiểm soát các nguồn lực bên ngoài

8.2. Đánh giá rủi ro an ninh thông tin

Thực hiện đánh giá rủi ro theo định kỳ hoặc khi có thay đổi đáng kể được đề xuất xảy ra theo các tiêu chuẩn đánh giá đã thiết lập trong Điều 6
Giữ lại các văn bản về kết quả đánh giá rủi ro an ninh thông tin

8.3. Xử lý rủi ro

Thực hiện kế hoạch xử lý rủi ro an ninh thông tin
Giữ các văn bản về Kết quả xử lý rủi ro an ninh thông tin

Điều khoản 9: Đánh giá việc thực hiện

9.1. Giám sát, đo lường, phân tích và đánh giá

Đánh giá kết quả và hiệu quả của hệ thống ISMS

Cần xác định:

a. Đối tượng giám sát và đo lường, bao gồm cả quy trình và các kiểm soát

b. Các phương thức giám sát, đo lường, phân tích và đánh giá để có thể áp dụng, kết quả phải đảm bảo giá trị

c. Thời gian thực hiện giám sát và đo lường

d. Người thực hiện giám sat và đo lường

e. Thời gian thực hiện đánh giá và phân tích

f. Người thực hiện đánh giá và phân tích kết quả

Phải lưu giữ thông tin được văn bản hóa một cách hợp lý → Bằng chứng giám sát và đo lường các kết quả

9.2. Đánh giá nội bộ (Internal Audit)

Tiến hành đánh giá nội bộ theo định kỳ để cung cấp các thông tin về hệ thống ISMS để đánh giá:

a. Hệ thống có phù hợp với yêu cầu riêng của tổ chức và các yêu cầu chung của tiêu chuẩn quốc tế này không

b. Được thực hiện và duy trì có hiệu quả

Tổ chức phải:

c. Lên kế hoạch, Thiết lập, Thực hiện và sự duy trì chương trình đánh giá, bao gồm: tần suất, các phương pháp, trách nhiệm, yêu cầu hoạch định và báo cáo

Chương trình đánh giá phải xem xét sự quan trọng của các quá trình liên quan và kết quả đánh giá trước đó

d. Xác định các tiêu chuẩn đánh giá và phạm vi từng lần đánh giá

e. Chọn chuyên gia và thực hiện đánh giá; đảm bảo mục tiêu và tính khách quan của quá trình đánh giá

f. Đảm bảo kết quả đánh giá được báo cáo đến các quản lý có liên quan

g. Giữ lại văn bản tài liệu như bằng chứng của chương trình và kết quả đánh giá

9.3. Lãnh đạo xem xét

Lãnh đạo cao nhất phải xem xét định kỳ hệ thống ISMS, đảm bảo hệ thống luôn thích hợp và có hiệu quả

Người lãnh đạo phải xem xét:

a. Tình trạng của các hành động kể từ lần đánh giá trước

b. Sự thay đổi các vấn đề nội bộ và bên ngoài có liên quan đến hệ thống

c. Phản hồi về việc thực hiện bảo mật thông tin, bao gồm:

-Sự không phù hợp và hành động khắc phục

-Kết quả giám sát và đo lường

-Kết quả đánh giá

-Sự đáp ứng đầy đủ các mục tiêu an ninh thông tin

a. Phản hồi từ các bên liên quan

e. Kết quả đánh giá rủi ro và tình trạng kế hoạch xử lý rủi ro

f. Cơ hội cải tiến liên tục

Outputs của việc quản lý cao nhất review phải bao gồm các quyết định liên quan đến cơ hội cải tiến liên tục và bất kỳ sự thay đổi nào về hệ thống ISMS

Tổ chức phải giữ các văn bản tài liệu như minh chứng cho kết quả review hệ thống của quản lý cao nhất.

Điều khoản 10: Cải tiến hệ thống

10.1. Sự không phù hợp và hành động khắc phục

Khi có sự không phù hợp xảy ra, tổ chức cần

a. Ứng phó với sự không phù hợp bằng cách:

-Thực hiện hành động để kiểm soát và sửa nó

-Giải quyết những hậu quả

b. Đánh giá sự cần thiết về hoạt động loại bỏ các nguyên nhân của sự không phù hợp để nó không tái diễn hoặc xảy ra ở các nơi khác, bằng cách:

-Xem xét sự không phù hợp

-Xác định nguyên nhân của sự không phù hợp

-Xác định nếu sự không phù hợp tương tự có tồn tại hoặc có khả năng xảy ra

c. Thực hiện các hành động cần thiết

d. Xem xét hiệu quả của hành động khắc phục bất kỳ đã thực hiện

e. Thực hiện thay đổi hệ thống ISMS nếu cần thiết

Các hoạt động khắc phục phải thích hợp với những sự không thích hợp gặp phải

Tổ chức phải giữ văn bản tài liệu như minh chứng của bản chất sự không phù hợp, hành động khắc phục và kết quả của các hành động khắc phục này.

10.2. Cải tiến thường xuyên

Phải cải tiến thường xuyên sự phù hợp, đầy đủ, hiệu quả của hệ thống ISMS

Các phụ lục A

Phụ lục A bao gồm tổng thể danh mục các mục tiêu và yêu cầu kiểm soát

Phụ lục	Tên phụ lục	Mục đích	Nội dung
Phụ lục	Tên phụ lục	Mục đích	Mục tiêu kiểm soát	Các kiểm soát
A.5	Chính sách An ninh thông tin	A.5.1. Định hướng lãnh đạo đối với an ninh thông tin => Nhằm cung cấp định hướng lãnh đạo và hỗ trợ đối với an ninh thông tin phù hợp với các yêu cầu kinh doanh và văn bản pháp luật và các quy định liên quan	A.5.1.1. Chính sách bảo mật thông tin	Bộ chính sách gồm phải được xác định và chấp nhận bởi quản lý; được công khai và phổ biến đến nhân viên và các bên liên quan
A.5	Chính sách An ninh thông tin		A.5.1.1. Review chính sách bảo mật thông tin	Chính sách cần được review định kỳ theo kế hoạch hoặc khi có những thay đổi đáng kể xuất hiện đảm bảo sự phù hợp, đầy đủ và hiệu quả Các thay đổi bắt nguồn từ các rủi ro, các vấn đề, công nghệ, luật pháp, quy định
A.6	Tổ chức đảm bảo ANTT	A.6.1 Tổ chức nội bộ => Nhằm thiết lập một khung quản lý khi xây dựng và kiểm soát việc thực hiện, điều hành an ninh thông tin trong tổ chức	A.6.1.1 Vai trò và trách nhiệm an ninh thông tin	Tất cả trách nhiệm an ninh thông tin phải được xác định và phân bổ
			A.6.1.2 Biệt lập nhiệm vụ	Xung đột trong nhiệm vụ và vùng trách nhiệm phải được biệt lập nhằm giảm cơ hội đối với những thay đổi không được phê duyệt hoặc không lường trước được hoặc sử dụng sai các tài sản của tổ chức
			A.6.1.3 Liên lạc với cơ quan/ tổ chức có thẩm quyền	Phải duy trì các liên hệ với các cơ quan có thẩm quyền một cách phù hợp
			A.6.1.4 Liên lạc với các nhóm quan tâm đặc thù	Phải duy trì liên lạc với các nhóm quan tâm đặc thù một cách phù hợp
			A.6.1.5 An ninh thông tin trong quản lý dự án	An ninh thông tin cần được thực hiện trong quản lý dự án, bất kể loại dự án nào
		A.6.2. Các thiết bị di động và làm việc từ xa => Nhằm thiết lập 1 khung quản lý để đảm bảo an ninh thông tin từ các thiết bị di động và làm việc từ xa	A.6.2.1 Chính sách về thiết bị di động	Thiết lập một chính sách và các biện pháp đo lường an ninh hỗ trợ phải được chấp nhận để quản lý rủi ro gây ra bởi việc sử dụng các thiết bị di động.
			A.6.2.2 Làm việc từ xa	Thiết lập một chính sách và các biện pháp an ninh hỗ trợ phải được thực hiện để bảo vệ thông tin bị truy cập, xử lý và lưu trữ tại các địa điểm làm việc từ xa. Các chính sách thường bao gồm: Đăng ký và quản lý thiết bị Bảo vệ vật lý Hạn chế các phần mềm được cài đặt Các yêu cầu đăng nhập, đăng xuất, sử dụng, khóa thiết bị…. Backup và lưu trữ ….
A.7	An ninh nguồn nhân lực	A.7.1 Trước khi tuyển dụng => Đảm bảo nhân viên và nhà thầu hiểu được trách nhiệm	A.7.1.1. Sàng lọc	Thẩm định “background” của tất cả các ứng viên cho quá trình tuyển dụng được thực hiện phù hợp với yêu cầu của pháp luật, các quy định và đạo đức và phải phù hợp với các yêu cầu kinh doanh, sự phân loại thông tin bị truy cập nhận biết rủi ro
			A.7.1.2 Điều khoản và điều kiện tuyển dụng	Thỏa thuận hợp đồng với người lao động và nhà thầu phải chỉ rõ trách nhiệm của người được tuyển dụng và tổ chức đối với an ninh thông tin
		A.7.2 Trong quá trình tuyển dụng => Đảm bảo nhân viên và người tuyển dụng nhận thức và thực hiện đầy đủ trách nhiệm bảo mật thông tin của họ	A.7.2.1. Trách nhiệm của lãnh đạo	Lãnh đạo phải yêu cầu tất cả người lao động, nhà thầu phải tuân thủ an ninh thông tin theo đúng chính sách đã thiết lập và quy trình của tổ chức
			A.7.2.2. Nhận thức, giáo dục và đào tạo về bảo mật thông tin	Tất cả nhân niên của tổ chức, những nơi liên quan, nhà thầu phải nhận được sự giáo dục đầy đủ, đào tạo và định kỳ cập nhật chính sách, quy trình có liên quan đến việc thực hiện công việc của họ.
			A.7.2.3. Quá trình kỷ luật	Phải thiết lập văn bản và truyền thông về quá trình xử lý kỷ luật tại chỗ đối với hành vi vi phạm an ninh của nhân viên
		A.7.3. Chấm dứt hoặc thay đổi hợp đồng => Để bảo vệ lợi ích của tổ chức khi có những thay đổi hay kết thúc hợp đồng	A.7.3.1. Chấm dứt hoặc thay đổi trách hiệm của nhân viên	Trách nhiệm và nhiệm vụ bảo mật thông tin vẫn phải có hiệu lực sau khi có những thay đổi hoặc chấm dứt được xác định, được truyền thông tới nhân viên, nhà thầu và yêu cầu tuân thủ
A.8	Quản lý tài sản	A.8.1. Trách nhiệm đối với tài sản => Nhằm xác định tài sản của tổ chức và chỉ rõ trách nhiệm bảo vệ phù hợp	A.8.1.1. Kiểm kê tài sản	Bất kỳ tài sản chứa đựng thông tin và các thiết bị xử lý thông tin phải được nhận biết và việc kiểm kê các tài sản này phải được hoạch định và duy trì
			A.8.1.2. Sở hữu tài sản	Toàn bộ tài sản đều có người sở hữu => Phải duy trì việc sở hữu tài sản
			A.8.1.3. Cho phép sử dụng tài sản	Quy định cho phép sử dụng thông tin, tài sản chứa thông tin và các thiết bị xử lý thông tin phải được xác định rõ, văn bản hóa và được tuân thủ
			A.8.1.4. Hoàn trả tài sản	Tất cả nhân viên, người sử dụng bên ngoài phải trả lại tổ chức các tài sản mà họ đang quản lý khi thuyên chuyển công tác, kết thúc hợp đồng hoặc các thỏa thuận
		A.8.2. Phân loại thông tin => Nhằm đảm bảo thông tin được bảo vệ mức độ thích hợp	A.8.2.1. Phân loại thông tin	Thông tin được phân loại theo các yêu cầu pháp luật, giá trị, tầm quan trọng, mức độ nhạy cảm khi bị tiết lộ hoặc sửa đổi.
			A.8.2.2. Dán nhãn thông tin	Quy trình dán nhãn thông tin phải được thiết lập và thực hiệp phù hợp với các yêu cầu phân loại thông tin của tổ chức
			A.8.2.3. Sử dụng tài sản	Quy trình sử dụng tài sản thông tin phải được thiết lập và thực hiện phù hợp với các yêu cầu phân loại thông tin của tổ chức
		A.8.3. Quản lý phương tiện truyền thông => Nhằm ngăn ngừa những tiết lộ, chỉnh sửa, di chuyển hoặc xóa bỏ kho thông tin được lưu trữ trên phương tiện truyền thông	A.8.3.1. Quản lý phương tiện truyền thông có thể di dời	Thủ tục quản lý phương tiện truyền thông có thể di dời phải được thiết lập phù hợp với sự phân loại các tài sản thông tin của tổ chức
			A.8.3.2. Loại bỏ phương tiện truyền thông	Phải thiết lập quy trình kiểm soát việc loại bỏ các phương tiện truyền thông không còn sử dụng
			A.8.3.3. Chuyển giao vật lý các phương tiện truyền thông	Phương tiện truyền thông có chứa thông tin phải được bảo vệ chống lại sự truy cập trái phép, sử dụng trái phép hoặc di chuyển trái phép
A.9	Kiểm soát truy cập	A.9.1. Yêu cầu kinh doanh đối với kiểm soát truy cập => Nhằm hạn chế truy cập thông tin và các thiết bị xử lý thông tin	A.9.1.1. Chính sách kiểm soát truy cập	Chính sách kiểm soát truy cập phải được thiết lập, văn bản hóa và xem xét dựa trên các yêu cầu của hoạt động kinh doanh và an ninh thông tin
			A.9.1.2. Truy cập vào mạng và dịch vụ mạng	Người dùng chỉ được cấp quyền truy cập vào mạng
		A.9.2. Quản lý truy cập người sử dụng => Đảm bảo người dùng hợp pháp được truy cập và ngăn chặn truy cập bất hợp pháp vào các hệ thống và dịch vụ	A.9.2.1. Đăng ký thành viên và xóa đăng ký	Quy trình đăng ký và xóa đăng ký thành viên phải được thiết lập để kích hoạt việc cấp quyền truy cập
			A.9.2.2. Cấp quyền truy cập	Quy trình cấp quyền truy cập phải được thực hiện đảm bảo việc cấp hoặc xóa quyền truy cập của người dùng đối với tất cả các hệ thống và dịch vụ
			A.9.2.3. Quản lý đặc quyền truy cập	Việc cấp phát và sử dụng đặc quyền phải được giới hạn và kiểm soát.
			A.9.2.4. Quản lý bảo mật thông tin xác thực người dùng	Phải lập một quy trình quản lý, kiểm soát việc cấp thông tin xác thực của người dùng
			A.9.2.5. Xem xét quyền truy cập người dùng	Chủ sở hữu tài sản phải định kỳ xem xét quyền truy cập của người dùng
			A.9.2.6. Cắt và điều chỉnh quyền truy cập	Quyền truy cập của người dùng của tất cả nhân viên hay đối tác bên ngoài tới thông tin và các thiết bị xử lý thông tin phải được xóa theo căn cứ vào thời điểm kết thúc tuyển dụng, hợp đồng hoặc thỏa thuận hoặc điều chỉnh phụ thuộc vào những thay đổi
		A.9.3. Trách nhiệm của người dùng => Để người sử dụng có trách nhiệm đối với việc bảo vệ thông tin xác thực	A.9.3.1. Sử dụng bảo mật thông tin xác thực	Người dùng được yêu cầu tuân thủ quy trình sử dụng bảo mật thông tin xác thực
		A.9.4. Kiểm soát truy cập ứng dụng và hệ thống => Nhằm ngăn ngừa truy cập trái phép vào các ứng dụng và các hệ thống	A.9.4.1. Giới hạn truy cập thông tin	Việc truy cập thông tin và các chức năng hệ thống ứng dụng phải được giới hạn trong chính sách kiểm soát truy cập
			A.9.4.2. Thủ tục an ninh kết nối	Ở những nơi áp dụng chính sách truy cập, việc truy cập vào hệ thống và ứng dụng phải được kiểm soát bởi thủ tục an ninh kết nối.
			A.9.4.3. Hệ thống quản lý mật khẩu	Các hệ thống quản lý mật khẩu phải có tính tương hỗ và phải đảm bảo chất lượng của các mật khẩu
			A.9.4.4. Sử dụng các chương trình tiện ích đặc quyền	Sử dụng các chương trình tiện ích phải được giới hạn và kiểm soát chặt chẽ bởi có thể gây ra quá tải việc kiểm soát hệ thống và ứng dụng
			A.9.4.5. Kiểm soát truy cập tới source code	Việc truy cập tới source code phải kiểm soát chặt
A.10	Mã hóa	A.10.1. Kiểm soát mã hóa => Đảm bảo việc sử dụng biện pháp mã hóa phù hợp và hiệu quả để bảo vệ tính bảo mật, xác thức và hoặc tính toàn vẹn của thông tin.	A.10.1.1. Chính sách trong kiểm soát mã hóa	Phải thiết lập chính sách và tuân thủ kiểm soát sử dụng mã hóa để bảo vệ thông tin
A.10	Mã hóa		A.10.1.2. Quản lý khóa	Một chính sách sử dụng, bảo vệ vòng đời sử dụng khóa phải được thiết lập và yêu cầu tuân thủ
A.11	An ninh vật lý và môi trường	A.11.1 Các khu vực an ninh => Để phòng các truy cập vật lý bất hợp pháp, phá hoại và quấy rối tới tài sản thông tin và các thiết bị xử lý thông tin của tổ chức	A.11.1.1. Thiết bị kiểm soát an ninh thông tin	Các thiết bị kiểm soát an ninh vật lý phải được xác định và sử dụng để bảo vệ các thiết bị xử lý thông tin, các khu vực có chứa thông tin nhạy cảm hoặc bị giới hạn.
			A.11.1.2. Kiểm soát truy cập vật lý	Các khu vực an ninh phải được bảo vệ bằng các kiểm soát truy cập phù hợp để đảm bảo chỉ có những người được phép mới được quyền truy cập
			A.11.1.3. An ninh khu vực văn phòng, không gian và thiết bị	An ninh vật lý cho văn phòng, khu vực và thiết bị phải được hoạch định thiết kế và áp dụng
			A.11.1.4. Bảo vệ chống lại các mối đen dọa từ bên ngoài và môi trường	Phải hoạch định và áp dụng các biện pháp bảo vệ vật lý đối với các thảm họa tự nhiên, sự tấn công có chủ đích hoặc các tai nạn
			A.11.1.5. Làm việc trong khu vực an ninh	Thiết lập quy trình và áp dụng việc kiểm soát làm việc tại các khu vực an ninh
			A.11.1.6. Khu vực giao hàng và phân phối	Các điểm truy cập, ví dụ các khu vực giao hàng, phân phối và các điểm khác, nơi mà người truy cập không cần cấp phép phải được kiểm soát và nếu có thể biệt lập khỏi các phương tiện xử lý thông tin để tránh tình trạng truy cập trái phép
		A.11.2. Thiết bị => Để phòng việc mất, phá hoại, mất cắp hoặc thỏa hiệp các tài sản và gián đoạn các hoạt động của tổ chức.	A.11.2.1. Bố trí và bảo vệ thiết bị	Thiết bị cần được bố trí và bảo vệ để giảm thiểu các rủi ro từ các mối đe doạ, hiểm họa môi trường và các truy cập bất hợp pháp
			A.11.2.2. Các tiện ích hỗ trợ	Thiết bị cần được bảo vệ khỏi sự cố mất điện hoặc các gián đoạn bởi các lỗi của hệ thống hỗ trợ
			A.11.2.3. An ninh đường cáp	Dây dẫn nguồn điện và dây cáp viễn thông có chứa thông tin hoặc các dịch vụ hỗ trợ thông tin phải được bảo vệ khỏi sự xâm phạm hoặc phá hoại.
			A.11.2.4. Bảo trì thiết bị	Các thiết bị phải được bảo trì đúng quy định đảm bảo tín toàn vẹn và sẵn sàng
			A.11.2.5. Di chuyển tài sản	Thiết bị, thông tin hoặc phần mềm không được mang ra khỏi địa đểm nếu không có sự phê duyệt trước.
			A.11.2.6. An ninh cơ sở vật chất của thiết bị và tài sản	An ninh được áp dụng đối với các tài sản được mang ra khỏi địa điểm, phải tính đến các rủi ro trong quá trình làm việc bên ngoài của tổ chức
			A.11.2.7. An ninh đối với các thiết bị bị loại bỏ hoặc sử dụng lại	Tất cả các hạng mục thiết bị có chứa thông tin phải được thẩm định, đảm bảo bất kỳ thông tin nhạy cảm và phần mềm có bản quyền phải được gỡ bỏ hoặc ghi đè trước khi loại bỏ hoặc tái sử dụng
			A.11.2.8. Thiết bị người dùng không cần giám sát	Người sử dụng phải đảm bảo rằng tất cả các thiết bị người dùng không cần giám sát phải được bảo vệ phù hợp
			A.11.2.9. Chính sách bàn sạch, màn hình sạch	Áp dụng chính sách bàn làm việc sạch, không có giấy và các phương tiện lưu trữ di động Áp dụng chính sách màn hình sạch đối với các phương tiện xử lý thông tin phải được thực hiện
A.12	An ninh vận hành	A.12.1. Quy trình và trách nhiệm vận hành => Đảm bảo việc điều hành các thiết bị xử lý thông tin được đúng và đảm bảo an ninh	A12.1.1. Thiết lập văn bản quy trình vận hành	Các quy trình điều hành phải được văn bản hóa và sẵn sàng cho tất cả người sử dụng khi cần
			A12.1.2. Quản lý thay đổi	Những thay đổi về tổ chức, quá trình kinh doanh, các hệ thống và thiết bị xử lý thông tin ảnh hưởng đến an ninh thông tin phải được kiểm soát
			A12.1.3. Quản lý năng lực	Việc sử dụng nguồn lực phải được giám sát, điều chỉnh và dự đoán các yêu cầu về năng lực để đảm bảo hệ thống thực hiện đúng với mục tiêu kinh doanh
			A12.1.4. Tách biệt môi trường phát triển, kiểm thử và vận hành	Các môi trường phát triển, kiểm thử và vận hành phải được tách biệt để giảm rủi ro của các truy cập trái phép và sự thay đổi của môi trường vận hành
		A.12.2. Bảo vệ khỏi mã độc => Đảm bảo thông tin và các thiết bị xử lý thông tin được bảo vệ khỏi các mã độc	A.12.2.1. Kiểm soát mã độc	Các kiểm soát phát hiện, phòng ngừa và phục hồi để bảo vệ hệ thống khỏi mã độc phải được thực hiện và kết hợp với sự phù hợp về nhận thức của người dùng
		A.12.3. Sao lưu => Tránh mất dữ liệu	A.12.3.1. Sao lưu thông tin	Sao lưu dữ liệu cần phải được thực hiện và kiểm tra thường xuyên, phù hợp với chính sách sao lưu
		A.12.4. Nhật ký và giám sát => Ghi lại các sự kiện và tạo bằng chứng cho quá trình giám sát	A.12.4.1. Ghi lại nhật ký	Nhật ký ghi lại các hành động, các ngoại lệ, các lỗi, các sự kiện bảo trì hệ thống cần được thực hiện, lưu trữ và xem xét thường xuyên
			A.12.4.2. Bảo vệ thông tin nhật ký	Các thiết bị ghi nhật ký (Logging facilities) và thông tin nhật ký phải được bảo vệ khỏi những truy cập giả mạo và trái phép
			A.12.4.3. Nhật ký của quản trị viên và điều hành viên	Bất kỳ hành động quản lý và điều hành hệ thống cần được ghi lại, bảo vệ và xem xét thường xuyên
			A.12.4.4. Đồng bộ thời gian (Clock Synchronisation)	Tất cả thời gian của các hệ thống xử lý thông tin liên quan với tổ chức hoặc miền bảo mật cần phải được đồng bộ thành 1 nguồn thời gian tham khảo
		A.12.5. Kiểm soát vận hành phần mềm => Đảm bảo tính toàn vẹn của các hệ thống	A.12.5.1. Cài đặt phần mềm trên hệ thống điều hành	Phải xây dựng quy trình để thực hiện, kiểm soát và quản lý việc cài đặt các phần mềm trên hệ thống điều hành
		A.12.6. Quản lý lỗ hổng kỹ thuật => Ngăn chặn các khai thác lỗ hổng kỹ thuật	A.12.6.1. Quản lý các lỗ hổng kỹ thuật	Thông tin về lỗ hổng kỹ thuật đang được sử dụng phải được cập nhật (a timely fashion); tổ chức phải làm rõ để đánh giá lỗ hổng; đưa ra các biện pháp hợp lý để giải quyết các rủi ro liên quan
			A.12.6.2. Những hạn chế trong cài đặt phần mềm	Các quy tắc quản lý về sự cài đặt phần mềm bởi người sử dụng cần được thiết lập và thực hiện; nhằm hạn chế khả năng của người dùng cài đặt phần mềm (đặc biệt trên thiết bị local
		A.12.7. Đánh giá hệ thống thông tin => Tối thiểu tác động của các hành động kiểm tra tới các hệ thống điều hành	A.12.7.1. Kiểm soát kiểm tra các hệ thống thông tin	Yêu cầu và hoạt động kiểm tra liên quan đến việc kiểm tra hệ thống vận hành cần được lên kế hoạch cẩn thận và được chấp nhận để giảm thiểu sự gián đoạn đến quá trình kinh doanh
A.13	An ninh truyền tin	A.13.1. Quản lý an ninh truyền tin => Đảm bảo việc bảo vệ thông tin và các thiết bị hỗ trợ xử lý thông tin trong mạng lưới	A.13.1.1. Kiểm soát mạng lưới	Hệ thống mạng phải được quản lý và kiểm soát để bảo vệ thông tin trong hệ thống và các ứng dụng
			A.13.1.2. Các dịch vụ bảo vệ mạng lưới	Cơ chế bảo mật, các mức dịch vụ và các yêu cầu quản lý các dịch vụ mạng cần được xác định; bao gồm các thỏa thuận dịch vụ mạng, được cung cấp bởi nội bộ hoặc bên ngoài.
			A.13.1.3. Sự tách biệt trong mạng lưới	Các nhóm dịch vụ thông tin, người dùng và các hệ thống thông tin cần được tách biệt trong các mạng
		A.13.2. Truyền tin => Duy trì sự bảo mật thông tin khi truyền tin trong tổ chức và bất kỳ thực thể bên ngoài nào	A.13.2.1. Quy trình và chính sách truyền tin	Chính sách truyền tin, quy trình, các kiểm soát phải ở đúng vị trí (in place) để bảo vệ việc truyền tin khi sử dụng tất cả các phương tiện liên lạc
			A.13.2.2. Các thỏa thuận trong truyền tin	Thỏa thuận truyền tin phải đảm bảo an ninh trong quá trình truyền tin nội bộ và ngoài tổ chức
			A.13.2.3. Thông điệp điện tử	Bất kỳ thông tin nào trong bất kỳ thông điệp điện tử nào cũng cần phải được bảo vệ thích hợp
			A.13.2.4. Thỏa thuận bảo mật và không tiết lộ thông tin	Yêu cầu, độ tin cậy hoặc các thỏa thuận không thiết lộ thông tin phải được xác định, xem xét thường xuyên và được tài liệu hóa.
A.14	Tiếp nhận, phát triển và duy trì hệ thống	A.14.1. Yêu cầu bảo mật => Đảm bảo an ninh thông tin là 1 phần không thể thiết của hệ thống thông tin	A.14.1.1. Đặc tả và phân tích các yêu cầu bảo mật thông tin	Các yêu cầu liên quan đến bảo mật thông tin phải được đưa ra khi thiết lập mới hoặc nâng cấp hệ thống đang vận hành Các yêu cầu bảo mật phải được tài liệu hóa và được đồng ý khi giải pháp được đưa ra và phát triển
			A.14.1.2. Bảo mật các dịch vụ ứng dụng trong mạng công cộng	Thông tin liên quan trong các dịch vụ ứng dụng cần được bảo về từ các hành động gian lận, tranh chấp hợp đồng (contract dispute), tiết lộ (unauthorised disclosure) và sửa đổi trái phép
			A.14.1.3. Bảo vệ các giao dịch dịch vụ ứng dụng	Thông tin liên quan đến các giao dịch dịch vụ ứng dụng phải được bảo vệ để ngăn chặn việc truyền thông tin không đầy đủ, định tuyến sai, sửa đổi thông điệp trái phép, tiết lộ trái phép, lặp lại hoặc nhân đôi thông điệp trái phép
		A.14.2. Bảo mật trong quá trình phát triển và hỗ trợ => Đảm bảo thông tin được bảo mật trong quá trình thiết kế, thực hiện trong vòng đời phát triển của phần mềm	A.14.2.1. Chính sách phát triển an ninh	Các quy tắc trong việc phát triển phần mềm và hệ thống phải được thiết lập và áp dụng vào quá trình phát triển tổ chức Chính sách phát triển an ninh được sử dụng để đảm bảo môi trường phát triển được bảo mật; các quy trình phát triển và thực hiện hệ thống và cá thay đổi hệ thống khuyến khích việc sử dụng các phương pháp phát triển và mã hóa an toàn
			A.14.2.2. Quy trình kiểm soát thay đổi hệ thống	Các thay đổi trong vòng đời phát triển hệ thống phải được kiểm soát bằng cách sử dụng các thủ tục kiểm soát sự thay đổi Quy trình kiểm soát thay đổi hệ thống cần tích hợp với sự điều chỉnh và hỗ trợ kiểm soát các thay đổi
			A.14.2.3. Review kỹ thuật của các ứng dựng sau khi thay đổi nền tảng thực hiện	Khi nền tảng thực hiện được thay đổi, các ứng dụng cần được xem xét và kiểm, tra để đảm bảo không có tác động bất lợi trong hệ thống vận hành hoặc an ninh của tổ chức
			A.14.2.4. Hạn chế các thay đổi trong gói phần mềm	Các sửa đổi (Modification) trong gói phần mềm không được khuyến khích (discouraged), phải hạn chế để các thay đổi cần thiết và toàn bộ thay đổi phải được kiểm soát
			A.14.2.5. Các nguyên tắc kỹ thuật bảo mật hệ thống	Các nguyên tắc kỹ thuật bảo mật thông tin phải được thiết lập, tài liệu hóa, duy trì và áp dụng vào bất kỳ nỗ lực triển khai hệ thống nào.
			A.14.2.6. Môi trường phát triển an ninh	Tổ chức cần thiết lập và bảo vệ an ninh môi trường phát triển phù hợp với sự phát triển và tích hợp hệ thống xuyên suốt vòng đời phát triển phần mềm
			A.14.2.7. Phát triển việc thuê ngoài	Tổ chức phải giám sát (supervise) các hoạt động của việc thuê ngoài phát triển hệ thống
			A.14.2.8. Kiểm tra hệ thống an ninh	Kiểm tra tính năng bảo mật cần được carried out (thực hiện) trong quá trình phát triển Kiểm tra cụ thể tính năng bảo vệ phải được thực hiện và ký tắt bởi người phù hợp (người có năng lực và trách nhiệm trong việc bảo mật)
			A.14.2.9. Kiểm tra chấp nhận hệ thống	Kiểm tra chấp nhận chương trình và các tiêu chí liên quan phải được thiết lập trong các hệ thống thông tin được xây mới, cập nhật và phiên bản mới. Việc kiểm tra và tiêu chí chứng minh cho việc hoàn thành kiểm tra phải được thiết kế và xây dựng dựa trên mức độ các yêu cầu kinh doanh để kiểm tra và thực hiện
		A.14.3. Dữ liệu kiểm tra => Đảm bảo bảo mật dữ liệu sử dụng cho quá trình kiểm tra	A.14.3.1. Bảo vệ dữ liệu kiểm tra	Dữ liệu kiểm tra phải được chọn 1 cách cẩn thận, phải được bảo vệ và kiểm soát. Dữ liệu test được tạo ko có liên quan gì với dữ liệu thật của hệ thống
A.15	Mối quan hệ với Nhà cung cấp	A.15.1. Bảo mật thông tin về Mối quan hệ với NCC => Bảo vệ các tài sản có giá trị của tổ chức mà các nhà cung cấp có thể tiếp cận hoặc bị ảnh hưởng	A.15.1.1. Chính sách bảo mật thông tin về các mối quan hệ với NCC	Các biện pháp kiểm soát và chính sách bảo mật thông tin về Mối quan hệ với NCC phải mô tả được các phân khúc NCC, sự lựa chọn, cách quản lý và cách kiểm soát các thông tin có giá trị nhằm giảm rủi ro Các thỏa thuận cần rõ ràng về chính sách quyền truy cập => Các yêu cầu an ninh thông tin nhằm mục đích giảm các rủi ro khi nhà cung cấp truy cập vào tài sản thông tin phải được sự đồng ý của nhà cung cấp và được văn bản hóa
			A.15.1.2. Giải quyết vấn đề bảo mật trong Thỏa thuận với NCC	Tất cả các yêu cầu liên quan đến bảo mật thông tin phải được phù hợp với từng NCC có quyền truy cập và có thể tác động đến thông tin của tổ chức (hoặc tài sản của quy trình)
			A.15.1.3. Chuỗi cung ứng công nghệ thông tin và truyền thông	Thỏa thuận với các nhà cung cấp phải bao gồm các yêu cầu đáp ứng rủi ro an ninh thông tin liên quan tới thông tin và các dịch vụ công nghệ truyền thông và chuỗi cung ứng.
		A.15.2. Quản lý sự phát triển dịch vụ nhà cung cấp => Đảm bảo 1 mức độ chấp nhận an ninh thông tin và dịch vụ cung cấp được duy trì	A.15.2.1. Giám sát và xem xét dịch vụ NCC	Tổ chức thường xuyên giám sát, xem xét và đánh giá việc cung cấp các dịch vụ Xem xét và giám sát tốt nhất dựa trên các thông tin rủi ro
			A.15.2.2. Quản lý sự thay đổi về các dịch vụ của NCC	Bất kỳ thay đổi nào về dịch vụ của nhà cung cấp (bao gồm cả việc duy trì và phát triển các chính sách an ninh thông tin sẵn có, xây dựng và kiểm soát) đều được quản lý.
A.16	Quản lý sự cố	A.16.1. Quản lý sự cố an ninh thông tin => Đảm bảo 1 phương pháp tiếp cận phù hợp và hiệu quả trong việc quản lý các sự cố an ninh thông tin	A.16.1.1. Trách nhiệm và quy trình	Trách nhiệm quản lý và quy trình phải được thiết lập nhằm đảm bảo sự phản ứng nhanh, hiệu quả và đúng trình tự (orderly response) giải quyết sự cố an ninh thông tin Quy trình lập kế hoạch ứng phó sự cố (incident), sự kiện và điểm yếu cần được xác định rõ ràng và được trưởng nhóm chấp nhận
			A.16.1.2. Báo cáo các sự kiện về an ninh thông tin	Đảm bảo các sự cố và sự kiện về an ninh thông tin cần được báo cáo thông qua các kênh quản lý càng sớm càng tốt Các thông tin trên cần được báo cáo ngay và cần được tài liệu hóa
			A.16.1.3. Báo cáo về các điểm yếu trong an ninh thông tin	Nhân viên và nhà thầu sử dụng hệ thống thông tin và dịch vụ của tổ chức phải được yêu cầu ghi chép lại và báo cáo bất kỳ các điểm yếu an ninh mà họ quan sát được hay nghi ngờ trong hệ thống và dịch vụ của tổ chức Khi phát hiện ra điểm yếu, họ ko được cố gắng chứng minh vì điều này có thể gây ra các rủi ro khác.
			A.16.1.4. Đánh giá và ra quyết định về các sự kiện an ninh thông tin	Các sự kiện an ninh thông tin phải được đánh giá, có thể được đưa ra quyết định để phân loại sự cố, sự kiện của điểm yếu
			A.16.1.5. Ứng phó (response to) với các sự cố an ninh thông tin	Các sự cố an ninh thông tin luôn được gán chủ sở hữu, rõ ràng về các hành động và khoảng thời gian. Người phụ trách ứng phó phải khôi phục mức độ an ninh thông tin, thu thập chứng cứ, tiến hành phân tích, đảm bảo các hoạt động ứng phó đều được ghi lại…
			A.16.1.6. Học hỏi từ các sự cố an ninh thông tin	Đặt sự cố đã giải quyết vào 1 trạng thái để xem xét và học hỏi để cập nhật chính sách Các nhân viên liên quan cần được thông báo và đào tạo lại chính sách mới
			A.16.1.7. Thu thập chứng cớ (Evidence)	Tổ chức cần xác định và áp dụng các biện pháp để xác định, thu thập, mua lại và bảo vệ thông tin được coi là chứng cớ
A.17	Quản lý tính liên tục trong kinh doanh	A.17.1. Tính liên tục trong an ninh thông tin => Tính liên tục của an ninh thông tin phải được gắn vào tính liên tục trong hệ thống quản lý kinh doanh	A.17.1.1. Hoạch định tính liên tục an ninh thông tin	Tổ chức phải xác định các yêu cầu về an ninh thông tin và sự quản lý tính liên tục của an ninh thông tin trong các tình huống bất lợi (adverse situation)
			A.17.1.2. Thực hiện tính liên tục trong an ninh thông tin	Tổ chức cần thiết lập, tài liệu hóa, thực hiện và duy trì các quy trình, các thủ tục, các kiểm soát để đảm bảo mức độ bắt buộc của tính liên tục trong an ninh thông tin Khi yêu cầu được xác định, tổ chức phải thực hiện các chính sách, thủ tục và các kiểm soát vật lý, kỹ thuật khác 1 cách đầy đủ và tương xứng để đạt được các yêu cầu khác. Mô tả trách nhiệm, các hoạt động, người phụ trách, thời gian, công việc cần thực hiện
			A.17.1.3. Xác nhận, xem xét và Đánh giá tính liên tục trong an ninh thông tin	Tổ chức phải xác nhận các kiểm soát tính liên tục an ninh thông tin đã được thiết lập và thực hiện để đảm bảo nó có giá trị và hiệu quả trong các tình huống. Các kiểm soát đã thực hiện cần được kiểm tra, xem xét và đánh giá để đánh giá lại các thay đổi về tổ chức, công nghệ và mức độ rủi ro
		A.17.2. Sự dư thừa => Đảm bảo các thiết bị xử lý thông tin luôn sẵn có	A.17.2.1. Thiết bị xử lý thông tin sẵn có	Các thiết bị xử lý thông tin phải được dư thừa để đáp ứng các yêu cầu sẵn có
A.18	Tuân thủ	A.18.1. Tuân thủ các yêu cầu pháp lý và hợp đồng => Nhằm tránh vi phạm (avoid breaches) pháp lý, luật định (statutory), quy định (regulatory) hoặc nghĩa vụ hợp đồng liên quan đến an ninh thông tin hoặc bất kỳ yêu cầu về an ninh thông tin nào	A.18.1.1. Xác định các yêu cầu luật định và yêu cầu hợp đồng	Tất cả các yêu cầu chế định, luật định yêu cầu trong hợp đồng và phương thức đáp ứng yêu cầu của tổ chức phải được xác định, văn bản hóa, cập nhật cho từng hệ thống thông tin và tổ chức
			A.18.1.2. Quyền sở hữu trí tuệ (Intellectual Property Rights)	Một quy trình phù hợp phải được thực hiện để đảm bảo tuân thủ luật, quy định và các yêu cầu hợp đồng liên quan đến quyền sở hữu trí tuệ và việc sử dụng các sản phẩm phần mềm có bản quyền
			A.18.1.3. Bảo vệ các hồ sơ	Các hồ sơ cần được bảo vệ khỏi sự mất mát, sự phá hủy (destruction), làm sai lệch (falsification), truy cập trái phép và phát hành trái phép; phù hợp với luật định, quy định, hợp đồng và yêu cầu kinh doanh
			A.18.1.4. Sự riêng tư (Privacy) và bảo mật thông tin cá nhân	Sự riêng tư và bảo mật thông tin cá nhân được đảm bảo về luật pháp và các quy định liên quan Bất kỳ thông tin nào liên quan đến thông tin cá nhân đều có khả năng tuân theo các quy định và luật pháp Thông tin cá nhân có khả năng sẽ có các yêu cầu cao về tính bảo mật và toàn vẹn
			A.18.1.5. Quy định về kiểm soát mã hóa	Các kiểm soát mã hóa được sử dụng phù hợp với (in compliance with) tất cả các thỏa thuận liên quan, pháp luật và các quy định
		A.18.2. Xem xét an ninh thông tin => Đảm bảo an ninh thông tin được thực hiện và vận hành phù hợp với các chính sách và quy trình của tổ chức	A.18.2.1. Xem xét tính độc lập của an ninh thông tin	Cách tiếp cận của tổ chức để quản lý và thực hiện an ninh thông tin (như: kiểm soát các mục tiêu, các kiểm soát, chính sách, quy trình và thủ tục để bảo mật thông tin) phải được định kỳ xem xét độc lập hoặc khi có vấn đề xảy ra
			A.18.2.2. Tuân thủ các chính sách và tiêu chuẩn về bảo mật	Quản lý thường xuyên xem xét việc tuân thủ quy trình và các thủ tục về thông tin tương ứng với quyền hạn của họ. Các chính sách chỉ hiệu quả nếu chúng được thực hiện và sự tuân thủ được kiểm tra, xem xét
			A.18.2.3. Xem xét/Đánh giá tuân thủ kỹ thuật	Các hệ thống thông tin phải được thường xuyên xem xét sự tuân thủ với chính sách an ninh và tiêu chuẩn