Tối ưu hóa quá trình làm việc của bạn. Xem thêm
Đặt Lịch Demo

ISO 27002:2022, Kiểm soát 7.13 – Bảo trì thiết bị

ISO 27002:2022 Kiểm soát được sửa đổi
Đặt Lịch Demo

Các thiết bị CNTT như máy chủ, máy tính xách tay, thiết bị mạng và máy in đóng vai trò quan trọng đối với nhiều hoạt động xử lý thông tin như lưu trữ, sử dụng và chuyển giao tài sản thông tin.

Tuy nhiên, nếu thiết bị này không được bảo trì theo thông số kỹ thuật sản phẩm và rủi ro về môi trường, chất lượng và hiệu suất của thiết bị có thể bị giảm sút. Việc thiếu bảo trì này có thể dẫn đến việc mất khả năng sử dụng, tính toàn vẹn và tính bảo mật của các tài sản thông tin được lưu trữ trên thiết bị này.

Ví dụ, nếu một tổ chức không thực hiện bảo trì thường xuyên phần cứng máy chủ, tổ chức đó có thể không nhận ra rằng dung lượng đĩa đã đầy. Điều này có thể dẫn đến mất dữ liệu được truyền đến hoặc ra khỏi máy chủ.

Hơn nữa, nhân viên hoặc nhà cung cấp dịch vụ bên ngoài có thể truy cập vào thiết bị CNTT như một phần của quy trình bảo trì và điều này cũng có thể gây ra rủi ro cho tính bảo mật của thông tin nhạy cảm.

Ví dụ, nhà cung cấp dịch vụ bảo trì bên ngoài có thể truy cập vào thông tin nhạy cảm được lưu trữ trên máy tính xách tay hoặc cài đặt phần mềm độc hại vào thiết bị.

Kiểm soát 7.13 đề cập đến cách các tổ chức có thể thiết lập và triển khai các quy trình và biện pháp phù hợp để bảo trì thiết bị đúng cách, sao cho thông tin được lưu trữ trên thiết bị này không bị xâm phạm.

Mục đích của Kiểm soát 7.13

Kiểm soát 7.13 cho phép các tổ chức áp dụng các biện pháp và quy trình kỹ thuật cần thiết để thực hiện các hoạt động bảo trì phù hợp đối với thiết bị được sử dụng để lưu trữ tài sản thông tin.

Các biện pháp và quy trình này đảm bảo rằng thông tin tài sản không bị mất hoặc hư hỏng, và không có nguy cơ bị xâm phạm như truy cập trái phép.

Bảng Thuộc tính

Kiểm soát 7.13 là loại kiểm soát mang tính phòng ngừa, yêu cầu các tổ chức phải có biện pháp chủ động trong việc bảo trì thiết bị.

Điều này bao gồm việc phát hiện các rủi ro có thể phát sinh do thiếu bảo trì, thiết lập các quy trình bảo trì thiết bị có tính đến thông số kỹ thuật của từng thiết bị và áp dụng các biện pháp kiểm soát thích hợp để bảo vệ các tài sản thông tin được lưu trữ trên thiết bị này khỏi bị xâm phạm.

Loại điều khiểnThuộc tính bảo mật thông tinCác khái niệm về an ninh mạngKhả năng hoạt độngMiền bảo mật
#Phòng ngừa#Bảo mật
#Toàn vẹn
#Khả dụng		#Bảo vệ#An ninh vật lý
#Quản lý tài sản		#Bảo vệ
#Khả năng phục hồi

Quyền sở hữu kiểm soát 7.13

Việc tuân thủ Kiểm soát 7.13 bao gồm việc lập danh sách thiết bị, tiến hành đánh giá rủi ro dựa trên các yếu tố môi trường và thông số kỹ thuật sản phẩm, đồng thời thiết lập và triển khai các quy trình và biện pháp phù hợp để bảo trì đúng cách.

Mặc dù vai trò của những cá nhân xử lý thiết bị này hàng ngày rất quan trọng, nhưng người quản lý an ninh thông tin phải chịu trách nhiệm tuân thủ Kiểm soát 7.13.

Hướng dẫn chung về tuân thủ

Kiểm soát 7.13 liệt kê 11 khuyến nghị cụ thể mà các tổ chức cần xem xét:

  1. Quy trình bảo trì phải tuân thủ theo thông số kỹ thuật của nhà sản xuất thiết bị như tần suất bảo dưỡng được khuyến nghị.
  2. Các tổ chức nên thiết lập và áp dụng chương trình bảo trì cho tất cả các thiết bị.
  3. Chỉ những nhân viên được ủy quyền hoặc bên thứ ba mới được phép thực hiện các hoạt động bảo trì hoặc sửa chữa thiết bị.
  4. Các tổ chức nên tạo và duy trì hồ sơ về tất cả các thiết bị trục trặc và lỗi. Hơn nữa, hồ sơ này cũng nên bao gồm tất cả các hoạt động bảo trì được thực hiện trên thiết bị.
  5. Các tổ chức nên áp dụng các biện pháp phù hợp trong quá trình thực hiện bảo trì, cân nhắc xem việc bảo trì được thực hiện bởi nhân viên hay nhà cung cấp dịch vụ bên thứ ba. Ngoài ra, nhân viên có liên quan nên ký thỏa thuận bảo mật.
  6. Nhân viên thực hiện công việc bảo trì phải được giám sát mọi lúc.
  7. Công việc bảo trì từ xa phải tuân theo các thủ tục truy cập và ủy quyền nghiêm ngặt.
  8. Nếu thiết bị được mang ra khỏi cơ sở để bảo trì, các tổ chức phải áp dụng các biện pháp an ninh phù hợp theo Kiểm soát 7.9.
  9. Các tổ chức phải tuân thủ mọi yêu cầu do nhà cung cấp bảo hiểm đưa ra về cách thực hiện bảo trì.
  10. Các tổ chức nên kiểm tra thiết bị đã được bảo trì để đảm bảo thiết bị không bị can thiệp và hoạt động bình thường.
  11. Nếu thiết bị sẽ bị thải bỏ hoặc tái sử dụng, các tổ chức phải thiết lập và thực hiện các biện pháp và quy trình phù hợp có tính đến các yêu cầu nêu trong Kiểm soát 7.14.

Hướng dẫn bổ sung về Kiểm soát 7.14

Tiêu chuẩn 7.13 quy định rằng những điều sau đây được coi là thiết bị và nằm trong phạm vi của Tiêu chuẩn 7.13:

  1. Các thành phần kỹ thuật của cơ sở xử lý thông tin
  2. Pin
  3. Bình chữa cháy
  4. Thang máy
  5. Bộ chuyển đổi điện
  6. Máy điều hòa không khí
  7. Tài sản tương tự

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/7.13 thay thế 27002:2013/(11.2.4)

Phiên bản 2022 có các yêu cầu toàn diện hơn

So với phiên bản 2013, Control 7.13 trong Phiên bản 2022 đặt ra các yêu cầu toàn diện hơn. Trong khi phiên bản 2013 chỉ liệt kê sáu yêu cầu cụ thể, thì Control 7.13 có 11 yêu cầu.

Điều 7.13 giới thiệu năm yêu cầu sau đây, không được đề cập trong Phiên bản 2013:

  • Các tổ chức nên thiết lập và áp dụng chương trình bảo trì cho tất cả các thiết bị.
  • Nhân viên thực hiện công việc bảo trì phải được giám sát mọi lúc.
  • Công việc bảo trì từ xa phải tuân theo các thủ tục truy cập và ủy quyền nghiêm ngặt.
  • Nếu thiết bị sẽ bị thải bỏ hoặc tái sử dụng, các tổ chức phải thiết lập và thực hiện các biện pháp và quy trình phù hợp theo Kiểm soát 7.14.
  • Nếu thiết bị được mang ra khỏi cơ sở để bảo trì, các tổ chức phải áp dụng các biện pháp an ninh phù hợp theo Kiểm soát 7.9.

Phiên bản 2022 định nghĩa ‘Thiết bị’

Trong Hướng dẫn bổ sung, điều khiển 7.13 xác định những gì nằm trong phạm vi của ‘Thiết bị’. Ngược lại, Phiên bản 2013 không đề cập đến ý nghĩa của ‘Thiết bị’.

ISOA.vn giúp ích như thế nào

Với ISOA.vn , bạn sẽ có quyền truy cập vào bộ công cụ và tài nguyên đầy đủ để giúp quản lý Hệ thống quản lý bảo mật thông tin (ISMS) ISO 27001 của riêng bạn, cho dù bạn là người mới hay đã được chứng nhận.

Hơn nữa, ISOA.vn cung cấp các quy trình tự động giúp đơn giản hóa toàn bộ quy trình đánh giá. Các quy trình này tiết kiệm đáng kể thời gian quản trị so với các phương pháp làm việc khác.

Bạn sẽ có được sự khởi đầu thuận lợi với các chính sách và biện pháp kiểm soát ISO 27001 từ ISOA.vn.

Quy trình làm việc trực quan, công cụ, khuôn khổ, chính sách và biện pháp kiểm soát, tài liệu hướng dẫn và thực tế cũng như hướng dẫn thực tế giúp triển khai ISO 27001 dễ dàng bằng cách xác định phạm vi, xác định rủi ro và triển khai các biện pháp kiểm soát dựa trên thuật toán của chúng tôi – cho dù chúng được tạo từ đầu hay dựa trên các mẫu thông lệ tốt nhất trong ngành.

Hãy liên hệ với chúng tôi ngay hôm nay để lên lịch trình demo.

Điều khiển mới

 
Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.7MớiTình báo đe dọa
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
7.4MớiGiám sát an ninh vật lý
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.16MớiHoạt động giám sát
8.23MớiLọc web
8.28MớiMã hóa an toàn
 

Kiểm soát tổ chức

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.105.11, 05.1.2Chính sách bảo mật thông tin
5.206.1.1Vai trò và trách nhiệm bảo mật thông tin
5.306.1.2Phân chia nhiệm vụ
5.407.2.1Trách nhiệm quản lý
5.506.1.3Liên hệ với chính quyền
5.606.1.4Liên hệ với các nhóm lợi ích đặc biệt
5.7MớiTình báo đe dọa
5.806.1.5, 14.1.1An ninh thông tin trong quản lý dự án
5.908.11, 08.12Kiểm kê thông tin và các tài sản liên quan khác
5.1008.13, 08.2.3Việc sử dụng thông tin và các tài sản liên quan khác được chấp nhận
5.1108.1.4Trả lại tài sản
5.1208.2.1Phân loại thông tin
5.1308.2.2Ghi nhãn thông tin
5.1413.2.1, 13.2.2, 13.2.3Chuyển giao thông tin
5.1509.1.1, 09.1.2Kiểm soát truy cập
5.1609.2.1Quản lý danh tính
5.1709.2.4, 09.3.1, 09.4.3Thông tin xác thực
5.1809.2.2, 09.2.5, 09.2.6Quyền truy cập
5.1915.1.1Bảo mật thông tin trong mối quan hệ với nhà cung cấp
5.2015.1.2Xử lý vấn đề bảo mật thông tin trong các thỏa thuận với nhà cung cấp
5.2115.1.3Quản lý an ninh thông tin trong chuỗi cung ứng ICT
5.2215.2.1, 15.2.2Giám sát, xem xét và quản lý thay đổi các dịch vụ của nhà cung cấp
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.2416.1.1Lập kế hoạch và chuẩn bị quản lý sự cố an ninh thông tin
5.2516.1.4Đánh giá và quyết định về các sự kiện an ninh thông tin
5.2616.1.5Phản hồi sự cố an ninh thông tin
5.2716.1.6Rút kinh nghiệm từ các sự cố an ninh thông tin
5.2816.1.7Thu thập bằng chứng
5.2917.1.1, 17.1.2, 17.1.3An ninh thông tin trong thời gian gián đoạn
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
5.3118.1.1, 18.1.5Yêu cầu pháp lý, quy định, quy định và hợp đồng
5.3218.1.2Quyền sở hữu trí tuệ
5.3318.1.3Bảo vệ hồ sơ
5.3418.1.4Quyền riêng tư và bảo vệ PII
5.3518.2.1Đánh giá độc lập về an ninh thông tin
5.3618.2.2, 18.2.3Tuân thủ các chính sách, quy tắc và tiêu chuẩn về bảo mật thông tin
5.3712.1.1Quy trình vận hành được ghi chép lại

Kiểm soát con người

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
6.107.1.1Kiểm tra
6.207.1.2Điều khoản và điều kiện tuyển dụng
6.307.2.2Nhận thức, giáo dục và đào tạo về an ninh thông tin
6.407.2.3Quy trình kỷ luật
6.507.3.1Trách nhiệm sau khi chấm dứt hoặc thay đổi việc làm
6.613.2.4Thỏa thuận bảo mật hoặc không tiết lộ
6.706.2.2Làm việc từ xa
6.816.1.2, 16.1.3Báo cáo sự kiện bảo mật thông tin

Kiểm soát vật lý

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
7.111.1.1Chu vi an ninh vật lý
7.211.1.2, 11.1.6Nhập cảnh vật lý
7.311.1.3Bảo vệ văn phòng, phòng và cơ sở vật chất
7.4MớiGiám sát an ninh vật lý
7.511.1.4Bảo vệ chống lại các mối đe dọa về vật lý và môi trường
7.611.1.5Làm việc ở những khu vực an toàn
7.711.2.9Dọn dẹp bàn làm việc và màn hình sạch sẽ
7.811.2.1Vị trí và bảo vệ thiết bị
7.911.2.6Bảo vệ tài sản ngoài cơ sở
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Phương tiện lưu trữ
7.1111.2.2Tiện ích hỗ trợ
7.1211.2.3Bảo mật cắp
7.1311.2.4Bảo trì thiết bị
7.1411.2.7Xử lý an toàn hoặc tái sử dụng thiết bị

Kiểm soát công nghệ

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
8.106.2.1, 11.2.8Thiết bị đầu cuối của người dùng
8.209.2.3Quyền truy cập đặc quyền
8.309.4.1Hạn chế truy cập thông tin
8.409.4.5Truy cập vào mã nguồn
8.509.4.2Xác thực an toàn
8.612.1.3Quản lý năng lực
8.712.2.1Bảo vệ chống lại phần mềm độc hại
8.812.6.1, 18.2.3Quản lý lỗ hổng kỹ thuật
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.1312.3.1Sao lưu thông tin
8.1417.2.1Sự dư thừa của các cơ sở xử lý thông tin
8.1512.4.1, 12.4.2, 12.4.3Ghi nhật ký
8.16MớiHoạt động giám sát
8.1712.4.4Đồng bộ hóa đồng hồ
8.1809.4.4Sử dụng các chương trình tiện ích đặc quyền
8.1912.5.1, 12.6.2Cài đặt phần mềm trên hệ điều hành
8.2013.1.1Bảo mật mạng
8.2113.1.2Bảo mật dịch vụ mạng
8.2213.1.3Phân tách mạng lưới
8.23MớiLọc web
8.2410.11, 10.1.2Sử dụng mật mã
8.2514.2.1Vòng đời phát triển an toàn
8.2614.1.2, 14.1.3Yêu cầu bảo mật ứng dụng
8.2714.2.5Kiến trúc hệ thống an toàn và các nguyên tắc kỹ thuật
8.28MớiMã hóa an toàn
8.2914.2.8, 14.2.9Kiểm tra bảo mật trong quá trình phát triển và chấp nhận
8.3014.2.7Phát triển thuê ngoài
8.3112.1.4, 14.2.6Phân tách môi trường phát triển, thử nghiệm và sản xuất
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Quản lý thay đổi
8.3314.3.1Thông tin kiểm tra
8.3412.7.1Bảo vệ hệ thống thông tin trong quá trình kiểm tra kiểm toán

Nội dung

Bắt đầu với ISO 27002

Giải pháp tuân thủ duy nhất
bạn cần

Đặt Lịch Demo

Thành công 100% ISO 27001

Con đường đơn giản, thiết thực và tiết kiệm thời gian của bạn để đạt được chứng nhận hoặc tuân thủ ISO 27001 lần đầu tiên

Đặt Lịch Demo

Tiêu Chuẩn

Công Ty

Hỗ Trợ

Theo Dõi

Facebook Twitter Youtube

Bản quyền © 2025 ISO Academy

Đặt Lịch Demo