Kiểm soát 7.1 là gì?
Mục Kiểm soát 7.1 trong tiêu chuẩn ISO 27002:2022 mới đề cập đến nhu cầu của các tổ chức trong việc xác định và thiết lập ranh giới bảo mật và sử dụng các thông số này để bảo vệ các khu vực chứa thông tin và các tài sản liên quan khác.
Giải thích về thông tin và tài sản bảo mật thông tin
Thông tin có thể được định nghĩa là bất kỳ dữ liệu, thông tin hoặc kiến thức nào có giá trị đối với tổ chức hoặc doanh nghiệp của bạn. Điều này bao gồm bất kỳ dữ liệu nào được thu thập về cá nhân, khách hàng, đối tác, nhân viên và các bên liên quan khác.
Tài sản bảo mật thông tin có thể được chia thành:
Dữ liệu
Dữ liệu thường bị nhầm lẫn với thông tin nhưng có sự khác biệt giữa dữ liệu và thông tin. Dữ liệu là thô, chưa được xử lý và thường không sử dụng được ở trạng thái hiện tại trong khi thông tin là dữ liệu đã được xử lý thành các phần thông tin có thể sử dụng được như địa chỉ email hoặc số điện thoại.
Cơ sở hạ tầng
Cơ sở hạ tầng đề cập đến tất cả các thành phần tạo nên một mạng bao gồm máy chủ và các thiết bị khác như máy in, bộ định tuyến, v.v.
Cơ sở hạ tầng cũng có thể bao gồm phần mềm như hệ điều hành và ứng dụng cần được bảo vệ khỏi các cuộc tấn công mạng giống như phần cứng vì cả hai đều cần được cập nhật các bản vá và bản sửa lỗi cho các lỗ hổng do tin tặc phát hiện để chúng không thể bị tin tặc độc hại khai thác và muốn truy cập vào dữ liệu nhạy cảm.
Giải thích về vành đai an ninh vật lý
An ninh vật lý đề cập đến tất cả các biện pháp vật lý bảo vệ cơ sở vật chất và tài sản của một tổ chức. An ninh vật lý là phần cơ bản và quan trọng nhất của an ninh thông tin. Nó không chỉ là việc khóa cửa mà còn là việc biết ai có quyền truy cập vào cái gì, khi nào, ở đâu và như thế nào.
Chu vi an ninh vật lý được sử dụng để xác định ranh giới vật lý của một tòa nhà hoặc khu vực và kiểm soát quyền truy cập vào đó. Chu vi an ninh vật lý có thể bao gồm hàng rào, tường, cổng và các rào cản khác ngăn chặn người hoặc phương tiện truy cập trái phép. Ngoài các rào cản vật lý, thiết bị giám sát điện tử như camera truyền hình mạch kín có thể được sử dụng để theo dõi hoạt động bên ngoài cơ sở.
Chu vi bảo mật vật lý cung cấp tuyến phòng thủ đầu tiên chống lại những kẻ xâm nhập có thể cố gắng xâm nhập vào hệ thống máy tính của bạn thông qua cáp mạng hoặc kết nối không dây trong một tổ chức. Chúng thường được sử dụng kết hợp với các loại kiểm soát bảo mật thông tin khác như quản lý danh tính, kiểm soát truy cập và hệ thống phát hiện xâm nhập.
Bảng Thuộc tính
Thuộc tính là một cách để phân loại các điều khiển. Thuộc tính cho phép bạn nhanh chóng khớp lựa chọn điều khiển của mình với thông số kỹ thuật và thuật ngữ điển hình của ngành. Các điều khiển sau đây có sẵn trong điều khiển 7.1.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #An ninh vật lý | #Sự bảo vệ |
Biện pháp kiểm soát 7.1 đảm bảo rằng tổ chức có thể chứng minh rằng mình có đủ ranh giới an ninh vật lý để ngăn chặn truy cập vật lý trái phép vào thông tin và các tài sản liên quan khác.
Điều này bao gồm việc ngăn ngừa:
- Xâm nhập trái phép vào các tòa nhà, phòng hoặc khu vực chứa tài sản thông tin;
- Di chuyển tài sản trái phép ra khỏi cơ sở;
- Sử dụng trái phép tài sản tại cơ sở (ví dụ: máy tính và các thiết bị liên quan đến máy tính); và
- Truy cập trái phép vào các thiết bị truyền thông điện tử như điện thoại, máy fax và thiết bị đầu cuối máy tính (ví dụ: phá hoại trái phép).
Các vành đai an ninh vật lý có thể được triển khai thông qua hai hạng mục sau:
Kiểm soát truy cập vật lý: Cung cấp các biện pháp kiểm soát đối với việc ra vào các cơ sở và tòa nhà, cũng như việc di chuyển bên trong chúng. Các biện pháp kiểm soát này bao gồm khóa cửa, sử dụng báo động trên cửa, sử dụng hàng rào hoặc rào chắn xung quanh các cơ sở, v.v.
Bảo mật phần cứng: Cung cấp khả năng kiểm soát thiết bị vật lý (ví dụ: máy tính) mà tổ chức sử dụng để xử lý dữ liệu như máy in và máy quét có thể chứa thông tin nhạy cảm.
Việc thực hiện biện pháp kiểm soát này cũng có thể bao gồm việc sử dụng trái phép không gian, thiết bị và vật tư của cơ sở nhằm bảo vệ thông tin và các tài sản liên quan khác, chẳng hạn như tài liệu mật, hồ sơ và thiết bị.
Bao gồm những gì và làm thế nào để đáp ứng các yêu cầu
Các hướng dẫn sau đây cần được xem xét và triển khai khi cần thiết cho các ranh giới an ninh vật lý:
- Xác định ranh giới an ninh và vị trí cũng như sức mạnh của từng ranh giới theo các yêu cầu về an ninh thông tin liên quan đến tài sản trong ranh giới đó.
- Có ranh giới vật lý vững chắc cho tòa nhà hoặc địa điểm chứa cơ sở xử lý thông tin (tức là không được có khoảng hở nào trong ranh giới hoặc khu vực có thể dễ dàng xảy ra đột nhập).
- Mái nhà, tường, trần nhà và sàn nhà bên ngoài của công trình phải được xây dựng kiên cố và tất cả các cửa ra vào bên ngoài phải được bảo vệ phù hợp để chống lại sự xâm nhập trái phép bằng các cơ chế kiểm soát (ví dụ như thanh chắn, báo động, khóa).
- Cửa ra vào và cửa sổ phải được khóa khi không có người trông coi và cần cân nhắc biện pháp bảo vệ bên ngoài cho cửa sổ, đặc biệt là ở tầng trệt; cũng cần cân nhắc các điểm thông gió.
Bạn có thể tìm hiểu thêm thông tin về những điều cần làm để đáp ứng các yêu cầu kiểm soát trong tài liệu tiêu chuẩn ISO 27002:2022.
Những thay đổi và khác biệt so với ISO 27002:2013
Phiên bản sửa đổi năm 2022 mới của ISO 27002 đã được công bố vào ngày 15 tháng 2 năm 2022 và là bản nâng cấp của ISO 27002:2013.
Có 11 biện pháp kiểm soát mới được thêm vào phiên bản ISO 27002 này. Tuy nhiên, biện pháp kiểm soát 7.1 không phải là biện pháp kiểm soát mới mà là phiên bản sửa đổi của biện pháp kiểm soát 11.1.1 trong phiên bản ISO 27002 năm 2013. Sự khác biệt chính giữa phiên bản 2013 và 2022 là sự thay đổi về số biện pháp kiểm soát.
Số kiểm soát 11.1.1 đã được thay thế bằng 7.1. Ngoài ra, bối cảnh và ý nghĩa phần lớn là tương tự, mặc dù cách diễn đạt có khác nhau.
Một điểm khác biệt nữa giữa cả hai biện pháp kiểm soát là các yêu cầu triển khai đã được giảm bớt trong phiên bản 2022.
Các yêu cầu sau đây có trong phần kiểm soát 11.1.1 của ISO 27002:2013 nhưng lại không có trong phần kiểm soát 7.1:
- Cần phải có khu vực lễ tân có người trực hoặc các biện pháp khác để kiểm soát việc ra vào địa điểm hoặc tòa nhà.
- Chỉ những người có thẩm quyền mới được phép ra vào các địa điểm và tòa nhà.
- Cần phải xây dựng các rào cản vật lý, nếu có thể, để ngăn chặn việc tiếp cận trái phép và ô nhiễm môi trường.
- Hệ thống phát hiện xâm nhập phù hợp phải được lắp đặt theo tiêu chuẩn quốc gia, khu vực hoặc quốc tế và được kiểm tra thường xuyên để bao phủ tất cả các cửa ra vào bên ngoài và cửa sổ có thể tiếp cận được.
- Những khu vực không có người ở phải được báo động mọi lúc.
- Cũng cần phải che chắn các khu vực khác, ví dụ như phòng máy tính hoặc phòng liên lạc.
- Các cơ sở xử lý thông tin do tổ chức quản lý phải tách biệt về mặt vật lý với các cơ sở do bên ngoài quản lý.
Những thiếu sót này không làm cho tiêu chuẩn mới kém hiệu quả hơn, thay vào đó chúng được loại bỏ để làm cho phương pháp kiểm soát mới thân thiện hơn với người dùng.
Ai là người chịu trách nhiệm cho quá trình này?
Giám đốc thông tin là người phụ trách bảo mật thông tin. Cá nhân này chịu trách nhiệm thực hiện các chính sách và quy trình để bảo vệ dữ liệu và hệ thống của công ty. CIO thường làm việc với các giám đốc điều hành khác, chẳng hạn như giám đốc tài chính và giám đốc điều hành, để đảm bảo các biện pháp bảo mật được tính đến trong các quyết định kinh doanh.
Giám đốc tài chính cũng tham gia vào việc đưa ra quyết định liên quan đến chu vi an ninh vật lý. Người này làm việc với các thành viên khác của C-suite — bao gồm cả CIO — để xác định số tiền cần phân bổ cho các biện pháp an ninh vật lý như camera giám sát, kiểm soát ra vào và báo động.
Những thay đổi này có ý nghĩa gì đối với bạn?
Tiêu chuẩn ISO 27002:2022 mới không phải là bản sửa đổi lớn. Do đó, bạn không cần phải thực hiện bất kỳ thay đổi nghiêm trọng nào để tuân thủ phiên bản mới nhất của ISO 27002.
Tuy nhiên, bạn nên cân nhắc xem xét lại việc triển khai hiện tại của mình và đảm bảo rằng nó phù hợp với các yêu cầu mới. Đặc biệt, nếu bạn đã thực hiện bất kỳ thay đổi nào kể từ khi phiên bản trước được phát hành vào năm 2013. Bạn nên xem lại những thay đổi đó để xem chúng có còn hiệu lực hay cần được sửa đổi hay không.
Tuy nhiên, bạn có thể tìm hiểu thêm thông tin về cách tiêu chuẩn ISO 27002 mới sẽ ảnh hưởng đến quy trình bảo mật thông tin và chứng nhận ISO 27001 của bạn bằng cách đọc hướng dẫn ISO 27002:2022 của chúng tôi.
