Tối ưu hóa quá trình làm việc của bạn. Xem thêm
Đặt Lịch Demo

ISO 27002:2022, Kiểm soát 8.19 – Cài đặt phần mềm trên hệ thống hoạt động

ISO 27002:2022 Kiểm soát được sửa đổi
Đặt Lịch Demo

Mục đích của Kiểm soát 8.19

Phần mềm vận hành có thể được mô tả rộng rãi là bất kỳ phần mềm nào mà doanh nghiệp chủ động sử dụng để tiến hành hoạt động, khác với phần mềm thử nghiệm hoặc các dự án phát triển.

Điều cực kỳ quan trọng là phải đảm bảo phần mềm được cài đặt và quản lý trên một mạng nhất định theo một bộ quy tắc và yêu cầu nghiêm ngặt nhằm giảm thiểu rủi ro, nâng cao hiệu quả và duy trì tính bảo mật trong các mạng và dịch vụ nội bộ cũng như bên ngoài.

Bảng Thuộc tính

Kiểm soát 8.19 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách thiết lập một bộ quy tắc quản lý việc cài đặt phần mềm trên hệ thống vận hành.

Loại điều khiểnThuộc tính bảo mật thông tinCác khái niệm về an ninh mạngKhả năng hoạt độngMiền bảo mật
#Phòng ngừa#Bảo mật
#Toàn vẹn
#Khả dụng		#Bảo vệ#Cấu hình bảo mật
#Bảo mật ứng dụng		#Sự bảo vệ

Quyền sở hữu kiểm soát 8.19

Kiểm soát 8.19 liên quan đến các khái niệm kỹ thuật liên quan đến việc bảo trì và quản lý hệ thống máy tính đang hoạt động. Do đó, quyền sở hữu phải thuộc về Trưởng phòng CNTT hoặc tổ chức tương đương.

Hướng dẫn chung về tuân thủ

Để quản lý an toàn các thay đổi và cài đặt trên mạng của mình, các tổ chức nên:

  1. Đảm bảo rằng việc cập nhật phần mềm chỉ được thực hiện bởi nhân viên được đào tạo và có năng lực (xem Kiểm soát 8.5).
  2. Chỉ cài đặt mã thực thi mạnh mẽ, không có lỗi và đã thoát khỏi giai đoạn phát triển một cách an toàn.
  3. Chỉ cài đặt và/hoặc cập nhật phần mềm sau khi bản cập nhật hoặc bản vá đó đã được thử nghiệm thành công và tổ chức tin tưởng rằng sẽ không xảy ra xung đột hoặc lỗi nào.
  4. Duy trì hệ thống thư viện hiện đại.
  5. Sử dụng ‘hệ thống kiểm soát cấu hình’ để quản lý mọi phiên bản phần mềm hoạt động, bao gồm cả tài liệu chương trình.
  6. Thống nhất về ‘chiến lược khôi phục’ trước khi tiến hành bất kỳ bản cập nhật hoặc cài đặt nào để đảm bảo tính liên tục của hoạt động kinh doanh trong trường hợp xảy ra lỗi hoặc xung đột không lường trước.
  7. Lưu lại nhật ký về mọi bản cập nhật được thực hiện đối với phần mềm đang hoạt động, bao gồm tóm tắt về bản cập nhật, nhân sự liên quan và dấu thời gian.
  8. Đảm bảo rằng phần mềm chưa sử dụng – bao gồm tất cả tài liệu, tệp cấu hình, nhật ký hệ thống, quy trình hỗ trợ – được lưu trữ an toàn để sử dụng sau này khi cần thiết.
  9. Áp dụng một bộ quy tắc nghiêm ngặt về loại gói phần mềm mà người dùng có thể cài đặt, dựa trên nguyên tắc “ít đặc quyền nhất” và phù hợp với các vai trò và trách nhiệm có liên quan.

Hướng dẫn – Phần mềm nhà cung cấp

Đối với phần mềm do nhà cung cấp cung cấp (ví dụ bất kỳ phần mềm nào được sử dụng trong quá trình vận hành máy móc hoặc cho chức năng kinh doanh riêng), phần mềm đó phải luôn được đảm bảo hoạt động tốt bằng cách tham khảo hướng dẫn của nhà cung cấp để vận hành an toàn và bảo mật.

Điều quan trọng cần lưu ý là ngay cả khi phần mềm hoặc mô-đun phần mềm được cung cấp và quản lý bên ngoài (tức là tổ chức không chịu trách nhiệm cho bất kỳ bản cập nhật nào), thì vẫn cần phải thực hiện các bước để đảm bảo rằng các bản cập nhật của bên thứ ba không gây ảnh hưởng đến tính toàn vẹn của mạng lưới tổ chức.

Các tổ chức nên tránh sử dụng phần mềm của nhà cung cấp không được hỗ trợ trừ khi thực sự cần thiết và cân nhắc những rủi ro bảo mật liên quan khi sử dụng các ứng dụng dự phòng thay vì nâng cấp lên hệ thống mới hơn và an toàn hơn.

Nếu nhà cung cấp yêu cầu quyền truy cập vào mạng của tổ chức để thực hiện cài đặt hoặc cập nhật, hoạt động đó phải được giám sát và xác thực theo tất cả các thủ tục cấp phép có liên quan (xem Kiểm soát 5.22).

Hướng dẫn bổ sung về Kiểm soát 8.19

Phần mềm phải được nâng cấp, cài đặt và/hoặc vá lỗi theo các quy trình quản lý thay đổi đã công bố của tổ chức, nhằm đảm bảo tính thống nhất với các lĩnh vực khác trong doanh nghiệp.

Bất cứ khi nào phát hiện ra bản vá có khả năng loại bỏ hoàn toàn một lỗ hổng (hoặc một loạt lỗ hổng) hoặc giúp cải thiện hoạt động bảo mật thông tin của tổ chức theo bất kỳ cách nào, thì những thay đổi đó gần như luôn phải được áp dụng (mặc dù vẫn cần đánh giá những thay đổi đó theo từng trường hợp cụ thể).

Khi cần sử dụng phần mềm nguồn mở, phần mềm này phải luôn là phiên bản mới nhất có sẵn công khai và được bảo trì tích cực. Theo đó, các tổ chức nên cân nhắc đến những rủi ro vốn có khi sử dụng phần mềm không được bảo trì trong mọi chức năng kinh doanh.

Hỗ trợ điều khiển

  • 5.22
  • 8,5

Những thay đổi và khác biệt so với ISO 27002:2013

ISO 27002:2022-8.19 thay thế ISO 27002:2003-12.5.1 (Cài đặt phần mềm trên hệ điều hành) và 12.6.2 (Hạn chế cài đặt phần mềm).

27002:2022-8.19 là sự kết hợp của hầu hết các lời khuyên có trong 27002:2003-12.5.1 và 12.6.2, với một số khái niệm chính được mở rộng ngắn gọn và bổ sung một số nguyên tắc quản lý mới:

  • Duy trì hệ thống thư viện.
  • Quy định quản lý việc sử dụng phần mềm nguồn mở.
  • Kiểm soát logic chặt chẽ hơn về việc cài đặt và bảo trì phần mềm của nhà cung cấp.

ISOA.vn giúp ích như thế nào

Với ISOA.vn , bạn sẽ có quyền truy cập vào bộ công cụ và tài nguyên đầy đủ để giúp quản lý Hệ thống quản lý bảo mật thông tin (ISMS) ISO 27001 của riêng bạn, cho dù bạn là người mới hay đã được chứng nhận.

Hơn nữa, ISOA.vn cung cấp các quy trình tự động giúp đơn giản hóa toàn bộ quy trình đánh giá. Các quy trình này tiết kiệm đáng kể thời gian quản trị so với các phương pháp làm việc khác.

Bạn sẽ có được sự khởi đầu thuận lợi với các chính sách và biện pháp kiểm soát ISO 27001 từ ISOA.vn.

Quy trình làm việc trực quan, công cụ, khuôn khổ, chính sách và biện pháp kiểm soát, tài liệu hướng dẫn và thực tế cũng như hướng dẫn thực tế giúp triển khai ISO 27001 dễ dàng bằng cách xác định phạm vi, xác định rủi ro và triển khai các biện pháp kiểm soát dựa trên thuật toán của chúng tôi – cho dù chúng được tạo từ đầu hay dựa trên các mẫu thông lệ tốt nhất trong ngành.

Hãy liên hệ với chúng tôi ngay hôm nay để lên lịch trình demo.

Điều khiển mới

 
Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.7MớiTình báo đe dọa
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
7.4MớiGiám sát an ninh vật lý
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.16MớiHoạt động giám sát
8.23MớiLọc web
8.28MớiMã hóa an toàn
 

Kiểm soát tổ chức

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.105.11, 05.1.2Chính sách bảo mật thông tin
5.206.1.1Vai trò và trách nhiệm bảo mật thông tin
5.306.1.2Phân chia nhiệm vụ
5.407.2.1Trách nhiệm quản lý
5.506.1.3Liên hệ với chính quyền
5.606.1.4Liên hệ với các nhóm lợi ích đặc biệt
5.7MớiTình báo đe dọa
5.806.1.5, 14.1.1An ninh thông tin trong quản lý dự án
5.908.11, 08.12Kiểm kê thông tin và các tài sản liên quan khác
5.1008.13, 08.2.3Việc sử dụng thông tin và các tài sản liên quan khác được chấp nhận
5.1108.1.4Trả lại tài sản
5.1208.2.1Phân loại thông tin
5.1308.2.2Ghi nhãn thông tin
5.1413.2.1, 13.2.2, 13.2.3Chuyển giao thông tin
5.1509.1.1, 09.1.2Kiểm soát truy cập
5.1609.2.1Quản lý danh tính
5.1709.2.4, 09.3.1, 09.4.3Thông tin xác thực
5.1809.2.2, 09.2.5, 09.2.6Quyền truy cập
5.1915.1.1Bảo mật thông tin trong mối quan hệ với nhà cung cấp
5.2015.1.2Xử lý vấn đề bảo mật thông tin trong các thỏa thuận với nhà cung cấp
5.2115.1.3Quản lý an ninh thông tin trong chuỗi cung ứng ICT
5.2215.2.1, 15.2.2Giám sát, xem xét và quản lý thay đổi các dịch vụ của nhà cung cấp
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.2416.1.1Lập kế hoạch và chuẩn bị quản lý sự cố an ninh thông tin
5.2516.1.4Đánh giá và quyết định về các sự kiện an ninh thông tin
5.2616.1.5Phản hồi sự cố an ninh thông tin
5.2716.1.6Rút kinh nghiệm từ các sự cố an ninh thông tin
5.2816.1.7Thu thập bằng chứng
5.2917.1.1, 17.1.2, 17.1.3An ninh thông tin trong thời gian gián đoạn
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
5.3118.1.1, 18.1.5Yêu cầu pháp lý, quy định, quy định và hợp đồng
5.3218.1.2Quyền sở hữu trí tuệ
5.3318.1.3Bảo vệ hồ sơ
5.3418.1.4Quyền riêng tư và bảo vệ PII
5.3518.2.1Đánh giá độc lập về an ninh thông tin
5.3618.2.2, 18.2.3Tuân thủ các chính sách, quy tắc và tiêu chuẩn về bảo mật thông tin
5.3712.1.1Quy trình vận hành được ghi chép lại

Kiểm soát con người

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
6.107.1.1Kiểm tra
6.207.1.2Điều khoản và điều kiện tuyển dụng
6.307.2.2Nhận thức, giáo dục và đào tạo về an ninh thông tin
6.407.2.3Quy trình kỷ luật
6.507.3.1Trách nhiệm sau khi chấm dứt hoặc thay đổi việc làm
6.613.2.4Thỏa thuận bảo mật hoặc không tiết lộ
6.706.2.2Làm việc từ xa
6.816.1.2, 16.1.3Báo cáo sự kiện bảo mật thông tin

Kiểm soát vật lý

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
7.111.1.1Chu vi an ninh vật lý
7.211.1.2, 11.1.6Nhập cảnh vật lý
7.311.1.3Bảo vệ văn phòng, phòng và cơ sở vật chất
7.4MớiGiám sát an ninh vật lý
7.511.1.4Bảo vệ chống lại các mối đe dọa về vật lý và môi trường
7.611.1.5Làm việc ở những khu vực an toàn
7.711.2.9Dọn dẹp bàn làm việc và màn hình sạch sẽ
7.811.2.1Vị trí và bảo vệ thiết bị
7.911.2.6Bảo vệ tài sản ngoài cơ sở
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Phương tiện lưu trữ
7.1111.2.2Tiện ích hỗ trợ
7.1211.2.3Bảo mật cắp
7.1311.2.4Bảo trì thiết bị
7.1411.2.7Xử lý an toàn hoặc tái sử dụng thiết bị

Kiểm soát công nghệ

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
8.106.2.1, 11.2.8Thiết bị đầu cuối của người dùng
8.209.2.3Quyền truy cập đặc quyền
8.309.4.1Hạn chế truy cập thông tin
8.409.4.5Truy cập vào mã nguồn
8.509.4.2Xác thực an toàn
8.612.1.3Quản lý năng lực
8.712.2.1Bảo vệ chống lại phần mềm độc hại
8.812.6.1, 18.2.3Quản lý lỗ hổng kỹ thuật
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.1312.3.1Sao lưu thông tin
8.1417.2.1Sự dư thừa của các cơ sở xử lý thông tin
8.1512.4.1, 12.4.2, 12.4.3Ghi nhật ký
8.16MớiHoạt động giám sát
8.1712.4.4Đồng bộ hóa đồng hồ
8.1809.4.4Sử dụng các chương trình tiện ích đặc quyền
8.1912.5.1, 12.6.2Cài đặt phần mềm trên hệ điều hành
8.2013.1.1Bảo mật mạng
8.2113.1.2Bảo mật dịch vụ mạng
8.2213.1.3Phân tách mạng lưới
8.23MớiLọc web
8.2410.11, 10.1.2Sử dụng mật mã
8.2514.2.1Vòng đời phát triển an toàn
8.2614.1.2, 14.1.3Yêu cầu bảo mật ứng dụng
8.2714.2.5Kiến trúc hệ thống an toàn và các nguyên tắc kỹ thuật
8.28MớiMã hóa an toàn
8.2914.2.8, 14.2.9Kiểm tra bảo mật trong quá trình phát triển và chấp nhận
8.3014.2.7Phát triển thuê ngoài
8.3112.1.4, 14.2.6Phân tách môi trường phát triển, thử nghiệm và sản xuất
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Quản lý thay đổi
8.3314.3.1Thông tin kiểm tra
8.3412.7.1Bảo vệ hệ thống thông tin trong quá trình kiểm tra kiểm toán

Nội dung

Bắt đầu với ISO 27002

Giải pháp tuân thủ duy nhất
bạn cần

Đặt Lịch Demo

Thành công 100% ISO 27001

Con đường đơn giản, thiết thực và tiết kiệm thời gian của bạn để đạt được chứng nhận hoặc tuân thủ ISO 27001 lần đầu tiên

Đặt Lịch Demo

Tiêu Chuẩn

Công Ty

Hỗ Trợ

Theo Dõi

Facebook Twitter Youtube

Bản quyền © 2025 ISO Academy

Đặt Lịch Demo