Phiên bản mới của ISO27002 đã ban hành vào 10.2022. Có nhiều thay đổi về cấu trúc so với phiên bản cũ 2013. Bài viết này thể hiện rõ sự khác biệt nhất của các phiên bản, bên cạnh đó có đối chiếu tài liệu thông tư 09 của ngân hàng nhà nước 2020.

1. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
Soạn: Mr.Nguyen Dang Quang (Lead Auditor ISO/IEC27001:2022)
Phiên bản: 01
Ngày 25.03.2023
ÁNH XẠ CÁC KIỂM SOÁT
ISO27002:2022 & ISO27002:2013
& TT09
MAPPING ISO/IEC27002:2022 vs
ISO/IEC27001:2013
vs TT09/2020/NHNN

2. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN TÊN KIỂM SOÁT / CONTROL NAME
5,1 5.1.1, 5.1.2 Điều 6
Các chính sách an toàn thông tin /
Policies for information security
5,2 6.1.1
Các vai trò và các trách nhiệm an toàn thông tin /
Information security roles and responsibilities
5,3 6.1.2 Điều 13 – 3.b
Phân tách công việc, nhiệm vụ /
Segregation of duties
5,4 7.2.1 Điêu 20
Các trách nhiệm quản lý /
Management responsibilities
5,5 6.1.3
Liên lạc với cơ quan có thẩm quyền /
Contact with authorities
5,6 6.1.4
Liên lạc với các bên quan tâm đặc biệt /
Contact with special interest groups
5,7 New
Thông tin mối đe dọa /
Threat intelligence
5,8 6.1.5, 14.1.1
An toàn thông tin trong quản lý dự án /
Information security in project management
5,9 8.1.1, 8.1.2 Điều 7, 8, 9
Kiểm kê thông tin và các tài sản liên quan khác /
Inventory of information and other associated assets
5.10 8.1.3, 8.2.3 Điều 7, 8, 9
Chấp thuận sử dụng thông tin và các tài sản liên quan khác /
Acceptable use of information and other associated assets
5,11 8.1.4 Điều 7, 8, 9
Trả lại các tài sản /
Return of assets
5,12 8.2.1 Điều 4, 5
Phân loại thông tin /
Classification of information
5,13 8.2.2
Gán nhãn thông tin /
Labelling of information
5,14 13.2.1, 13.2.2, 13.2.3 Điều 24
Chuyển giao thông tin /
Information transfer
5,15 9.1.1, 9.1.2 Điều 28 , 31 Kiểm soát truy cập /

3. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
Access control
5,16 9.2.1 Điều 29 – 1.c
Quản lý danh tính /
Identity management
5,17 9.2.4, 9.3.1, 9.4.3 Điều 29
Xác thực thông tin /
Authentication information
5,18 9.2.2, 9.2.5, 9.2.6 Điều 30
Các quyền truy cập /
Access rights
5,19 15.1.1 Điều 32
An toàn thông tin trong các mối quan hệ với nhà cung cấp /
Information security in supplier relationships
5.20 15.1.2 Điều 32, 33
Giải quyết an toàn trong các thỏa thuận với nhà cung cấp /
Addressing information security within supplier agreements
5,21 15.1.3 Điều 36
Quản lý an toàn thông tin trong chuỗi cung ứng CNTT-TT /
Managing information security in the ICT supply chain
5,22 15.2.1, 15.2.2 Điều 36
Giám sát, xem xét và quản lý thay đổi các dịch vụ của nhà cung cấp /
Monitoring, review and change management of supplier services
5,23 New
Điều 33 – 2
Điêu 34
An toàn thông tin khi sử dụng dịch vụ đám mây /
Information security for use of cloud services
5,24 16.1.1 Điều 45, 46
Lập kế hoạch và chuẩn bị quản lý sự cố an toàn thông tin /
Information security incident management planning and preparation
5,25 16.1.4 Điều 46
Đánh giá và quyết định về các sự kiện an toàn thông tin /
Assessment and decision on information security events
5,26 16.1.5 Điều 48
Ứng phó các sự cố an toàn thông tin /
Response to information security incidents
5,27 16.1.6 Điều 47
Rút bài học kinh nghiệm từ các sự cố an toàn thông tin /
Learning from information security incidents
5,28 16.1.7 Điều 47
Thu thập chứng cứ /
Collection of evidence
5,29 17.1.1, 17.1.2, 17.1.3 Điều 49, 51, 52
An toàn thông tin trong thời gian gián đoạn /
Information security during disruption
5.30 New Điều 49, 51, 52
Sự sẵn sàng về CNTT-TT cho hoạt động kinh doanh liên tục /
ICT readiness for business continuity

4. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
5,31 18.1.1, 18.1.5
Các yêu cầu pháp lý, luật định, quy định và hợp đồng /
Legal, statutory, regulatory and contractual requirements
5,32 18.1.2
Quyền sở hữu trí tuệ (IPR) /
Intellectual property rights
5,33 18.1.3
Bảo vệ các hồ sơ /
Protection of records
5,34 18.1.4
Điều 4 – 3
Điều 5 – 3.a
Sự riêng tư và bảo vệ thông tin cá nhân /
Privacy and protection of PII
5,35 18.2.1 Điều 42
Xem xét độc lập về an toàn thông tin /
Independent review of information security
5,36 18.2.2, 18.2.3
Tuân thủ các chính sách, quy tắc và tiêu chuẩn về an toàn thông tin /
Compliance with policies, rules and standards for information security
5,37 12.1.1 Điều 20 - 1
Các quy trình vận hành được lập thành văn bản /
Documented operating procedures

5. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN CONTROL NAME
6,1 7.1.1
Sàng lọc, thẩm tra /
Screening
6,2 7.1.2 Điều 13, 14
Điều khoản và điều kiện tuyển dụng /
Terms and conditions of employment
6,3 7.2.2 Điều 14
Nhận thức, giáo dục và đào tạo về an toàn thông tin /
Information security awareness, education and training
6,4 7.2.3 Điều 15
Quá trình xử lý kỷ luật /
Disciplinary process
6,5 7.3.1 Điều 16
Các trách nhiệm sau khi chấm dứt hoặc thay đổi công việc /
Responsibilities after termination or change of employment
6,6 13.2.4 Điều 14 - 3
Thỏa thuận bảo mật hoặc không tiết lộ /
Confidentiality or non-disclosure agreements
6,7 6.2.2
Làm việc từ xa /
Remote working
6,8 16.1.2, 16.1.3 Điều 54
Báo cáo sự kiện an toàn thông tin /
Information security event reporting

6. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN CONTROL NAME
7,1 11.1.1 Điều 17, 18, 19
Vành đai an toàn vật lý /
Physical security perimeters
7,2 11.1.2, 11.1.6 Điều 17, 18, 19
Lối vào vật lý /
Physical entry
7,3 11.1.3 Điều 17, 18, 19
An toàn cho các văn phòng, các phòng và cơ sở vật chất /
Securing offices, rooms and facilities
7,4 New Điều 17, 18, 19
Giám sát an toàn vật lý /
Physical security monitoring
7,5 11.1.4
Bảo vệ chống lại các mối đe dọa vật lý và môi trường /
Protecting against physical and environmental threats
7,6 11.1.5
Làm việc trong khu vực an toàn /
Working in secure areas
7,7 11.2.9
Bàn làm việc gọn gàng và màn hình gọn gàng
Clear desk and clear screen
7,8 11.2.1
Bố trí và bảo vệ thiết bị /
Equipment siting and protection
7,9 11.2.6
An toàn cho các tài sản ngoài vành đai /
Security of assets off-premises
7.10
8.3.1, 8.3.2, 8.3.3,
11.2.5
Điều 12
Phương tiện lưu trữ /
Storage media
7,11 11.2.2
Các tiện ích hỗ trợ /
Supporting utilities
7,12 11.2.3
An toàn dây cáp /
Cabling security
7,13 11.2.4 Điều 44
Bảo trì thiết bị /
Equipment maintenance
7,14 11.2.7
An toàn khi loại bỏ và tái sử dụng thiết bị /
Secure disposal or re-use of equipment

7. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN CONTROL NAME
8,1 6.2.1, 11.2.8 Điều 11
Thiết bị đầu cuối của người dùng /
User endpoint devices
8,2 9.2.3
Quyền truy cập đặc quyền /
Privileged access rights
8,3 9.4.1
Hạn chế truy cập thông tin /
Information access restriction
8,4 9.4.5
Truy cập mã nguồn /
Access to source code
8,5 9.4.2
Xác thực an toàn /
Secure authentication
8,6 12.1.3
Quản lý năng lực /
Capacity management
8,7 12.2.1 Điều 27
Bảo vệ chống mã độc /
Protection against malware
8,8 12.6.1, 18.2.3 Điều 43
Quản lý lỗ hổng kỹ thuật /
Management of technical vulnerabilities
8,9 New Điều 26
Quản lý cấu hình /
Configuration management
8.10 New
Xóa thông tin /
Information deletion
8,11 New
Che giấu dư liệu /
Data masking
8,12 New
Chống rò rỉ dữ liệu /
Data leakage prevention
8,13 12.3.1 Điều 22
Sao lưu thông tin /
Information backup
8,14 17.2.1 Điều 50
Dự phòng các phương tiện xử lý thông tin /
Redundancy of information processing facilities
8,15 12.4.1, 12.4.2, 12.4.3 Điều 20 Nhật ký /

8. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
Logging
8,16 New Điều 26
Các hoạt động giám sát /
Monitoring activities
8,17 12.4.4
Đồng bộ hóa đồng hồ /
Clock synchronization
8,18 9.4.4
Sử dụng các chương trình tiện ích đặc quyền /
Use of privileged utility programs
8,19 12.5.1, 12.6.2 Điều 20
Cài đặt phần mềm trên các hệ thống vận hành /
Installation of software on operational systems
8.20 13.1.1 Điều 31
An toàn mạng /
Networks security
8,21 13.1.2 Điều 31
An toàn các dịch vụ mạng /
Security of network services
8,22 13.1.3 Điều 23
Phân tách các mạng /
Segregation of networks
8,23 New
Lọc Web /
Web filtering
8,24 10.1.1, 10.1.2 Điều 38, 39
Sử dụng mật mã /
Use of cryptography
8,25 14.2.1 Điều 40
Vòng đời phát triển an toàn /
Secure development life cycle
8,26 14.1.2, 14.1.3 Điều 25
Các yêu cầu an toàn ứng dụng /
Application security requirements
8,27 14.2.5 Điều 37
Kiến trúc hệ thống an toàn và các nguyên tắc kỹ thuật /
Secure system architecture and engineering principles
8,28 New
An toàn trong viết mã /
Secure coding
8,29 14.2.8, 14.2.9 Điều 21
Kiểm thử an toàn trong quá trình phát triển và bàn giao, nghiệm thu /
Security testing in development and acceptance
8.30 14.2.7
Phát triển thuê ngoài /
Outsourced development
8,31 12.1.4, 14.2.6 Điều 20
Phân tách môi trường phát triển, kiểm thử và sản xuất /
Separation of development, test and production environments

9. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
8,32
12.1.2, 14.2.2, 14.2.3,
14.2.4
Điều 41
Quản lý thay đổi /
Change management
8,33 14.3.1
Kiểm tra thông tin /
Test information
8,34 12.7.1
Bảo vệ các hệ thống thông tin trong quá trình đánh giá kiểm thử
Protection of information systems during audit testing

10. https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
 Các chương trình đào tạo định kỳ của chúng tôi tại :
o https://hqc-company.com/danh-muc-san-pham/chuong-trinh-dao-tao-tong-hop/
 Các lần tổ chức hội thảo trực tuyến chia sẽ kiến thức miễn phí tại :
o https://hqc-company.com/category/tin-tuc-hoi-thao/
 Nhận báo giá dịch vụ tư vấn tại :
o https://docs.google.com/forms/d/1YNA6C_HaD4FM5R-04bLNe5eo-EE97zuB4vXvNVnwk_8
 Nhận báo giá dịch vụ đánh giá tại :
o https://docs.google.com/forms/d/1YNA6C_HaD4FM5R-04bLNe5eo-EE97zuB4vXvNVnwk_8
 Nhận báo giá dịch vụ đào tạo tại :
o https://docs.google.com/forms/d/11Ef__8gmUW0EcH_0E6TbJQU50wma6AkTFifbhIrghJo
HQC Training Consultancy
Hotline: 0777.174.471
Website: https://hqc-company.com