Tối ưu hóa quá trình làm việc của bạn. Xem thêm
Đặt Lịch Demo

ISO 27002:2022, Kiểm soát 8.9 – Quản lý cấu hình

ISO 27002:2022 Kiểm soát được sửa đổi
Đặt Lịch Demo

Mục đích của Kiểm soát 8.9

Cấu hình – dù hoạt động như một tệp cấu hình duy nhất hay một nhóm các cấu hình được liên kết với nhau – là các tham số cơ bản chi phối cách quản lý phần cứng, phần mềm và thậm chí toàn bộ mạng.

Ví dụ, tệp cấu hình tường lửa sẽ lưu trữ các thuộc tính cơ bản mà thiết bị sử dụng để quản lý lưu lượng truy cập đến và đi từ mạng của tổ chức, bao gồm danh sách chặn, chuyển tiếp cổng, mạng LAN ảo và thông tin VPN.

Quản lý cấu hình là một phần không thể thiếu trong hoạt động quản lý tài sản rộng hơn của một tổ chức. Cấu hình đóng vai trò quan trọng trong việc đảm bảo rằng mạng không chỉ hoạt động như mong đợi mà còn bảo vệ thiết bị khỏi những thay đổi trái phép hoặc sửa đổi không chính xác từ phía nhân viên bảo trì và/hoặc nhà cung cấp.

Bảng Thuộc tính

Kiểm soát 8.9 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách thiết lập một loạt chính sách quản lý cách thức tổ chức lập tài liệu, triển khai, giám sát và xem xét việc sử dụng cấu hình trên toàn bộ mạng của mình.

Quyền sở hữu kiểm soát 8.9

Quản lý cấu hình chỉ là một nhiệm vụ hành chính liên quan đến việc duy trì và giám sát thông tin và dữ liệu về tài sản nằm trên nhiều thiết bị và ứng dụng. Do đó, quyền sở hữu phải thuộc về Trưởng phòng CNTT hoặc tổ chức tương đương.

Loại điều khiểnThuộc tính bảo mật thông tinCác khái niệm về an ninh mạngKhả năng hoạt độngMiền bảo mật
#Phòng ngừa#Bảo mật
#Toàn vẹn
#Khả dụng		#Bảo vệ#Cấu hình bảo mật#Sự bảo vệ

Hướng dẫn chung về tuân thủ

Nhìn chung, nhu cầu của tổ chức là soạn thảo và triển khai các chính sách quản lý cấu hình cho cả hệ thống và phần cứng mới, cũng như bất kỳ hệ thống và phần cứng nào đang được sử dụng. Kiểm soát nội bộ phải bao gồm các yếu tố quan trọng đối với doanh nghiệp như cấu hình bảo mật, tất cả phần cứng lưu trữ tệp cấu hình và bất kỳ ứng dụng hoặc hệ thống phần mềm nào có liên quan.

Kiểm soát 8.9 yêu cầu các tổ chức xem xét tất cả các vai trò và trách nhiệm có liên quan khi triển khai chính sách cấu hình, bao gồm quyền sở hữu được ủy quyền đối với các cấu hình trên từng thiết bị hoặc từng ứng dụng.

Hướng dẫn – Mẫu chuẩn

Khi có thể, các tổ chức nên sử dụng các mẫu chuẩn hóa để bảo mật tất cả phần cứng, phần mềm và hệ thống. Các mẫu nên:

  1. Cố gắng sử dụng hướng dẫn có sẵn công khai, dành riêng cho nhà cung cấp và/hoặc nguồn mở về cách cấu hình phần cứng và phần mềm tốt nhất.
  2. Đáp ứng các yêu cầu bảo mật tối thiểu cho thiết bị, ứng dụng hoặc hệ thống mà chúng áp dụng.
  3. Làm việc hài hòa với các nỗ lực bảo mật thông tin rộng hơn của tổ chức, bao gồm tất cả các biện pháp kiểm soát ISO có liên quan.
  4. Hãy ghi nhớ các yêu cầu kinh doanh riêng của tổ chức – đặc biệt là khi liên quan đến cấu hình bảo mật – bao gồm cả tính khả thi của việc áp dụng hoặc quản lý mẫu tại bất kỳ thời điểm nào.
  5. Được xem xét theo các khoảng thời gian thích hợp để đáp ứng các bản cập nhật hệ thống và/hoặc phần cứng hoặc bất kỳ mối đe dọa bảo mật nào đang tồn tại.

Hướng dẫn – Kiểm soát an ninh

Bảo mật là yếu tố quan trọng nhất khi áp dụng mẫu cấu hình hoặc sửa đổi mẫu hiện có theo hướng dẫn trên.

Khi xem xét các mẫu chuẩn để sử dụng trên toàn tổ chức, để giảm thiểu mọi rủi ro về bảo mật thông tin, các tổ chức nên:

  1. Giữ số lượng người dùng có quyền quản trị viên ở mức tối thiểu.
  2. Vô hiệu hóa mọi danh tính không sử dụng hoặc không cần thiết.
  3. Theo dõi chặt chẽ việc truy cập vào các chương trình bảo trì, ứng dụng tiện ích và cài đặt nội bộ.
  4. Đảm bảo đồng hồ được đồng bộ hóa để ghi lại cấu hình một cách chính xác và hỗ trợ cho bất kỳ cuộc điều tra nào trong tương lai.
  5. Thay đổi ngay lập tức mọi mật khẩu mặc định hoặc cài đặt bảo mật mặc định được cung cấp cùng với bất kỳ thiết bị, dịch vụ hoặc ứng dụng nào.
  6. Triển khai thời gian đăng xuất mặc định cho mọi thiết bị, hệ thống hoặc ứng dụng không hoạt động trong khoảng thời gian xác định.
  7. Đảm bảo rằng tất cả các yêu cầu cấp phép đã được đáp ứng (xem Kiểm soát 5.32).

Hướng dẫn – Quản lý và giám sát cấu hình

Tổ chức có trách nhiệm duy trì và lưu trữ cấu hình, bao gồm việc theo dõi mọi sửa đổi hoặc cài đặt mới, theo quy trình quản lý thay đổi đã công bố (xem Kiểm soát 8.32).

Nhật ký phải chứa thông tin nêu rõ:

  1. Ai sở hữu tài sản?
  2. Dấu thời gian cho lần thay đổi cấu hình mới nhất.
  3. Phiên bản hiện tại của mẫu cấu hình.
  4. Bất kỳ thông tin có liên quan nào giải thích mối quan hệ giữa tài sản với cấu hình được lưu giữ trên các thiết bị hoặc hệ thống khác.

Các tổ chức nên triển khai nhiều kỹ thuật khác nhau để giám sát hoạt động của các tệp cấu hình trên toàn mạng của họ, bao gồm:

  1. Tự động hóa.
  2. Chương trình bảo trì cấu hình chuyên biệt.
  3. Công cụ hỗ trợ từ xa tự động điền thông tin cấu hình theo từng thiết bị.
  4. Tiện ích quản lý phần mềm và thiết bị doanh nghiệp được thiết kế để theo dõi lượng lớn dữ liệu cấu hình cùng một lúc.
  5. Phần mềm BUDR tự động sao lưu cấu hình vào vị trí an toàn và khôi phục mẫu từ xa hoặc tại chỗ trên các thiết bị bị xâm phạm và/hoặc trục trặc.

Các tổ chức nên cấu hình phần mềm chuyên dụng để theo dõi mọi thay đổi trong cấu hình thiết bị và thực hiện hành động thích hợp để giải quyết sửa đổi càng sớm càng tốt, bằng cách xác thực thay đổi hoặc khôi phục cấu hình về trạng thái ban đầu.

Hướng dẫn hỗ trợ

  • 5.32
  • 8.32

Những thay đổi và khác biệt so với ISO 27002:2013

Không có. Kiểm soát 8.9 chưa có tiền lệ trong ISO 27002:2013 vì nó là mới.

ISOA.vn giúp ích như thế nào

Với ISOA.vn , bạn sẽ có quyền truy cập vào bộ công cụ và tài nguyên đầy đủ để giúp quản lý Hệ thống quản lý bảo mật thông tin (ISMS) ISO 27001 của riêng bạn, cho dù bạn là người mới hay đã được chứng nhận.

Hơn nữa, ISOA.vn cung cấp các quy trình tự động giúp đơn giản hóa toàn bộ quy trình đánh giá. Các quy trình này tiết kiệm đáng kể thời gian quản trị so với các phương pháp làm việc khác.

Bạn sẽ có được sự khởi đầu thuận lợi với các chính sách và biện pháp kiểm soát ISO 27001 từ ISOA.vn.

Quy trình làm việc trực quan, công cụ, khuôn khổ, chính sách và biện pháp kiểm soát, tài liệu hướng dẫn và thực tế cũng như hướng dẫn thực tế giúp triển khai ISO 27001 dễ dàng bằng cách xác định phạm vi, xác định rủi ro và triển khai các biện pháp kiểm soát dựa trên thuật toán của chúng tôi – cho dù chúng được tạo từ đầu hay dựa trên các mẫu thông lệ tốt nhất trong ngành.

Hãy liên hệ với chúng tôi ngay hôm nay để lên lịch trình demo.

Điều khiển mới

 
Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.7MớiTình báo đe dọa
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
7.4MớiGiám sát an ninh vật lý
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.16MớiHoạt động giám sát
8.23MớiLọc web
8.28MớiMã hóa an toàn
 

Kiểm soát tổ chức

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.105.11, 05.1.2Chính sách bảo mật thông tin
5.206.1.1Vai trò và trách nhiệm bảo mật thông tin
5.306.1.2Phân chia nhiệm vụ
5.407.2.1Trách nhiệm quản lý
5.506.1.3Liên hệ với chính quyền
5.606.1.4Liên hệ với các nhóm lợi ích đặc biệt
5.7MớiTình báo đe dọa
5.806.1.5, 14.1.1An ninh thông tin trong quản lý dự án
5.908.11, 08.12Kiểm kê thông tin và các tài sản liên quan khác
5.1008.13, 08.2.3Việc sử dụng thông tin và các tài sản liên quan khác được chấp nhận
5.1108.1.4Trả lại tài sản
5.1208.2.1Phân loại thông tin
5.1308.2.2Ghi nhãn thông tin
5.1413.2.1, 13.2.2, 13.2.3Chuyển giao thông tin
5.1509.1.1, 09.1.2Kiểm soát truy cập
5.1609.2.1Quản lý danh tính
5.1709.2.4, 09.3.1, 09.4.3Thông tin xác thực
5.1809.2.2, 09.2.5, 09.2.6Quyền truy cập
5.1915.1.1Bảo mật thông tin trong mối quan hệ với nhà cung cấp
5.2015.1.2Xử lý vấn đề bảo mật thông tin trong các thỏa thuận với nhà cung cấp
5.2115.1.3Quản lý an ninh thông tin trong chuỗi cung ứng ICT
5.2215.2.1, 15.2.2Giám sát, xem xét và quản lý thay đổi các dịch vụ của nhà cung cấp
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.2416.1.1Lập kế hoạch và chuẩn bị quản lý sự cố an ninh thông tin
5.2516.1.4Đánh giá và quyết định về các sự kiện an ninh thông tin
5.2616.1.5Phản hồi sự cố an ninh thông tin
5.2716.1.6Rút kinh nghiệm từ các sự cố an ninh thông tin
5.2816.1.7Thu thập bằng chứng
5.2917.1.1, 17.1.2, 17.1.3An ninh thông tin trong thời gian gián đoạn
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
5.3118.1.1, 18.1.5Yêu cầu pháp lý, quy định, quy định và hợp đồng
5.3218.1.2Quyền sở hữu trí tuệ
5.3318.1.3Bảo vệ hồ sơ
5.3418.1.4Quyền riêng tư và bảo vệ PII
5.3518.2.1Đánh giá độc lập về an ninh thông tin
5.3618.2.2, 18.2.3Tuân thủ các chính sách, quy tắc và tiêu chuẩn về bảo mật thông tin
5.3712.1.1Quy trình vận hành được ghi chép lại

Kiểm soát con người

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
6.107.1.1Kiểm tra
6.207.1.2Điều khoản và điều kiện tuyển dụng
6.307.2.2Nhận thức, giáo dục và đào tạo về an ninh thông tin
6.407.2.3Quy trình kỷ luật
6.507.3.1Trách nhiệm sau khi chấm dứt hoặc thay đổi việc làm
6.613.2.4Thỏa thuận bảo mật hoặc không tiết lộ
6.706.2.2Làm việc từ xa
6.816.1.2, 16.1.3Báo cáo sự kiện bảo mật thông tin

Kiểm soát vật lý

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
7.111.1.1Chu vi an ninh vật lý
7.211.1.2, 11.1.6Nhập cảnh vật lý
7.311.1.3Bảo vệ văn phòng, phòng và cơ sở vật chất
7.4MớiGiám sát an ninh vật lý
7.511.1.4Bảo vệ chống lại các mối đe dọa về vật lý và môi trường
7.611.1.5Làm việc ở những khu vực an toàn
7.711.2.9Dọn dẹp bàn làm việc và màn hình sạch sẽ
7.811.2.1Vị trí và bảo vệ thiết bị
7.911.2.6Bảo vệ tài sản ngoài cơ sở
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Phương tiện lưu trữ
7.1111.2.2Tiện ích hỗ trợ
7.1211.2.3Bảo mật cắp
7.1311.2.4Bảo trì thiết bị
7.1411.2.7Xử lý an toàn hoặc tái sử dụng thiết bị

Kiểm soát công nghệ

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
8.106.2.1, 11.2.8Thiết bị đầu cuối của người dùng
8.209.2.3Quyền truy cập đặc quyền
8.309.4.1Hạn chế truy cập thông tin
8.409.4.5Truy cập vào mã nguồn
8.509.4.2Xác thực an toàn
8.612.1.3Quản lý năng lực
8.712.2.1Bảo vệ chống lại phần mềm độc hại
8.812.6.1, 18.2.3Quản lý lỗ hổng kỹ thuật
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.1312.3.1Sao lưu thông tin
8.1417.2.1Sự dư thừa của các cơ sở xử lý thông tin
8.1512.4.1, 12.4.2, 12.4.3Ghi nhật ký
8.16MớiHoạt động giám sát
8.1712.4.4Đồng bộ hóa đồng hồ
8.1809.4.4Sử dụng các chương trình tiện ích đặc quyền
8.1912.5.1, 12.6.2Cài đặt phần mềm trên hệ điều hành
8.2013.1.1Bảo mật mạng
8.2113.1.2Bảo mật dịch vụ mạng
8.2213.1.3Phân tách mạng lưới
8.23MớiLọc web
8.2410.11, 10.1.2Sử dụng mật mã
8.2514.2.1Vòng đời phát triển an toàn
8.2614.1.2, 14.1.3Yêu cầu bảo mật ứng dụng
8.2714.2.5Kiến trúc hệ thống an toàn và các nguyên tắc kỹ thuật
8.28MớiMã hóa an toàn
8.2914.2.8, 14.2.9Kiểm tra bảo mật trong quá trình phát triển và chấp nhận
8.3014.2.7Phát triển thuê ngoài
8.3112.1.4, 14.2.6Phân tách môi trường phát triển, thử nghiệm và sản xuất
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Quản lý thay đổi
8.3314.3.1Thông tin kiểm tra
8.3412.7.1Bảo vệ hệ thống thông tin trong quá trình kiểm tra kiểm toán

Nội dung

Bắt đầu với ISO 27002

Giải pháp tuân thủ duy nhất
bạn cần

Đặt Lịch Demo

Thành công 100% ISO 27001

Con đường đơn giản, thiết thực và tiết kiệm thời gian của bạn để đạt được chứng nhận hoặc tuân thủ ISO 27001 lần đầu tiên

Đặt Lịch Demo

Tiêu Chuẩn

Công Ty

Hỗ Trợ

Theo Dõi

Facebook Twitter Youtube

Bản quyền © 2025 ISO Academy

Đặt Lịch Demo