Phần 1: Hướng dẫn hệ thống quản lý an toàn thông tin chính phủ
1. Giới thiệu
Sổ tay hướng dẫn Hệ thống quản lý an toàn thông tin chính phủ (The Government
Information Security Management System Manual) kiểm tra và thực hiện như 1
phần của Hệ thống quản lý an toàn thông tin chính phủ, dưới chính sách Hệ thống
quản lý an toàn thông tin chính phủ, được công khai bởi thủ tướng chính phủ,
người đứng đầu chính phủ.
2. Phạm vi
Áp dụng cho tất cả các cơ quan tổ chức sau:
3. Tài liệu viện dẫn, thuật ngữ và định nghĩa
3.1 Tài liệu viện dẫn
ISO/ISE 27001:2005– Công nghệ thông tin – Các phương pháp kỹ thuật an toàn –
Hệ thống quản lý an toàn thông tin– Các yêu cầu.
3.2 Các thuật ngữ và định nghĩa
Hệ thống quản lý an toàn thông tin (ISMS)
Hệ thống quản lý an toàn thông tin cho chính phủ (Government Information
Security Management System – GISMS):
Là hệ thống quản lý an toàn thông tin (ISMS) cho chính phủ. ISMS được tham
chiếu từ tiêu chuẩn ISO/IEC 27001.
Cơ quan an toàn thông tin chính phủ (Government information security
Office – GIS Office):
Là cơ quan chịu trách nhiệm thiết lập chính sách, tiêu chuẩn và hướng dẫn cho Hệ
thống quản lý an toàn thông tin cho chính phủ.
Lãnh đạo an toàn thông tin (Chief Information Security Officer - CISO):
Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước Bộ.
Cán bộ quản lý an toàn thông tin (IS Manager)
Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm trong cả 2: sổ
tay hướng dẫn hệ thống quản lý an toàn thông tin và Sách nguyên tắc an toàn hệ
thống thông tin chính phủ
Sách kiểm tra rủi ro (Risk Check Book):
Là một loại sách kiểm tra để định nghĩa tài sản thông tin, đánh giá tài sản thông tin,

them trong Sách kiểm tra rủi ro.
Bước 1: Xác định tài sản
Xác định tài sản. Sách kiểm tra rủi ro đưa ra 6 tài sản mặc định, 4 tài sản
khác như phương tiện, giấy tờ, PC khách, mạng và tài sản máy chủ được
được xác định bởi cơ quan cho mỗi lần để tự kiểm tra.
Bước 2: Đánh giá tài sản
Bước tiếp theo để đánh giá tài sản. Có 3 thuộc tính của thông tin: bí mật,
toàn vẹn và sẵn sàng. Chọn 1 lớp theo các tiêu chuẩn được thể hiện dưới
đây:
1: Đánh giá tính bí mật
# Lớp Đánh giá Mô tả
C1 1:Chung 1 Tài sản thông tin mở công khai
C2 2:Nội bộ 2
Thông tin chỉ được sử dụng trong điều hành
nghiệp vụ của chính phủ
C3 5: Bí mật 5
Tính bí mật trong số người dùng có thẩm
quyền đã bị giới hạn
2: Đánh giá tính nguyên vẹn
# Lớp Đánh giá Mô tả
I1 1:Thấp 1
Không ảnh hưởng đến tính liên tục nghiệp vụ
bằng cách giả mạo
I2
2:Trung
bình
3 Chi phí điều hành tác động bằng cách giả mạo
I3 Cao 5 Tác động chính trị bằng cách giả mạo
3: Đánh giá tính sẵn sàng
# Lớp Đánh giá Mô tả

3:Cao 3
13 đến
15
Tài sản có tác động to lớn trong 1 quản trị
chung
Bước 3: Kiểm tra tài sản
Kiểm tra tài sản. Chọn là Có hoặc Không cho mỗi lần kiểm tra
(Kiểm tra các mục của máy tính cá nhân PC)
 Phân công một người sử dụng chính ở mức tối thiểu cho tất cả máy
tính cá nhân.
 Sử dụng 1 mật khẩu mạnh và thay đổi 1 cách có định kỳ.
 Cấm chia sẻ tài khoản và mật khẩu người dùng với một vài người.
 Xóa màn hình hiển thị bằng chức năng bảo vệ màn hình có cả mật
khẩu bảo vệ
 Quét các ổ chứa địa phương với phần mềm chống virus một cách
định kỳ
 Sử dụng chức năng phát hiện virus một cách tự động thường xuyên
 Cập nhật file nhận dạng virus một cách thường xuyên
 Giữ các bản ghi quét và cập nhật nhận dạng virus
 Kết nối với UPS cho tất cả các máy tính cá nhân
 Thực thi xóa, định dạng các thiết bị lưu trữ
Bước 4: Đánh giá rủi ro
Đánh giá mối hiểm họa và điểm yếu để áp dụng cho tiêu chuẩn. Với mỗi
kiểm tra có ví dụ của mối đe dọa trong 1 cột chú thích để nhận dạng dễ
dàng hơn cho các mối đe dọa đặc trưng.
6: Đánh giá mối đe dọa
# Lớp Đánh giá Mô tả
T1 1:Thấp 1 Khả năng các mối đe dọa xảy ra là thấp
T2 2:Trung bình 2 Khả năng các mối đe dọa xảy ra là trung bình
T3 Cao 3 Khả năng các mối đe dọa xảy ra là cao

giảm nhẹ rủi ro . Do đó, cần thiết phải phát triển Sách nguyên tắc an toàn
thông tin. Sau khi quyết định sử dụng các biện pháp và tiến hành các xử
lý những danh mục rủi ro, đánh giá rủi ro lần nữa và chắc chắn tất cả các
danh mục kiểm tra được đánh giá ở mức “Thấp”.
4.1.4 Phát triển sách nguyên tắc đảm bảo an toàn thông tin chính phủ
Sách nguyên tắc đảm bảo an toàn thông tin chính phủ được định nghĩa
bởi Bộ. Dựa trên kết quả đánh giá rủi ro, xử lý chủ yếu để xác định các
nguyên tắc và thủ tục để làm giảm rủi ro đã được bộc lộ. Sách nguyên tắc
đảm bảo an toàn thông tin chính phủ cần phải chứa 5 nội dung sau: Xác
định phạm vi của 1 hệ thống quản lý an toàn thông tin, Tổ chức an toàn
thông tin, Nguyên tắc và các thủ tục, Đào tạo an toàn thông tin và Đo
lường kiểm tra và hành động. Mẫu Sách nguyên tắc đảm bảo an toàn
thông tin chính phủ cho 1 Bộ bắt buộc phải sử dụng, vai trò của cơ quan
an toàn thông tin chính phủ GIS được mô tả trong chương 5 Quản lý
trách nhiệm. 3 Bước tiếp theo được giải thích để phát triển sách an toàn
thông tin chính phủ.
4.1.5 Xác định phạm vi của hệ thống quản lý an toàn thông tin trong sách
nguyên tắc đảm bảo an toàn thông tin chính phủ
Phạm vi của hệ thống quản lý an toàn thông tin ở chương 4.1.2 được tài
liệu hóa trong Sách nguyên tắc đảm bảo an toàn thông tin chính phủ, nơi
để nghị để làm rõ các tài sản thông tin và liên quan đến địa điểm vật lý /
tổ chức/cơ quan được đưa ra trong mẫu sách nguyên tắc.
4.1.5.1. Xác định nguyên tắc/thủ tục không áp dụng trọng mẫu sách
nguyên tắc
Các nguyên tắc và thủ tục dựa trên tài sản thông tin và phạm vi tính bí
mật của từng Bộ, không cần xác định trừ khi tài sản thông tin đích tồn
tại trong phạm vi này.
4.1.5.2. Xác định các nguyên tắc và thủ tục trong sách nguyên tắc
mẫu
Sách cần thiết xác định được an toàn hơn nếu số lượng thông tin trong 1

triển khai cũng như yêu cầu phải tìm những phát sinh để lưu trữ các mức rủi ro
trong quy trình lập kế hoạch và soát xét các mức độ chấp nhận được của rủi ro. Kết
quả của đánh giá rủi ro phải được cập nhật trong Sách nguyên tắc rủi ro.
Thường xuyên kiểm và hành động phải được định nghĩa trong Sách nguyên tắc
đảm bảo an toàn thông tin chính phủ, tuy nhiên cần phải thực hiên ít nhất 1 lần
trong 1 năm hoặc hơn nữa.
4.4 Hành động (duy trì và cải tiến)
Kết quả của phép đo lường và kiểm toán nội bộ để quyết định hành động để cải
tiến hiệu năng của hệ thống quản lý an toàn thông tin và tối ưu mức chấp nhận
được của các rủi ro. Các hành động không chỉ là cải tiến cho nguyên tắc và quy
trình nhưng cũng cần xử lý để thiết lập phần cứng/phần mềm mới để bảo vệ cho hệ
thống/mạng. Những hành động này có thể dẫn đến bãi bỏ 1 số nguyên tắc để thủ
tục phù hợp với sự thay đổi của Bộ và điều hành nghiệp vụ.
4.5 Kiểm soát tài liệu
Phần này định nghĩa cấu trúc tài liệu, quyền hạn, hiệu chỉnh, sự phân tán, truy cập
của hệ thống quản lý an toàn thông tin chính phủ GISMS.
4.5.1 Cấu trúc tài liệu và quyền
Hệ thống quản lý an toàn thông tin chính phủ GISMS có 4 tài liệu chính
1) Chính sách GISMS
2) Sổ tay hướng dẫn GISMS
Đó là những bản nháp của cơ quan GIS, được soát xét bởi ủy ban GCIO và
được xác thực bởi chủ tịch GCIO. Chính sách GISMS được công bố bởi
người đứng đầu của chính phủ.
3) Sách kiểm tra rủi ro
Những danh mục kiểm tra được nháp bởi cơ quan GIS, được soát xét và xác
thực bởi ủy ban GCIO.
4) Sách nguyên tắc đảm bảo an toàn thông tin chính phủ
Đây là sách được xây dựng bởi Bộ. Mẫu Sách nguyên tắc GIS, là được xây
dựng dựa trên những giá trị đánh giá rủi ro mặc định của hình thức Sách
kiểm tra rủi ro được nháp bởi cơ quan GIS, được xác nhận bởi người đứng

tin của cơ quan an toàn thông tin, và số của bản ghi là được xác định duy
nhất.
Các bản ghi thường chứa các thông tin bí mật (ví dụ: địa chỉ IP của server,
thông tin riêng tư cá nhân), và yêu cầu cẩn thận khi xử lý.
5. Trách nhiệm quản lý
5.1 Ủy ban quản lý
Người quản lý đứng đầu chính phủ phải có trách nhiệm thiết lập, triển khai,
giám sát và duy trì ISMS để đảm bảo quyền quản trị liên tục của chính phủ và
làm giảm nhỏ nhất thiệt hại của rủi ro bằng cách ngăn chặn các sự cố an toàn
và giảm tác động tiềm ẩn của chúng bằng các chính sách của GISMS
Người quản lý sẽ có trách nhiệm trực tiếp để triển khai ISMS và đặc biệt để
đảm bảo nhân viên tuân thủ theo từng vị trí của họ trong cơ quan.
5.2 Tổ chức an toàn thông tin chính phủ
Ban quản lý cao nhất của từng tổ chức chính phủ sẽ chỉ định cho lãnh đạo an
toàn thông tin (CISO) và người đó sẽ thiết lập cơ quan an toàn thông tin (IS
Office).
5.3 Phát triển năng lực
Năng lực an toàn thông tin được nhận biết và nâng cao bởi ban quản lý của cơ
quan an toàn thông tin chính phủ như là 1 tâm điểm của sự xuất sắc
Các lĩnh vực của năng lực an toàn thông tin:
1. Hệ thống quản lý an toàn thông tin
2. An toàn kiến trúc hạ tầng mạng
3. An toàn ứng dụng
4. An toàn hệ điều hành
5. Tường lửa
6. Phát hiện xâm nhập
7. Virus
8. Các kỹ thuật lập trình an toàn
9. Vận hành an toàn
10. Giao thức an toàn

Chấp nhận rủi ro là lựa chọn cuối cùng. Ví dụ, áp dụng rộng rãi để bảo vệ
mạng LAN là thiết lập tường lửa ngược lại 1 máy chủ web cho những người
dùng bên ngoài thì được thiết lập ở bên ngoài tường lửa. Máy chủ có thể bị
tấn công từ bên ngoài mặc dù cần nỗ lực khi có tấn công xảy ra. Chấp nhận
rủi ro là quản lý 1 cách rất cẩn thận và ban quản lý cấp cao xem xét và xác
thực luôn luôn cần thiết.
6.2 Biện pháp xử lý tài sản thông tin
Hầu hết các biện pháp và xử lý đều thuộc giảm nhẹ rủi ro. Các biện pháp và
xử lý chính được tìm thấy trong Sách kiểm tra rủi ro và mẫu Sách nguyên tắc
đảm bảo an toàn thông tin chính phủ. Các biện pháp và xử lý tốt nhất là
những nơi thuộc Bộ, và phải được báo cáo 1 cách rõ ràng tại thời gian chấp
thuận cơ quan GIS.
Phụ lục.1 Bản hướng dẫn kiểm tra rủi ro
Hướng dẫn sách kiểm tra rủi ro
Sách kiểm tra rủi ro được sử dụng trong giai đoạn lập kế hoạch của ISMS.
Sau đây là những hướng dẫn từng bước
Bước 1 Xác định rủi ro
Bước 1.1
Hướng tài sản được đưa ra ở cột C trong bảng kiểm tra rủi ro.
Bảng này định nghĩa 6 loại tài sản: thông tin, con người, phương
tiện, giấy tờ, phần cứng và phần mềm, mạng và máy chủ
Bước 1.2 Chia tài sản theo cấu trúc tài sản
Tài sản thông tin và con người có nghĩa vụ được xác định ở cấp
Bộ đươc phù hợp với chính phủ
Phương tiện, giấy tờ, phần cứng và phân mềm. Tài sản mạng và
máy chủ đòi hỏi phải được xác định cho từng tài sản để kiểm tra
Bước 1.3 Sửa cột C và D theo các bộ phận được làm ở bước 1.2
Có thể sao chép và dán tài sản bằng dòng dể kiểm tra. Tuy nhiên
một tài sản có thể có nhiều kiểm tra để xác định rủi ro. Cần phải
cẩn thận khi sao chép cả 1 dòng bao gồm nhiều tài sản

Soát xét kết quả và kiểm tra với các tiêu chí được liệt kê ra trong
bảng đánh giá
Xem xét lại đánh giá tính bí mật, toàn vẹn, sẵn sàng nếu cảm
thấy giá trị tài sản tổng khác với sự thật
Đến bước 5 nếu rủi ro tổng là cao
Xem xét tính nhất quán của ISMS nếu rủi ro tổng là thấp
Và sắp xếp nếu có (cập nhật sách nguyên tắc đã có hoặc cập
nhật các biện pháp tham chiếu ở cột V)
Bước 5 Quyết định các biện pháp
Bước 5.1 Đọc mô tả của các nội dung biện pháp mặc định của cột U
Bước 5.2
Đọc mô tả của sách nguyên tắc an toàn thông tin mẫu được tham
chiếu tại cột V
Bước 5.3
Quyết định áp dụng triển khai nguyên tắc và thủ tục trong sách
nguyên tắc an toàn thông tin mẫu
Quyết định các lựa chọn thay thế nếu không được áp dụng
Bước 5.4
Cập nhật nội dung các biện pháp tại cột U và tham chiếu tại cột
V và nguyên tắc và thủ tục áp dụng có thể được triển khai cho tổ
chức
Bước 6 Đánh giá rủi ro sau biện pháp
Bước 6.1
Đánh giá mối đe dọa và điểm yếu để áp dụng cho các tiêu chuẩn
được mô tả trong bảng đánh giá
Bạn có thể chọn 1 từ danh sách thả xuống ở mỗi trường tại cột
W và Y
Sử dụng các giá trị mặc định nếu bạn không thay đổi các biện
pháp và quý tắc thủ tục trong mẫu sách an toàn thông tin
Bước 6.2

2) Sổ tay hướng dẫn hệ thống quản lý an toàn thông tin chính phủ
4.2 Thuật ngữ và định nghĩa
Các thuật ngữ và định nghĩa được sử dụng trong sách nguyên tắc đảm
bảo an toàn thông tin chính phủ
Máy tính cá nhân:
Máy tính cá nhận là những máy địa phương như là máy tính để bàn,
máy xách tay hoặc là điện thoại di động
Tất cả các thuật ngữ và định nghĩa được tham chiếu đến thuật ngữ và
định nghĩa trong sổ tay hướng dẫn Hệ thống quản lý an toàn thông tin
chính phủ hoặc tài liệu ISO/IEC 27001:2005
5. Tổ chức an toàn thông tin
5.1 Định nghĩa tổ chức an toàn thông tin
Tài liệu phát triển kỹ thuật truyền thông thông tin quốc gia (NiDA)
đưa ra vai trò và trách nhiệm của an toàn thông tin
Cơ quan an toàn thông tin (ISO)
Được thiết lập ở NiDA. Nó có trách nhiệm triển khai Hệ thống quản
lý an toàn thông tin tại NiDA. Các thành viên của ISO là các giám đốc
quản lý an toàn thông tin, nguời quản lý hệ thống thông tin, người
được giao trách nhiệm an toàn thông tin, và được xác định dưới đây:
Lãnh đạo an toàn thông tin (Chief Information Security Officer -
CISO):
Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước
Bộ.
Cán bộ quản lý an toàn thông tin (IS Manager)
Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm
trong cả 2: sổ tay hướng dẫn hệ thống quản lý an toàn thông tin và
Sách nguyên tắc an toàn hệ thống thông tin chính phủ
5.2 Danh sách thành viên ISO
Các thành viên của ISO sẽ được chỉ định bởi tổng thư ký của NiDA
5.3 Định tuyến truyền thông (giao tiếp và chia sẻ) khi có sự cố

6.3.1 Văn phòng và tòa nhà làm việc
(a) Nguyên tắc
(a1) Xác định những người nào có thể ra vào văn phòng
(a2) Triển khai hệ thống khóa thích hợp cho quyền vào văn
phòng
(a3) Phân chia không gian văn phòng và nhưng không gian
chung khác
(a4) Khi ra ngoài cơ quan phải đi có 1 người bên trong tổ chức
đi cùng
(a5) Lập hồ sơ báo cáo chi tiết cho người ra vào tổ chức
(a6) Giữ hồ sơ của dịch vụ chuyển phát nhanh
(b) Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.3.2 Tủ đựng hồ sơ và bàn làm việc
(a) Nguyên tắc
(a1) Với những tài sản thông tin bí mật cần phải khóa cẩn thận
(b)Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.3.3 Máy in và máy fax
(a) Nguyên tắc
(a1) Tiêu hủy các tài liệu in/ fax 1 cách cẩn thận
(a2) Giữ hồ sơ tài liệu fax (gửi và nhận)
(b)Thủ tục
(Không có thủ tục nào được áp dụng trong phần này)
6.4 An toàn thông tin về mặt vật lý
6.4.1 Giấy tờ
(a) Nguyên tắc
(a1) Luôn luôn phải cẩn thận khi xác định thông tin bí mật cho
mỗi lọa giấy tờ/tài liệu
(a2) Lưu giấy tờ/tài liệu bí mật an toàn chống truy cập không cho

liên hệ với cơ quan an toàn thông tin để xin chỉ dẫn cho xử lý
và cài cập nhật virus cho phần mềm.
(a6) Luôn luôn quét virus cho bất kỳ tập tin nào được tải
xuống máy tính từ bất kỳ nguồn nào (FD/CD/DVD), ổ cứng
USB và các thẻ nhớ, tập tin mạng, các email đính kèm hoặc
tập tin từ mạng Internet. Quét virus phải được thiết lập để
xảy ra tự động, cũng phải yêu cầu khở tạo lịch quét hàng
tuần.
(a7) Báo cáo bất kỳ sự kiện an toàn thông tin nào (như là
nhiễm virus) kịp thời đến cơ quan An toàn thông tin để giảm
nhẹ thiệt hại
(a8) Đáp ứng ngay lập tức cho bất kỳ thông điểm cảnh báo
virus trên máy tinh của bạn hoặc nếu bạn nghi ngờ là có virus
(các tập tin hoạt động không bình thường) bằng cách liên hệ
với cơ quan An toàn thông tin. Không chuyển tiếp bất kỳ tập
tin nào hoặc đưa dữ liệu lên mạng nếu bạn nghi ngờ máy tính
bị nhiễm virus
(a9) Đặc biệt cẩn thận quét virus hệ thống của bạn trước khi
bạn gửi bất cứ tập tin nào đi. Kể cả các đính kèm email và
FD/CD/DVD mà bạn tạo ra.
(a10) Kết nối với các thiết bị lưu điện cho tất cả các máy tính
cá nhân để bàn để tránh mất mát thông tin
Tiêu hủy
(a11) Thực hiện xóa vật lý các ổ lưu trữ trong máy tính trước
khi loại bỏ các thông tin mà có thể đọc được
(b)Thủ tục
Cho tất cả các thành phần
Bảo vệ phần mềm diệt virus
(b1) Thủ tục sau được định nghĩa kể chắc chắn tất cả máy tính cá
nhân phải được cập nhật phần mềm diệt virus với tần số nhất định

B2.4 Phân tích những ảnh hưởng của sự
kiện và đưa ra hành động thích hợp
Cơ quan an toàn
thông tin
n/a
B2.5 Kết thúc dịch vụ mạng/ứng dụng
nếu thấy cần thiết
Cơ quan an toàn
thông tin
n/a
B2.6 Thực hiện các thủ tục bảo vệ an
toàn thông tin nếu thấy cần thiết
Cơ quan an toàn
thông tin
n/a
B2.7 Ghi các phân tích và hành động
trong báo cáo
Cơ quan an toàn
thông tin
(Đã cập nhật)
Báo cáo sự
kiện an toàn
thông tin
B2.8 Tập tin báo cáo và được giữ trong
thời gian định kỳ
Quản lý an toàn
thông tin
n/a
6.5.2 Máy tính xác tay/điện thoại di động cá nhân
(a) Nguyên tắc

thông tin ngay
Các biện pháp chống lại truy cập trái phép dữ liệu máy tính
xách tay/điện thoai di động
(a7) Cần phải đề nghị sử dụng phần mềm mã hóa đã được phê duyệt
trên máy tính cá nhân, máy tính xách tay/điện thoại di động, chọn
những mật khẩu/cụm từ để mã hóa mạnh và giữ chúng an toàn. Liên
hệ với cơ quan an toàn thông tin để mã hóa. Nếu các thiết bị này bị
mất thì phải có các biện pháp bảo vệ để chống những truy cập trái
phép dữ liệu
(a8) Không được lưu thông tin bí mật trên máy tính xách tay/điện
thoại di động thay vào đó phải mã hóa, cách mã hóa sẽ được đưa ra
trong các phần sau
(b)Thủ tục
Cho tất cả các thành phần
Xử lý vụ việc có tính chất mất/trộm cắp
(b1) Nếu như máy tính xách tay/điện thoại di động bị mất hay bị
trộm cắp, các thủ tục sau được đưa ra như là 1 sự kiện an toàn thông
tin bình thường
Bước Mô tả Thực hiện Bản ghi