https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
Soạn: Mr.Nguyen Dang Quang (Lead Auditor ISO/IEC27001:2022)
Phiên bản: 01
Ngày 25.03.2023
ÁNH XẠ CÁC KIỂM SOÁT
ISO27002:2022 & ISO27002:2013
& TT09
MAPPING ISO/IEC27002:2022 vs
ISO/IEC27001:2013
vs TT09/2020/NHNN

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN TÊN KIỂM SOÁT / CONTROL NAME
5,1 5.1.1, 5.1.2 Điều 6
Các chính sách an toàn thông tin /
Policies for information security
5,2 6.1.1
Các vai trò và các trách nhiệm an toàn thông tin /
Information security roles and responsibilities
5,3 6.1.2 Điều 13 – 3.b
Phân tách công việc, nhiệm vụ /
Segregation of duties
5,4 7.2.1 Điêu 20
Các trách nhiệm quản lý /
Management responsibilities
5,5 6.1.3
Liên lạc với cơ quan có thẩm quyền /
Contact with authorities
5,6 6.1.4
Liên lạc với các bên quan tâm đặc biệt /
Contact with special interest groups
5,7 New
Thông tin mối đe dọa /
Threat intelligence
5,8 6.1.5, 14.1.1
An toàn thông tin trong quản lý dự án /
Information security in project management
5,9 8.1.1, 8.1.2 Điều 7, 8, 9
Kiểm kê thông tin và các tài sản liên quan khác /
Inventory of information and other associated assets
5.10 8.1.3, 8.2.3 Điều 7, 8, 9
Chấp thuận sử dụng thông tin và các tài sản liên quan khác /
Acceptable use of information and other associated assets
5,11 8.1.4 Điều 7, 8, 9
Trả lại các tài sản /
Return of assets
5,12 8.2.1 Điều 4, 5
Phân loại thông tin /
Classification of information
5,13 8.2.2
Gán nhãn thông tin /
Labelling of information
5,14 13.2.1, 13.2.2, 13.2.3 Điều 24
Chuyển giao thông tin /
Information transfer
5,15 9.1.1, 9.1.2 Điều 28 , 31 Kiểm soát truy cập /

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
Access control
5,16 9.2.1 Điều 29 – 1.c
Quản lý danh tính /
Identity management
5,17 9.2.4, 9.3.1, 9.4.3 Điều 29
Xác thực thông tin /
Authentication information
5,18 9.2.2, 9.2.5, 9.2.6 Điều 30
Các quyền truy cập /
Access rights
5,19 15.1.1 Điều 32
An toàn thông tin trong các mối quan hệ với nhà cung cấp /
Information security in supplier relationships
5.20 15.1.2 Điều 32, 33
Giải quyết an toàn trong các thỏa thuận với nhà cung cấp /
Addressing information security within supplier agreements
5,21 15.1.3 Điều 36
Quản lý an toàn thông tin trong chuỗi cung ứng CNTT-TT /
Managing information security in the ICT supply chain
5,22 15.2.1, 15.2.2 Điều 36
Giám sát, xem xét và quản lý thay đổi các dịch vụ của nhà cung cấp /
Monitoring, review and change management of supplier services
5,23 New
Điều 33 – 2
Điêu 34
An toàn thông tin khi sử dụng dịch vụ đám mây /
Information security for use of cloud services
5,24 16.1.1 Điều 45, 46
Lập kế hoạch và chuẩn bị quản lý sự cố an toàn thông tin /
Information security incident management planning and preparation
5,25 16.1.4 Điều 46
Đánh giá và quyết định về các sự kiện an toàn thông tin /
Assessment and decision on information security events
5,26 16.1.5 Điều 48
Ứng phó các sự cố an toàn thông tin /
Response to information security incidents
5,27 16.1.6 Điều 47
Rút bài học kinh nghiệm từ các sự cố an toàn thông tin /
Learning from information security incidents
5,28 16.1.7 Điều 47
Thu thập chứng cứ /
Collection of evidence
5,29 17.1.1, 17.1.2, 17.1.3 Điều 49, 51, 52
An toàn thông tin trong thời gian gián đoạn /
Information security during disruption
5.30 New Điều 49, 51, 52
Sự sẵn sàng về CNTT-TT cho hoạt động kinh doanh liên tục /
ICT readiness for business continuity

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
5,31 18.1.1, 18.1.5
Các yêu cầu pháp lý, luật định, quy định và hợp đồng /
Legal, statutory, regulatory and contractual requirements
5,32 18.1.2
Quyền sở hữu trí tuệ (IPR) /
Intellectual property rights
5,33 18.1.3
Bảo vệ các hồ sơ /
Protection of records
5,34 18.1.4
Điều 4 – 3
Điều 5 – 3.a
Sự riêng tư và bảo vệ thông tin cá nhân /
Privacy and protection of PII
5,35 18.2.1 Điều 42
Xem xét độc lập về an toàn thông tin /
Independent review of information security
5,36 18.2.2, 18.2.3
Tuân thủ các chính sách, quy tắc và tiêu chuẩn về an toàn thông tin /
Compliance with policies, rules and standards for information security
5,37 12.1.1 Điều 20 - 1
Các quy trình vận hành được lập thành văn bản /
Documented operating procedures

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN CONTROL NAME
6,1 7.1.1
Sàng lọc, thẩm tra /
Screening
6,2 7.1.2 Điều 13, 14
Điều khoản và điều kiện tuyển dụng /
Terms and conditions of employment
6,3 7.2.2 Điều 14
Nhận thức, giáo dục và đào tạo về an toàn thông tin /
Information security awareness, education and training
6,4 7.2.3 Điều 15
Quá trình xử lý kỷ luật /
Disciplinary process
6,5 7.3.1 Điều 16
Các trách nhiệm sau khi chấm dứt hoặc thay đổi công việc /
Responsibilities after termination or change of employment
6,6 13.2.4 Điều 14 - 3
Thỏa thuận bảo mật hoặc không tiết lộ /
Confidentiality or non-disclosure agreements
6,7 6.2.2
Làm việc từ xa /
Remote working
6,8 16.1.2, 16.1.3 Điều 54
Báo cáo sự kiện an toàn thông tin /
Information security event reporting

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN CONTROL NAME
7,1 11.1.1 Điều 17, 18, 19
Vành đai an toàn vật lý /
Physical security perimeters
7,2 11.1.2, 11.1.6 Điều 17, 18, 19
Lối vào vật lý /
Physical entry
7,3 11.1.3 Điều 17, 18, 19
An toàn cho các văn phòng, các phòng và cơ sở vật chất /
Securing offices, rooms and facilities
7,4 New Điều 17, 18, 19
Giám sát an toàn vật lý /
Physical security monitoring
7,5 11.1.4
Bảo vệ chống lại các mối đe dọa vật lý và môi trường /
Protecting against physical and environmental threats
7,6 11.1.5
Làm việc trong khu vực an toàn /
Working in secure areas
7,7 11.2.9
Bàn làm việc gọn gàng và màn hình gọn gàng
Clear desk and clear screen
7,8 11.2.1
Bố trí và bảo vệ thiết bị /
Equipment siting and protection
7,9 11.2.6
An toàn cho các tài sản ngoài vành đai /
Security of assets off-premises
7.10
8.3.1, 8.3.2, 8.3.3,
11.2.5
Điều 12
Phương tiện lưu trữ /
Storage media
7,11 11.2.2
Các tiện ích hỗ trợ /
Supporting utilities
7,12 11.2.3
An toàn dây cáp /
Cabling security
7,13 11.2.4 Điều 44
Bảo trì thiết bị /
Equipment maintenance
7,14 11.2.7
An toàn khi loại bỏ và tái sử dụng thiết bị /
Secure disposal or re-use of equipment

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
ISO/IEC 27002:2022 ISO/IEC 27002:2013 TT09/2020/NHNN CONTROL NAME
8,1 6.2.1, 11.2.8 Điều 11
Thiết bị đầu cuối của người dùng /
User endpoint devices
8,2 9.2.3
Quyền truy cập đặc quyền /
Privileged access rights
8,3 9.4.1
Hạn chế truy cập thông tin /
Information access restriction
8,4 9.4.5
Truy cập mã nguồn /
Access to source code
8,5 9.4.2
Xác thực an toàn /
Secure authentication
8,6 12.1.3
Quản lý năng lực /
Capacity management
8,7 12.2.1 Điều 27
Bảo vệ chống mã độc /
Protection against malware
8,8 12.6.1, 18.2.3 Điều 43
Quản lý lỗ hổng kỹ thuật /
Management of technical vulnerabilities
8,9 New Điều 26
Quản lý cấu hình /
Configuration management
8.10 New
Xóa thông tin /
Information deletion
8,11 New
Che giấu dư liệu /
Data masking
8,12 New
Chống rò rỉ dữ liệu /
Data leakage prevention
8,13 12.3.1 Điều 22
Sao lưu thông tin /
Information backup
8,14 17.2.1 Điều 50
Dự phòng các phương tiện xử lý thông tin /
Redundancy of information processing facilities
8,15 12.4.1, 12.4.2, 12.4.3 Điều 20 Nhật ký /

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
Logging
8,16 New Điều 26
Các hoạt động giám sát /
Monitoring activities
8,17 12.4.4
Đồng bộ hóa đồng hồ /
Clock synchronization
8,18 9.4.4
Sử dụng các chương trình tiện ích đặc quyền /
Use of privileged utility programs
8,19 12.5.1, 12.6.2 Điều 20
Cài đặt phần mềm trên các hệ thống vận hành /
Installation of software on operational systems
8.20 13.1.1 Điều 31
An toàn mạng /
Networks security
8,21 13.1.2 Điều 31
An toàn các dịch vụ mạng /
Security of network services
8,22 13.1.3 Điều 23
Phân tách các mạng /
Segregation of networks
8,23 New
Lọc Web /
Web filtering
8,24 10.1.1, 10.1.2 Điều 38, 39
Sử dụng mật mã /
Use of cryptography
8,25 14.2.1 Điều 40
Vòng đời phát triển an toàn /
Secure development life cycle
8,26 14.1.2, 14.1.3 Điều 25
Các yêu cầu an toàn ứng dụng /
Application security requirements
8,27 14.2.5 Điều 37
Kiến trúc hệ thống an toàn và các nguyên tắc kỹ thuật /
Secure system architecture and engineering principles
8,28 New
An toàn trong viết mã /
Secure coding
8,29 14.2.8, 14.2.9 Điều 21
Kiểm thử an toàn trong quá trình phát triển và bàn giao, nghiệm thu /
Security testing in development and acceptance
8.30 14.2.7
Phát triển thuê ngoài /
Outsourced development
8,31 12.1.4, 14.2.6 Điều 20
Phân tách môi trường phát triển, kiểm thử và sản xuất /
Separation of development, test and production environments

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
8,32
12.1.2, 14.2.2, 14.2.3,
14.2.4
Điều 41
Quản lý thay đổi /
Change management
8,33 14.3.1
Kiểm tra thông tin /
Test information
8,34 12.7.1
Bảo vệ các hệ thống thông tin trong quá trình đánh giá kiểm thử
Protection of information systems during audit testing

https://hqc-company.com Chuyên tư vấn, đào tạo, đánh giá Hệ thống Quản lý ATTT (ISO27001)
 Các chương trình đào tạo định kỳ của chúng tôi tại :
o https://hqc-company.com/danh-muc-san-pham/chuong-trinh-dao-tao-tong-hop/
 Các lần tổ chức hội thảo trực tuyến chia sẽ kiến thức miễn phí tại :
o https://hqc-company.com/category/tin-tuc-hoi-thao/
 Nhận báo giá dịch vụ tư vấn tại :
o https://docs.google.com/forms/d/1YNA6C_HaD4FM5R-04bLNe5eo-EE97zuB4vXvNVnwk_8
 Nhận báo giá dịch vụ đánh giá tại :
o https://docs.google.com/forms/d/1YNA6C_HaD4FM5R-04bLNe5eo-EE97zuB4vXvNVnwk_8
 Nhận báo giá dịch vụ đào tạo tại :
o https://docs.google.com/forms/d/11Ef__8gmUW0EcH_0E6TbJQU50wma6AkTFifbhIrghJo
HQC Training Consultancy
Hotline: 0777.174.471
Website: https://hqc-company.com