Việc thuê ngoài hệ thống CNTT và phát triển phần mềm cho các bên bên ngoài có nhiều lợi ích cho doanh nghiệp như giảm chi phí và khả năng mở rộng lớn hơn. Tuy nhiên, những hiệu quả này không nên đánh đổi bằng tính bảo mật.
Ví dụ, các nhà cung cấp dịch vụ bên ngoài có thể không áp dụng biện pháp kiểm soát truy cập chặt chẽ đối với mạng hoặc có thể không áp dụng mã hóa cấp ngành cho dữ liệu được lưu trữ trên đám mây, dẫn đến xâm phạm hệ thống CNTT và sản phẩm phần mềm.
Điều này có thể dẫn đến vi phạm dữ liệu và mất tính khả dụng, tính bảo mật hoặc tính toàn vẹn của tài sản thông tin.
Theo báo cáo của Trustwave , việc thuê ngoài phần mềm và phát triển CNTT đóng vai trò trong hơn 60% tổng số vụ vi phạm dữ liệu.
Xem xét rằng việc thuê ngoài chắc chắn sẽ dẫn đến mất kiểm soát đối với quy trình phát triển và khiến việc áp dụng và duy trì các yêu cầu bảo mật thông tin trở nên khó khăn hơn, các tổ chức nên đảm bảo rằng các bên bên ngoài tuân thủ các yêu cầu bảo mật thông tin do tổ chức đặt ra.
Mục đích của Kiểm soát 8.30
Kiểm soát 8.30 cho phép các tổ chức đảm bảo tuân thủ các yêu cầu bảo mật thông tin đã thiết lập khi hệ thống và phần mềm được phát triển bên ngoài cho các nhà cung cấp bên ngoài.
Thuộc tính của Kiểm soát 8.30
Kiểm soát 8.30 mang tính chất vừa phát hiện vừa phòng ngừa: Yêu cầu các tổ chức giám sát và theo dõi mọi hoạt động gia công ngoài và đảm bảo rằng quy trình phát triển gia công ngoài đáp ứng các yêu cầu về bảo mật thông tin.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa #Thám tử | #Bảo mật #Toàn vẹn #Khả dụng | #Xác định #Bảo vệ #Phát hiện | #Bảo mật hệ thống và mạng #Bảo mật ứng dụng #Bảo mật quan hệ nhà cung cấp | #Quản trị và Hệ sinh thái #Bảo vệ |
Quyền sở hữu kiểm soát 8.30
Giám đốc An ninh thông tin phải chịu trách nhiệm thiết lập và triển khai các quy trình và biện pháp kiểm soát cần thiết để đảm bảo các yêu cầu về an ninh thông tin được truyền đạt, đồng ý và tuân thủ bởi các nhà cung cấp bên ngoài.
Hướng dẫn chung về tuân thủ
Hướng dẫn chung nhấn mạnh rằng các tổ chức phải liên tục giám sát và xác minh rằng việc cung cấp công việc phát triển thuê ngoài đáp ứng các yêu cầu bảo mật thông tin áp dụng cho nhà cung cấp dịch vụ bên ngoài.
Tiêu chuẩn Control 8.30 khuyến nghị các tổ chức nên cân nhắc 11 yếu tố sau đây khi thuê ngoài hoạt động phát triển:
- Tham gia vào các thỏa thuận, bao gồm các thỏa thuận cấp phép, giải quyết vấn đề quyền sở hữu mã và quyền sở hữu trí tuệ.
- Áp dụng các yêu cầu hợp đồng phù hợp cho thiết kế và mã hóa an toàn theo Tiêu chuẩn kiểm soát 8.25 và 8.29.
- Thiết lập mô hình mối đe dọa để các nhà phát triển bên thứ ba áp dụng.
- Thực hiện quy trình kiểm tra nghiệm thu để đảm bảo chất lượng và độ chính xác của công việc được giao.
- Bằng chứng cho thấy khả năng bảo mật và quyền riêng tư tối thiểu đã đạt được. Điều này có thể đạt được thông qua báo cáo đảm bảo.
- Lưu giữ bằng chứng về việc đã thực hiện đủ các thử nghiệm cần thiết để bảo vệ hệ thống CNTT hoặc phần mềm được cung cấp khỏi nội dung độc hại.
- Lưu giữ bằng chứng về việc đã áp dụng đủ các thử nghiệm để bảo vệ chống lại các lỗ hổng đã xác định.
- Đưa ra các thỏa thuận ký quỹ bao gồm mã nguồn phần mềm. Ví dụ, có thể giải quyết những gì sẽ xảy ra nếu nhà cung cấp bên ngoài ngừng kinh doanh.
- Thỏa thuận với nhà cung cấp phải bao gồm quyền của tổ chức trong việc thực hiện kiểm toán các quy trình phát triển và kiểm soát.
- Thiết lập và triển khai các yêu cầu bảo mật cho môi trường phát triển.
- Các tổ chức cũng nên xem xét các luật, điều lệ và quy định hiện hành.
Hướng dẫn bổ sung
Để biết hướng dẫn chi tiết hơn về việc quản lý mối quan hệ với nhà cung cấp, các tổ chức có thể tham khảo ISO/IEC 27036.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022/8.30 thay thế 27002:2013/(14.2.7)
Nhìn chung, không có sự khác biệt đáng kể nào giữa hai phiên bản.
