Những thay đổi đối với hệ thống thông tin như thay thế thiết bị mạng, tạo phiên bản cơ sở dữ liệu mới hoặc nâng cấp phần mềm thường là cần thiết để cải thiện hiệu suất, giảm chi phí và nâng cao hiệu quả.
Tuy nhiên, những thay đổi đối với các cơ sở và hệ thống xử lý thông tin, nếu không được triển khai đúng cách, có thể dẫn đến nguy cơ xâm phạm các tài sản thông tin được lưu trữ hoặc xử lý tại các cơ sở này.
Kiểm soát 8.32 đề cập đến cách các tổ chức có thể thiết lập và áp dụng các quy trình quản lý thay đổi để theo dõi, xem xét và kiểm soát những thay đổi được thực hiện đối với các cơ sở và hệ thống xử lý thông tin.
Mục đích của Kiểm soát 8.32
Kiểm soát 8.32 cho phép các tổ chức duy trì tính bảo mật của tài sản thông tin khi thực hiện thay đổi trên các cơ sở và hệ thống xử lý thông tin bằng cách thiết lập, triển khai và quản lý các quy tắc và thủ tục quản lý thay đổi.
Bảng Thuộc tính
Kiểm soát 8.32 mang tính phòng ngừa. Nó yêu cầu các tổ chức phải xác định, lập tài liệu, chỉ định và thực thi các quy trình kiểm soát thay đổi chi phối toàn bộ vòng đời của hệ thống thông tin, từ thiết kế ban đầu đến triển khai và sử dụng.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Bảo mật ứng dụng #Bảo mật hệ thống và mạng | #Sự bảo vệ |
Quyền sở hữu kiểm soát 8.32
Xem xét rằng việc tuân thủ Kiểm soát 8.32 đòi hỏi phải thiết lập và thực thi các quy trình kiểm soát thay đổi áp dụng cho mọi giai đoạn trong vòng đời của hệ thống thông tin, các giám đốc an ninh thông tin, với sự hỗ trợ của các chuyên gia trong lĩnh vực, phải chịu trách nhiệm thiết kế và thực thi các quy trình này.
Hướng dẫn chung về tuân thủ
Mọi thay đổi lớn đối với hệ thống thông tin và việc đưa vào hệ thống mới phải tuân theo một bộ quy tắc và thủ tục đã được thống nhất. Những thay đổi này phải được chỉ định và ghi chép chính thức. Hơn nữa, chúng phải trải qua các quy trình kiểm tra và kiểm soát chất lượng.
Để đảm bảo mọi thay đổi đều tuân thủ các quy tắc và tiêu chuẩn kiểm soát thay đổi, các tổ chức phải phân công trách nhiệm quản lý cho ban quản lý phù hợp và phải đề ra các quy trình cần thiết.
Kiểm soát 8.32 liệt kê chín yếu tố cần có trong quy trình quản lý thay đổi:
- Các tổ chức nên lập kế hoạch và đo lường tác động có thể xảy ra của những thay đổi đã lên kế hoạch, đồng thời tính đến mọi sự phụ thuộc.
- Thực hiện kiểm soát ủy quyền cho những thay đổi.
- Thông báo cho các bên liên quan trong và ngoài nước về những thay đổi đã được lên kế hoạch.
- Thiết lập và triển khai các quy trình thử nghiệm và thử nghiệm chấp nhận đối với các thay đổi theo Kiểm soát 8.29.
- Những thay đổi sẽ được thực hiện như thế nào, bao gồm cả cách chúng sẽ được triển khai trong thực tế.
- Thiết lập các kế hoạch và thủ tục khẩn cấp và dự phòng. Điều này cũng có thể bao gồm việc thiết lập một thủ tục dự phòng.
- Lưu giữ hồ sơ về mọi thay đổi và hoạt động liên quan, bao gồm tất cả các hoạt động được liệt kê ở trên (1 đến 6).
- Tài liệu vận hành theo yêu cầu trong Kiểm soát 5.37 và quy trình của người dùng được xem xét và cập nhật để phản ánh những thay đổi.
- Các kế hoạch liên tục về ICT và các quy trình phục hồi và ứng phó cần được xem xét và sửa đổi để phản ánh những thay đổi.
Cuối cùng, cần lưu ý rằng các tổ chức nên tích hợp các quy trình kiểm soát thay đổi cho phần mềm và cơ sở hạ tầng ICT ở mức độ tối đa có thể.
Hướng dẫn bổ sung về Kiểm soát 8.32
Những thay đổi trong môi trường sản xuất như hệ điều hành và cơ sở dữ liệu có thể làm giảm tính toàn vẹn và tính khả dụng của các ứng dụng, đặc biệt là việc chuyển phần mềm từ môi trường phát triển sang môi trường sản xuất.
Một rủi ro khác mà các tổ chức nên thận trọng là việc thay đổi phần mềm trong môi trường sản xuất có thể gây ra hậu quả không mong muốn.
Để ngăn ngừa những rủi ro này, các tổ chức nên thực hiện thử nghiệm các thành phần ICT trong môi trường tách biệt với môi trường phát triển và sản xuất.
Điều này sẽ cho phép các tổ chức kiểm soát tốt hơn phần mềm mới và sẽ cung cấp thêm một lớp bảo vệ cho dữ liệu thực tế được sử dụng cho mục đích thử nghiệm. Lớp bảo vệ bổ sung này có thể đạt được thông qua các bản vá và gói dịch vụ.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022/8.32 thay thế 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Nhìn chung, phiên bản năm 2013 mang tính quy định chặt chẽ hơn so với phiên bản năm 2022 về các yêu cầu đối với quy trình kiểm soát thay đổi.
Có ba điểm khác biệt chính cần được nêu bật giữa hai phiên bản.
Phiên bản ISO 27002:2013 chi tiết hơn về những gì ‘Quy trình thay đổi’ cần bao gồm
Cả phiên bản 27002:2022 và 27002:2013 đều liệt kê những nội dung mà “quy trình thay đổi” cần bao gồm theo cách không đầy đủ.
Tuy nhiên, phiên bản năm 2013 có chứa những yếu tố sau đây không được đề cập trong phiên bản năm 2022:
- Mã quan trọng về bảo mật cần được xác định và xem xét để khắc phục lỗ hổng.
- Các tổ chức nên duy trì kiểm soát phiên bản cho tất cả các bản cập nhật được triển khai trên phần mềm.
- Các tổ chức nên xác định và lập danh sách tất cả các thành phần phần cứng và phần mềm cần sửa đổi và cập nhật.
Phiên bản 2013 đã giải quyết ‘Những thay đổi đối với nền tảng vận hành’
Tiêu chuẩn kiểm soát 14.2.3 trong phiên bản 27002:2013 đề cập đến cách các tổ chức có thể giảm thiểu những tác động tiêu cực và gián đoạn đối với hoạt động kinh doanh khi có thay đổi đối với hệ điều hành.
Ngược lại, phiên bản 27002:2022 không bao gồm các yêu cầu cho những thay đổi như vậy.
Phiên bản 2013 đã giải quyết ‘Những thay đổi đối với các gói phần mềm’
Kiểm soát 14.2.4 trong phiên bản 27002:2013 đã giải quyết ‘Những thay đổi đối với Gói phần mềm’. Ngược lại, phiên bản 27002:2022 không chứa các yêu cầu đối với những thay đổi như vậy.
