Kiểm tra kiểm toán đóng vai trò quan trọng trong việc phát hiện và loại bỏ các rủi ro và lỗ hổng bảo mật trong hệ thống thông tin.
Tuy nhiên, quá trình kiểm toán , dù được thực hiện trong môi trường vận hành, thử nghiệm hay phát triển, đều có thể khiến thông tin nhạy cảm có nguy cơ bị tiết lộ trái phép hoặc mất tính toàn vẹn và khả dụng.
Kiểm soát 8.34 đề cập đến cách các tổ chức có thể duy trì tính bảo mật của tài sản thông tin trong quá trình kiểm tra.
Mục đích của Kiểm soát 8.34
Kiểm soát 8.34 cho phép các tổ chức loại bỏ và giảm thiểu rủi ro đối với tính bảo mật của hệ thống thông tin và tính liên tục của hoạt động kinh doanh bằng cách thiết lập và áp dụng các biện pháp và kiểm soát phù hợp như hạn chế truy cập và giới hạn quyền truy cập chỉ đọc.
Bảng Thuộc tính
Kiểm soát 8.34 mang tính chất phòng ngừa vì nó yêu cầu ban quản lý cấp cao và kiểm toán viên phải lập kế hoạch và thống nhất về các thủ tục kiểm tra , hạn chế và kiểm soát kiểm toán trước khi tiến hành kiểm toán.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #Bảo mật hệ thống và mạng #Bảo vệ thông tin | #Quản trị và Hệ sinh thái #Bảo vệ |
Quyền sở hữu kiểm soát 8.34
Nhóm quản lý CNTT phải chịu trách nhiệm lập kế hoạch và thống nhất các thủ tục kiểm toán , đồng thời tạo ra và áp dụng các biện pháp cần thiết.
Hướng dẫn chung về tuân thủ
Tiêu chuẩn 8.34 liệt kê tám yêu cầu cụ thể mà các tổ chức cần cân nhắc:
- Ban quản lý phù hợp và kiểm toán viên phải thống nhất về quyền truy cập vào hệ thống và tài sản thông tin .
- Thỏa thuận về phạm vi thử nghiệm kiểm toán kỹ thuật cần thực hiện.
- Các tổ chức chỉ có thể cung cấp quyền truy cập chỉ đọc vào thông tin và phần mềm. Nếu không thể sử dụng kỹ thuật chỉ đọc, người quản trị có quyền truy cập cần thiết có thể truy cập vào hệ thống hoặc dữ liệu thay mặt cho kiểm toán viên.
- Nếu yêu cầu truy cập được cho phép, trước tiên các tổ chức phải xác minh rằng các thiết bị được sử dụng để truy cập hệ thống đáp ứng các yêu cầu bảo mật trước khi cung cấp quyền truy cập.
- Quyền truy cập chỉ nên được cung cấp cho các bản sao riêng biệt của các tệp được trích xuất từ hệ thống. Các bản sao này phải được xóa vĩnh viễn sau khi kiểm toán hoàn tất trừ khi có nghĩa vụ phải giữ lại các tệp đó. Nếu có thể truy cập chỉ đọc, thì biện pháp kiểm soát này không áp dụng.
- Yêu cầu của kiểm toán viên về việc thực hiện xử lý đặc biệt như triển khai các công cụ kiểm toán phải được ban quản lý chấp thuận.
- Nếu việc kiểm toán có nguy cơ ảnh hưởng đến tính khả dụng của hệ thống , việc kiểm toán nên được thực hiện ngoài giờ làm việc để duy trì tính khả dụng của thông tin.
- Các yêu cầu truy cập được thực hiện để kiểm tra phải được ghi lại để theo dõi kiểm tra.
Hướng dẫn bổ sung về Kiểm soát 8.34
Khi thực hiện kiểm toán trên môi trường thử nghiệm hoặc phát triển, các tổ chức cần thận trọng với những rủi ro sau:
- Vi phạm tính toàn vẹn của mã.
- Mất tính bảo mật của thông tin nhạy cảm.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022/8.34 thay thế 27002:2013/(12.7.1)
Mặc dù phiên bản 2022 khá giống với phiên bản 2013 nhưng vẫn có hai điểm khác biệt chính.
Phiên bản ISO 27002:2022 giới thiệu một yêu cầu mới
Phiên bản 2022 đưa ra yêu cầu sau đây không được đề cập trong phiên bản 2013:
Nếu yêu cầu truy cập được cho phép, trước tiên các tổ chức phải xác minh rằng các thiết bị được sử dụng để truy cập hệ thống đáp ứng các yêu cầu bảo mật trước khi cung cấp quyền truy cập.
Phiên bản 2022 đề cập đến Môi trường thử nghiệm và phát triển
Trong Hướng dẫn bổ sung, phiên bản 2022 cảnh báo các tổ chức về rủi ro bảo mật do kiểm toán được thực hiện trên môi trường thử nghiệm và phát triển. Ngược lại, phiên bản 2013 không đề cập đến môi trường thử nghiệm và phát triển.
