CHƯƠNG 1. TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG …english.mic.gov.vn/.../Duthao/thuyet-minh-ISO-IEC-27002.docx · Web viewthông tin, mất an toàn mạng là một nguy cơ

BỘ THÔNG TIN VÀ TRUYỀN THÔNGĐẠI HỌC QUỐC GIA HÀ NỘI

VIỆN CÔNG NGHỆ THÔNG TIN

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

TCVN xxx:2017ISO/IEC 27002:2013

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN

THÔNG TIN

Information technology – Security techniques – Code of practice for infomation

security management

HÀ NỘI - Tháng /2017

Mục LụcCHƯƠNG 1. TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM....4

1 Tình hình quản lý an toàn thông tin chung trên thế giới...................................4

2 Tình hình quản lý an toàn thông tin ở Việt Nam...............................................4

3 Kết Luận.................................................................................................................5

CHƯƠNG 2. NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐC GIA

VỀ QUẢN LÝ AN TOÀN THÔNG TIN.....................................................................7

1 Các tiêu chuẩn quốc tế..........................................................................................7

1.1 Bộ tiêu chuẩn ISO/IEC 27000..........................................................................7

1.2 Bộ tiêu chuẩn ISO/IEC 15408........................................................................27

2 Các tiêu chuẩn quốc gia......................................................................................29

2.1 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005.......................................29

2.2 TCVN 7562:2005 ISO/IEC 17799:2000........................................................30

2.3 Bộ TCVN 8709..............................................................................................40

3 Tiêu chuẩn áp dụng xây dựng chuẩn................................................................43

CHƯƠNG 3. XÂY DỰNG TIÊU CHUẨN KỸ THUẬT QUỐC GIA VỀ QUẢN

LÝ AN TOÀN THÔNG TIN......................................................................................44

1 Lý do và mục đích xây dựng tiêu chuẩn............................................................44

1.1 Lý do..............................................................................................................44

1.2 Mục đích.........................................................................................................44

2 Sở cứ xây dựng tiêu chuẩn..................................................................................45

3 Phương pháp xây dựng tiêu chuẩn....................................................................45

3.1 Cấu trúc tiêu chuẩn.........................................................................................45

3.2 Đối chiếu với tài liệu tham khảo....................................................................46

3.3. Kiến nghị........................................................................................................49

CHƯƠNG 1. TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM

1 Tình hình quản lý an toàn thông tin chung trên thế giới

Ngày nay, hầu hết mọi hoạt động của các tổ chức, đơn vị đều bị phụ thuộc vào máy

tính, hạ tầng mạng và cơ sở thông tin. Chưa bao giờ vấn đề bảo mật và an toàn thông

tin lại được coi trọng như hiện nay, trong bối cảnh mạng máy tính phá bỏ mọi ngăn

cách, “mọi lúc, mọi nơi” người ta đều có thể lấy được thông tin cần thiết. Có không ít

chuyện những cao thủ dễ dàng đột nhập vào kho thông tin tối mật của một quốc gia

hay nhẹ nhàng nẫng đi khoản tiền kếch xù từ một ngân hàng danh tiếng. Cùng với sự

phát triển mạnh mẽ của công nghệ thông tin, tội phạm mạng cũng trở nên ngày càng

tinh vi với các kỹ thuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng.

Ngoài ra, các tổ chức còn phải đối mặt với rất nhiều loại hiểm họa an toàn từ nhiều

nguồn khác nhau như gian lận, gián điệp, phá hoại, cháy nổ, lũ lụt….Vì vậy, vấn đề

bảo mật và an toàn thông tin ngày càng trở nên cấp thiết. Việc áp dụng các tiêu chuẩn,

các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổ chức, đơn vị quan

tâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc. Một trong những

nguyên nhân chính là do hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin

chưa đầy đủ nên cần sớm bổ sung và hoàn thiện hệ thống các tiêu chuẩn để áp dụng

rộng rãi.

2 Tình hình quản lý an toàn thông tin ở Việt Nam

Vấn đề an toàn thông tin đang ngày càng cấp bách trên thế giới cũng như ở Việt Nam.

Trong những năm gần đây, các hoạt đông thể chế hóa của nhà nước trong lĩnh vực an

toàn thông tin được quan tâm hơn bao giờ hết. Luật an toàn thông tin đang được tích

cực soạn thảo lấy ý kiến đóng góp rộng rãi trong xã hội. Bên cạnh đó các cơ quan quản

lý chuyên ngành và triển khai bảo mật và an toàn thông tin đang được xây dựng và

kiện toàn tại các Bộ ngành địa phương.

Trong năm 2013, hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức điều tra về

hiện trạng an toàn thông tin tại Việt Nam với số liệu tổng hợp từ 600 tổ quốc (cơ quan

nhà nước và doanh nghiệp). Đánh giá theo chỉ số an toàn thông tin và được phân thành

5 nhóm, phản ánh hiện trạng môi trường và các biện pháp an toàn thông tin tại Việt

Nam bao gồm:

1) Đào tạo, tuyên truyền nâng cao nhận thức về an toàn thông tin;

2) Ban hành các chính sách hỗ trợ an toàn thông tin và đầu tư kinh phí cho

an toàn thông tin;

3) Xây dựng tổ chức, đầu tư nhân lực an toàn thông tin;

4) Thực hiện các biện pháp về kỹ thuật đảm bảo an toàn thông tin;

5) Thực hiện các biện pháp về quản lý đảm bảo an toàn thông tin.

Kết quả khảo sát chỉ số an toàn thông tin tại Việt Nam năm 2013 của VNISA

Kết quả điều tra cho thấy nhận thức về các vấn đề khó khăn trong việc thực thi bảo vệ

an toàn cho hệ thống thông tin, nhận thức về sự cần thiết tăng kinh phí đầu cho an toàn

thông tin của tổ chức trong năm sau là tương đối cao. Nhưng về các biện pháp kĩ thuật

hay biện pháp quản lý thì còn thấp.

3 Kết Luận

Từ đó cho thấy, sự bùng nổ của Internet, của thương mại điện tử bên cạnh việc tạo ra

những cơ hội lớn là những nguy cơ rủi ro cho nền kinh tế và xã hội hiện đại. Mặc dù

nhận thức về an toàn thông tin của các doanh nghiệp tư nhân hay nhà nước đã được

chú trọng. Nhưng tội phạm công nghệ cao ngày một tinh vi, các vấn đề mất an toàn

thông tin, mất an toàn mạng là một nguy cơ hiện hữu và ngày càng trở nên nguy hiểm.

Chúng ta cần phải có những biện pháp quản lý thích hợp nhằm phòng chống hạn chế

tối đa những thiệt hại của việc mất an toàn thông tin mang lại. Phần tiếp theo sẽ trình

bày về tình hình xây dựng các tiêu chuẩn an toàn thông tin trên thế giới và tại Việt

Nam. Sau khi có cái nhìn toàn cảnh về tình hình tiêu chuẩn hóa, cũng như phạm vi của

tiêu chuẩn xây dựng trong toàn bộ dự án nhóm xây dựng tiêu chuẩn sẽ xác định và đưa

ra được hướng xây dựng tiêu chuẩn.

CHƯƠNG 2. NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐC GIA VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Trước khi đi vào xây dựng tiêu chuẩn cụ thể ở phần sau, trong phần này sẽ rà soát các

tiêu chuẩn quốc tế và quốc gia về quản lý an toàn thông tin.

1 Các tiêu chuẩn quốc tế

1.1 Bộ tiêu chuẩn ISO/IEC 27000

Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình để thiết lập, thực hiện, điều hành,

theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (ISMS). Bộ

tiêu chuẩn ISO/IEC 27000 được soạn thảo bởi ủy ban kỹ thuật chung ISO/IEC JTC 1,

công nghệ thông tin, tiểu ban SC 27, các kỹ thuật an toàn thông tin. ISMS được thiết

kế nhằm đảm bảo rằng sự lựa chọn các phương pháp kiểm soát an toàn thỏa đáng và

phù hợp nhằm bảo vệ các tài sản thông tin và tạo niềm tin cho các bên quan tâm.

Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá được cái rủi ro, xây dựng các

biện pháp và tạo ý thức, trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ

chức.

Bộ tiêu chuẩn này có thể áp dụng cho tất cả các loại hinh tổ chức (như các doanh

nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này xác định các

yêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét duy trì và cải tiến ISMS

dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ chức. Xác định

rõ các yêu cầu thực hiện kiểm soát an toàn tùy biến cho phù hợp với từng tổ chức hay

các bộ phận riêng rẽ.

Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau :

a) ISO/IEC 27000 – ISMS Tổng quát và từ vựng;

b) ISO/IEC 27001 – ISMS yêu cầu;

c) ISO/IEC 27002 –Chuẩn mực thực hiện ISM;

d) ISO/IEC 27003 – Hướng dẫn triển khai ISMS;

e) ISO/IEC 27004 – Đo lường ISM;

f) ISO/IEC 27005 – Quản lý rủi ro IS;

g) ISO/IEC 27006 – Yêu cầu về tổ chức đánh giá và chứng nhận ISMS;

h) ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông;

i) ISO 27799 – ISM trong y tế sử dụng ISO/IEC 27002;

j) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;

k) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMS controls;

l) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC

27001;

m) ISO/IEC 27014 – Khung quản lý IS;

n) ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;

o) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;

p) ISO/IEC 27032 – Hướng dẫn cybersecurity;

q) ISO/IEC 27033 – IT network security;

r) ISO/IEC 27034 – Hướng dẫn application security;

s) ISO/IEC 27035 – Quản lý security incident;

t) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;

u) ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận và bảo quản các

bằng chứng số.

Có một số tiêu chuẩn không được đề cập (ví dụ như ISO 27012 cho egovermment) là

do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nâng

cấp lên thành tiêu chuẩn do Ủy ban kỹ thuật của ISO và IEC quyết định.

Dưới đây là bảng quan hệ của các chuẩn 27000 thuộc bộ chuẩn ISMS.

Hình 1.1 Quan hệ của các chuẩn trong bộ chuẩn ISMS

Trong các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 sẽ đề cập đến các chuẩn có

liên quan nhiều đến quản lý an toàn thông tin như chuẩn ISO/IEC 27000, ISO/IEC

27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 20006.

1.1.1 Tiêu chuẩn ISO/IEC 27000

ISO/IEC 27000:2014 - Information technology – Security techniques - Information

security management systems - Overview and vocabulary

ISO / IEC 27000: 2014 cung cấp một cái nhìn tổng quan của hệ thống quản lý an ninh

thông tin đó là hoàn toàn phù hợp với tiêu chuẩn ISO / IEC 27001: 2013 và ISO / IEC

27002: 2013, cập nhật (1/2014) và định nghĩa cho toàn bộ khối ISO/IEC 27000 của

chuẩn ISMS.

Mục đích:

Tiêu chuẩn này cần thiết cho tất cả các tổ chức thực hiện một hệ thống quản lý an ninh

thông tin (ISMS), cho dù trong khu vực tư nhân, công cộng hay phi lợi nhuận.


ISO/IEC 27001 -Information security management systems – Requirements.

ISO / IEC 27001 là tiêu chuẩn có tiếng nhất trong khối chuẩn cung cấp các yêu cầu

cho một hệ thống quản lý an ninh thông tin (ISMS).

Mục đích

Sử dụng tiêu chuẩn này sẽ giúp cho các tổ chức quản lý an toàn các dạng tài sản như

thông tin tài chính, sở hữu trí tuệ, chi tiết nhân viên hoặc thông tin giao phó cho bạn

bởi các bên thứ ba. ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với

mọi lĩnh vực kinh tế trên toàn thế giới. Thông qua việc triển khai một hệ thống vững

chắc để quản lý thông tin trong tổ chức, bạn có thể bảo vệ được tài sản thông tin, đảm

bảo được sự liên tục trong kinh doanh nếu có xảy ra sự phá hoại hoặc mất mát nào.

Mất mát hoặc phá hoại có thể do rất nhiều nguyên nhân; thiên tai như hoả hạn hoặc lũ

lụt, sự mất mát ngẫu nhiên hoặc do quản lý kém, bị mua chuộc hoặc bị đánh cắp,

những mất mát này có thể gây ra những hậu quả khôn lường cho tổ chức.

Thông tin có thể là dữ liệu mà tổ chức sở hữu và nó có thể là những dữ liệu được lưu

lại dưới dạng điện tử, thông tin được chuyển qua bưu điện hay email, các dữ liệu hoặc

thông tin được in ra mà từng người trong tổ chức của bạn lưu giữ. Thông qua việc triển

khai ISO 27001 tổ chức sẽ xác định được loại thông tin trong tổ chức và xác định các

mối nguy và mối đe doạ. Sau đó bạn có thể thiết lập hệ thống, thiết lập sự kiểm soát và

các quy trình để giảm thiểu các mối nguy hiểm.


ISO/IEC 27002 - Công nghệ thông tin - Quy tắc thực hành quản lý an toàn thông

tin - ISO 1087:2000 Thuật ngữ - Từ vựng (Terminology – Vocabulary)

Phiên bản hiện tại: ISO/IEC 27002: 2013

Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế

chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và năm 2007 được đổi tên

thành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng cùng với các tiêu chuẩn khác về

quản lý an toàn thông tin trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin

ISO/IEC 27000. Sau gần 8 năm ra đời, đã có rất nhiều thay đổi trên thế giới về an toàn

thông tin, các mối đe doạ, các điểm yếu kỹ thuật, các rủi ro liên quan đến điện toán

đám mây, dữ liệu lớn, và nhất là an ninh mạng. Do vậy hơn 3 năm qua, các tổ chức

tiêu chuẩn quốc gia trên toàn thế giới đã tổ chức cuộc họp với các chuyên gia chuyên

ngành tìm kiếm các điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC

27002:2013. Tiêu chuẩn ISO/ IEC 27002:2013 được công bố năm 2013 đã có rất nhiều

thay đổi về cấu trúc, nội dung các phần. Nội dung được viết lại cho tập trung và cô

đọng hơn (rút ngắn số trang so với bản 2005).

Mục tiêu

Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai,

duy trì và cải thiện công tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu đặt

ra của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung

đã được công nhận về quản lý an toàn thông tin.

Các mục tiêu và biện pháp kiểm soát của tiêu chuẩn này được triển khai đáp ứng các

yêu cầu được xác định bởi quá trình đánh giá rủi ro. Tiêu chuẩn này có thể đóng vai

trò như một định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn cho tổ

chức và thực hành quản lý an toàn hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt

động liên tổ chức.

Nội dung

Cấu trúc nội dung của phiên bản 27002:2013

0: Giới thiệu

1: Phạm vi

2: Tham khảo tiêu chuẩn

3. Giới hạn và định nghĩa

4. cấu trúc của chuẩn tham khảo

5. Chính sách bảo mật thông tin

6. Tổ chức bảo mật thông tin

7. Nguồn nhân lực an ninh

8. Quản lý tài nguyên

9, điều khiển truy cập

10. Khóa giao tiếp

11. Phần vật lý và môi trường bảo mật

12. Hoạt động bảo mật

13. An toàn trao đổi

14. Hệ thống tiếp nhận, phát triển và

duy trì

15. Quan hệ khách hàng

16. Quản lý sợ cố bảo mật thông tin

17. Các dạng bảo mật của khía cạnh

kinh doanh

18. Tuân thủ

1.1.4 ISO/IEC 27003

ISO/IEC 27003:2010 – Information security management system implementation

guidance.

ISO/IEC 27003:2010 nằm trong khối tiêu chuẩn ISO/IEC 27000 (ISMS), là một chuẩn

an ninh thông tin được công bố bởi Tổ chức Tiêu chuẩn Quốc tế (ISO) và Ủy ban Kỹ

thuật Điện Quốc tế (IEC). Tiêu đề của nó là Công nghệ thông tin - Kỹ thuật an ninh -

Thông tin quản lý an ninh thực hiện hệ thống hướng dẫn .

Tiêu chuẩn này tập trung vào các khía cạnh quan trọng, cần thiết cho việc thiết kế

thành công và thực hiện một hệ thống quản lý an ninh thông (ISMS) theo tiêu chuẩn

ISO/IEC 27001:2005. Nó mô tả các quá trình của ISMS được đặc tả và thiết kế từ khi

bắt đầu đến khi thực hiện kế hoạch sản xuất

Nó mô tả các quá trình có sự chấp thuận quản lý để thực hiện một ISMS, xác định một

dự án để thực hiện một ISMS (được đề cập trong tiêu chuẩn này là các dự án ISMS),

và cung cấp hướng dẫn về cách lập kế hoạc dự án ISMS.

Mục đích:

Các tổ chức có thể phát triển một quy trình quản lý an ninh thông tin, cho các bên liên

quan đảm bảo rằng rủi ro đối với tài sản thông tin liên tục được duy trì trong giới hạn

an ninh thông tin chấp nhận được theo quy định của tổ chức. Tiêu chuẩn này không

bao gồm các hoạt động nghiệp vụ và các hoạt động ISMS khác, nhưng bao gồm các

khái niệm về cách thiết kế các hoạt động đó sẽ cho kết quả sau khi các hoạt động

ISMS bắt đầu. Việc thực hiện thực tế của một phần cụ thể của một dự án ISMS là

không nằm trong phạm vi của tiêu chuẩn này.

1.1.5 ISO/IEC 27004

ISO/IEC 27004:2009 - Information security risk management

ISO/IEC 27004:2009là chuẩn của các phép đo liên quan đến quản lý an ninh thông tin:

thường được gọi là “thước đo an ninh”.

Bao gồm các phần chính:

- Thông tin tổng quan về đo lường an ninh;

- Trách nhiệm quản lý;

- Các biện pháp và phát triển đo lường;

- Hoạt động đo lường;

- Phân tích thông tin và báo cáo kết quả đo;

- Đánh giá chương trình đo lường an ninh thông tin và cải tiến.

Mục đích:

Cung cấp hướng dẫn về việc phát triển và sử dụng các biện pháp đo lường, đánh giá

hiệu quả của một hệ thống quản lý an ninh thông tin, như quy định trong tiêu chuẩn

ISO 27001. Nó được thiết kế để giúp thiết lập một tổ chức thực hiện ISMS một cách

hiệu quả.

1.1.6 ISO/IEC 27005

ISO/IEC 27005:2011 - Information technology - Security techniques - Information

security risk management.

Tiêu chuẩn này cung cấp hướng dẫn cho việc quản lý rủi ro an toàn thông tin trong

một tổ chức, đặc biệt hỗ trợ yêu cầu quản lý an toàn thông tin (ISMS) theo tiêu chuẩn

ISO/IEC 27001. Tuy nhiên, tiêu chuẩn này không cung cấp bất kỳ phương pháp cụ thể

để quản lý rủi ro an toàn thông tin. Đó là cách để tổ chức xác định cách tiếp cận của họ

để quản lý rủi ro, ví dụ tùy thuộc vào phạm vi của ISMS, bối cảnh của quản lý rủi ro,

hoặc lĩnh vực công nghiệp. Một số phương pháp hiện tại có thể được sử dụng trong

khuôn khổ mô tả trong tiêu chuẩn này để thực hiện các yêu cầu của một ISMS.Tiêu

chuẩn này có liên quan đến quản lý rủi ro an toàn thông tin với nhân viên trong hoặc

bên ngoài tổ chức, thích hợp hỗ trợ các hoạt động như vậy.

Tiêu chuẩn này cung cấp hướng dẫn cho việc quản lý rủi ro an toàn thông tin. Tiêu

chuẩn này hỗ trợ các khái niệm chung được quy định trong ISO/IEC 27001 và được

thiết kế để hỗ trợ việc thực hiện thỏa đáng về an toàn thông tin dựa trên phương pháp

quản lý rủi ro. Kiến thức về các khái niệm, mô hình, quy trình và thuật ngữ mô tả

trong ISO/IEC 27001 và ISO/IEC 27002 là quan trọng cho việc hiểu rõ các tiêu chuẩn

này. Tiêu chuẩn này được áp dụng cho tất cả các loại hình tổ chức (ví dụ như các

doanh nghiệp thương mại, cơ quan chính phủ, các tổ chức phi lợi nhuận) mà có ý định

để quản lý rủi ro có thể thỏa hiệp bảo mật thông tin của tổ chức.

1.1.7 ISO/IEC 27006

ISO/IEC 27006 - Requirements for bodies providing audit and certification of

information security management systems.

ISO / IEC 27006 là tiêu chuẩn dùng để hướng dẫn các cơ quan cấp giấy chứng nhận

vào các quá trình chính thức mà họ phải tuân theo khi kiểm toán hệ thống thông tin

khách hàng của họ 'Security Management (ISMSs) so với tiêu chuẩn ISO / IEC 27001

để xác nhận hoặc đăng ký họ tuân thủ. Các quy trình kiểm định đặt ra trong việc bảo

đảm tiêu chuẩn ISO / IEC 27001 chứng chỉ do các tổ chức được công nhận là hợp lệ.

ISO / IEC 27006 là tiêu chuẩn công nhận rằng hướng dẫn các cơ quan cấp giấy chứng

nhận vào các quá trình chính thức mà họ phải tuân theo khi kiểm toán Hệ thống thông

tin khách hàng của họ 'Security Management (ISMSs) so với tiêu chuẩn ISO / IEC

27001 để xác nhận hoặc đăng ký họ tuân thủ. Các quy trình kiểm định đặt ra trong việc

bảo đảm nhân đạo tiêu chuẩn ISO / IEC 27001 chứng chỉ do các tổ chức được công

nhận là hợp lệ.

Mục đích

Tiêu chuẩn ISO/IEC 27006 là để "xác định yêu cầu và hướng dẫn các cơ quan đánh

giá và chứng nhận hệ thống quản lý an ninh thông tin (ISMS), ngoài các yêu cầu nêu

trong ISO/IEC 17021 và ISO/IEC 27001. Đó là chủ yếu nhằm hỗ trợ công nhận của cơ

quan cấp giấy chứng nhận cung cấp chứng nhận ISMS”.

1.1.8 ISO/IEC 27007

ISO.IEC 27007:2011 - Information technology - Security techniques - Guidelines

for information security management systems auditing

Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an ninh thông tin

(ISMS) chương trình kiểm toán và tiến hành các cuộc kiểm toán nội bộ hoặc bên ngoài

theo tiêu chuẩn ISO/IEC 27001: 2005, cũng như hướng dẫn về thẩm quyền và đánh giá

của kiểm toán viên, nên được sử dụng kết hợp với các hướng dẫn có trong ISO 19011..

Hướng dẫn này là dành cho tất cả người sử dụng, bao gồm cả các tổ chức có quy mô

vừa và nhỏ. ISO 19011, hướng dẫn cho các hệ thống quản lý kiểm toán, cung cấp

hướng dẫn về quản lý các chương trình kiểm toán, tiến hành đánh giá trong nội bộ hay

bên ngoài hệ thống quản lý, cũng như về thẩm quyền và đánh giá của kiểm toán viên

hệ thống quản lý. Các văn bản trong tiêu chuẩn này theo cấu trúc của ISO 19011, và

hướng dẫn ISMS cụ thể thêm về việc áp dụng tiêu chuẩn ISO 19011 cho ISMS kiểm

toán được xác định bằng hai chữ "IS".

Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an ninh thông tin

(ISMS) chương trình kiểm toán, trên việc thực hiện việc kiểm toán, và về thẩm quyền

của ISMS kiểm toán viên, ngoài các hướng dẫn có trong ISO 19011.Tiêu chuẩn này

được áp dụng cho những người cần phải hiểu hoặc thực hiện kiểm toán nội bộ hoặc

bên ngoài ISMS hoặc để quản lý một chương trình kiểm toán ISMS.

1.1.9 ISO/IEC 27008

ISO/IEC 27008:2011 - Information technology - Security techniques - Guidelines

for auditors on information security controls.

Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an toàn thông tin

(ISMS) chương trình kiểm toán, trên thực hiện việc kiểm toán, và về thẩm quyền của

ISMS kiểm toán viên, ngoài các hướng dẫn có trong ISO 19011.Tiêu chuẩn này được

áp dụng cho những người cần phải hiểu hoặc thực hiện kiểm toán nội bộ hoặc bên

ngoài của một ISMS hoặc để quản lý một chương trình kiểm toán ISMS.

Tiêu chuẩn này cung cấp hướng dẫn về việc rà soát việc thực hiện và hoạt động của

điều khiển, bao gồm cả kiểm tra việc tuân thủ kỹ thuật của hệ thống điều khiển thông

tin, phù hợp với các tiêu chuẩn được thiết lập an ninh thông tin của tổ chức. Tieeuc

chuẩn kỹ thuật này được áp dụng cho tất cả các loại và qui mô của các tổ chức, bao

gồm cả công cộng và các công ty tư nhân, các tổ chức chính phủ, và phi lợi nhuận, tổ

chức hoạt động thông tin đánh giá an ninh và kiểm tra việc tuân thủ kỹ thuật. Báo cáo

kỹ thuật này không dành cho các hệ thống quản lý kiểm toán.

1.1.10 ISO/IEC 27011

ISO/IEC 27011:2008 - Information security management guidelines for

telecommunications organizations based on ISO/IEC 27002

Phạm vi của khuyến nghị này là xác định hướng dẫn hỗ trợ thực hiện quản lý an ninh

thông tin trong các tổ chức viễn thông.

Mục đích

Việc áp dụng khuyến nghị sẽ cho phép các tổ chức viễn thông để đáp ứng yêu cầu

quản lý an ninh thông tin cơ bản về bảo mật, tính toàn vẹn, tính sẵn có và bất kỳ tài sản

bảo đảm có liên quan khác.

ISO 27011 thiết lập các hướng dẫn và nguyên tắc chung để bắt đầu, triển khai, duy trì

và cải thiện ISM trong các tổ chức viễn thông dựa trên tiêu chuẩn ISO/ IEC 27002.

Hiện nay ISO 27011 bao gồm bộ điều khiển viễn thông mở rộng mới và hướng dẫn

thực hiện cho một tổ chức viễn thông. Tiêu chuẩn này cung cấp một cơ sở thực hiện

ISM trong các tổ chức viễn thông để đảm bảo bí mật, toàn vẹn và tính sẵn sàng của

thiết bị và dịch vụ viễn thông. Các tổ chức khi thực hiện ISO 27011 sẽ có thể đảm bảo

tính bảo mật, tính toàn vẹn và tính sẵn sàng của thiết bị và dịch vụ viễn thông toàn cầu.

Đã được thông qua quá trình hợp tác an toàn và kiểm soát đảm bảo rủi ro trong việc

cung cấp các dịch vụ viễn thông. Có thể dùng để triển khai các nguồn lực để hoạt động

hiệu quả hơn. Tiêu chuẩn đã thông qua một phương pháp tiếp cận toàn diện phù hợp

để bảo mật thông tin. Có thể nâng cao nhận thực cá nhân và tăng sự tin tưởng.

1.1.11 ISO/IEC 27013

ISO/IEC 27013:2012 - Information technology - Security techniques - Guidance on

the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Mối quan hệ giữa an ninh thông tin và quản lý dịch vụ là rất gần mà nhiều tổ chức đã

nhận ra những lợi ích của việc áp dụng cả hai tiêu chuẩn: ISO/IEC 27001 cho an ninh

thông tin và tiêu chuẩn ISO/IEC 20.000-1 cho quản lý dịch vụ. Nó được dùng phổ biến

cho một tổ chức để cải thiện cách thức nó hoạt động cho phù hợp với các yêu cầu của

một tiêu chuẩn quốc tế và sau đó thực hiện những cải tiến để phù hợp với các yêu cầu

của người dùng khác nhau.Có một số lợi thế trong việc thực hiện một hệ thống quản lý

tích hợp trong đó sẽ đưa vào tài khoản không chỉ là cung cấp dịch vụ mà còn bảo vệ tài

sản thông tin. Những lợi ích này vẫm có cho dù một tiêu chuẩn được thực hiện trước,

hay cả hai tiêu chuẩn được thực hiện đồng thời. Quản lý và tổ chức các quy trình, đặc

biệt, có thể hưởng lợi từ sự tương đồng giữa các tiêu chuẩn quốc tế và các mục tiêu

chung của họ.

Mối quan hệ giữa an ninh thông tin và quản lý dịch vụ là rất gần mà nhiều tổ chức đã

nhận ra những lợi ích của việc áp dụng cả hai tiêu chuẩn: ISO/IEC 27001 cho an ninh

thông tin và tiêu chuẩn ISO/IEC 20.000-1 cho quản lý dịch vụ. Nó được phổ biến cho

một tổ chức để cải thiện cách thức nó hoạt động cho phù hợp với các yêu cầu của một

tiêu chuẩn quốc tế và sau đó thực hiện những cải tiến để phù hợp với các yêu cầu của

người khác.

Có một số lợi thế trong việc thực hiện một hệ thống quản lý tích hợp trong đó sẽ đưa

vào tài khoản không chỉ là cung cấp dịch vụ mà còn bảo vệ tài sản thông tin. Những

lợi ích này có thể được hiệm cho dù một tiêu chuẩn được thực hiện trước khi người

kia, hoặc cả hai tiêu chuẩn được thực hiện đồng thời. Quản lý và tổ chức các quy trình,

đặc biệt, có thể hưởng lợi từ sự tương đồng giữa các tiêu chuẩn quốc tế và các mục

tiêu chung của họ.

Những lợi ích chính của một thực hiện tích hợp bao gồm:

a) độ tin cậy, để khách hàng nội bộ hay bên ngoài của các tổ chức, các dịch vụ hiệu

quả và an toàn;

b) chi phí thấp hơn của một chương trình kết hợp của hai dự án, trong đó đạt được

cả quản lý dịch vụ và an ninh thông tin là một phần của chiến lược của một tổ chức;

c) giảm thời gian thực hiện do sự phát triển tích hợp các quy trình chung cho cả hai

tiêu chuẩn;

d) loại bỏ sự trùng lặp không cần thiết;

e) một sự hiểu biết hơn của dịch vụ quản lý và nhân viên an ninh của các quan điểm

của người kia;

f) một tổ chức chứng nhận ISO/IEC 27001 có thể dễ dàng đáp ứng các yêu cầu về

an ninh thông tin trong ISO/IEC 20.000-1: 2011, phân lớp 6.6, khi cả hai tiêu chuẩn

quốc tế được bổ sung trong các yêu cầu.

Hướng dẫn này dựa trên các phiên bản xuất bản của cả hai tiêu chuẩn quốc tế, tiêu

chuẩn ISO/IEC 27001: 2005 và ISO/IEC 20.000-1: 2011.

Tiêu chuẩn này được thiết kế để sử dụng bởi người có kiến thức của cả hai, hoặc là

hoặc không phải của các tiêu chuẩn quốc tế ISO / IEC 27001 và ISO / IEC 20.000-1..

Do đó, tiêu chuẩn này không tái tạo các bộ phận của một trong hai tiêu chuẩn. Tương

tự, nó không mô tả tất cả các bộ phận của mỗi tiêu chuẩn quốc tế một cách toàn diện.

Chỉ có những phần mà chồng chéo đối tượng được mô tả chi tiết.

Tiêu chuẩn này không đưa ra hướng dẫn liên quan đến pháp luật và các quy định khác

nhau bên ngoài sự kiểm soát của tổ chức. Đây có thể khác nhau tùy theo quốc gia và

ảnh hưởng đến quy hoạch hệ thống quản lý của một tổ chức.

1.1.12 ISO/IEC 27014

ISO/IEC 27014:2013 - Information technology - Security techniques - Governance

of information security

Các tiêu chuẩn ISO/IEC 27014: 2013 đã được phát hành vào ngày 15 tháng 5 năm

2013. Việc quản lý an ninh thông tin là một "hệ thống mà theo đó các hoạt động an

ninh thông tin của một tổ chức được chỉ đạo và kiểm soát" (ISO/IEC 27014: 2013).

ISO/IEC 27014: 2013 là một phần của tiêu chuẩn ISO/ IEC 27000 loạt các tiêu chuẩn.

Tiêu chuẩn mới này đã được phát hành như là cả một tiêu chuẩn ISO / IEC 27.014 và

ITU-T khuyến nghị X.1054 (IRCA, 2013). "Quản trị thích hợp của an ninh thông tin,

đảm bảo sự liên kết của an ninh thông tin với chiến lược kinh doanh và mục tiêu, giao

hàng giá trị và trách nhiệm giải trình. Nó hỗ trợ việc đạt được tầm nhìn, nhanh nhẹn,

hiệu quả, hiệu quả và tuân thủ "(ISO27001:2013). Tiêu chuẩn này được "đặc biệt

nhằm giúp các tổ chức chi phối thoả thuận an ninh thông tin của họ" (ISO 27001:

2013). Tiêu chuẩn này cung cấp "hướng dẫn về các khái niệm và nguyên tắc choan

toàn thông tin, do đó các tổ chức có thể đánh giá, chỉ đạo, giám sát, giao tiếp và đảm

bảo các hoạt động liên quan đến an ninh thông tin trong tổ chức" và "áp dụng cho tất

cả các loại và qui mô của các tổ chức" (ISO/IEC 27014: 2013). Các tương đối ngắn,

mười một tiêu chuẩn trang phác thảo quản trị của khái niệm an ninh thông tin và cung

cấp một khuôn khổ của sáu nguyên tắc và khuôn khổ năm (ISO/IEC 27014: 2013).

Tiêu chuẩn này xem việc quản trị của CNTT như chồng chéo với quản trị an ninh

thông tin, cả những yếu tố này là các bộ phận onstituent của khái niệm rộng hơn về

quản trị tổ chức (ISO/IEC 27.014: 2013)

1.1.13 ISO/IEC 27015


security management guidelines for financial services.

Phát triển liên tục trong công nghệ thông tin đã dẫn đến một sự phụ thuộc tăng của các

tổ chức cung cấp dịch vụ tài chính về tài sản của họ xử lý thông tin. Do đó, quản lý,

khách hàng và các nhà quản lý đã được nâng cao kỳ vọng về một sự bảo vệ an toàn

thông tin có hiệu quả với tài sản và các thông tin xử lý. Trong khi đó, theo tiêu chuẩn

ISO/IEC 27001: 2005 và ISO/IEC 27002: 2005 thông tin địa chỉ quản lý an ninh và

điều khiển, họ làm như vậy trong một hình thức tổng quát. Tổ chức cung cấp dịch vụ

tài chính có nhu cầu bảo mật thông tin và những khó khăn cụ thể trong tổ chức tương

ứng của họ hoặc trong khi thực hiện các giao dịch tài chính với các đối tác kinh doanh,

đòi hỏi trình độ cao của sự phụ thuộc giữa các bên liên quan. Báo cáo kỹ thuật này là

một bổ sung cho ISO IEC 27000 – họ gia đình của tiêu chuẩn quốc tế để sử dụng bởi

các tổ chức cung cấp dịch vụ tài chính. Đặc biệt, những hướng dẫn trong báo cáo kỹ

thuật này bổ sung và bổ sung để kiểm soát an ninh thông tin quy định trong ISO/IEC

27002: 2005. Thuật ngữ "dịch vụ tài chính" nên được hiểu như là các dịch vụ trong

quản lý, đầu tư, chuyển nhượng, hoặc cho vay tiền mà có thể được cung cấp bởi các tổ

chức cung cấp chuyên môn tài chính của họ hơn là bán sản phẩm vật lý (tức là bất cứ

ai trong "kinh doanh tiền"). Ngoài việc thực hiện của cả hai tiêu chuẩn ISO/IEC

27001: 2005 và ISO/IEC 27002: 2005, bằng cách sử dụng báo cáo kỹ thuật này, các tổ

chức cung cấp dịch vụ tài chính có thể thành lập một mức độ cao hơn của sự tin tưởng

trong tổ chức của họ, với khách hàng và với các đối tác kinh doanh, trong Đặc biệt, khi

có thể chứng minh rằng họ đã thông qua hướng dẫn cụ thể của ngành để quản lý an

ninh thông tin. Báo cáo kỹ thuật này phản ánh tình trạng của nghệ thuật và không được

dùng cho mục đích chứng nhận.

Tiêu chuẩn kỹ thuật này cung cấp bảo mật thông tin hướng dẫn bổ sung và ngoài kiểm

soát an ninh thông tin quy định trong ISO/IEC 27002:2005 khởi tạo, thực hiện, duy trì

và cải thiện an ninh thông tin trong các tổ chức cung cấp dịch vụ tài chính.

1.1.14 ISO/IEC 27016


security management - Organizational economics

Tiêu chuẩn kỹ thuật này cung cấp hướng dẫn về kinh tế an toàn thông tin là một quá

trình ra quyết định liên quan đến việc sản xuất, phân phối và tiêu thụ hàng hóa và dịch

vụ hạn chế. Hành động để bảo vệ các tài sản thông tin của một tổ chức đòi hỏi nguồn

lực, mà nếu không có thể được giao cho người không-an ninh thông tin liên quan đến

sử dụng thay thế. Các độc giả của tiêu chuẩn kỹ thuật này chủ yếu được dùng để quản

lý điều hành đã giao phó trách nhiệm từ các cơ quan quản lý về chiến lược và chính

sách, ví dụ như Cán bộ Giám đốc điều hành (CEO), Thủ trưởng các tổ chức Chính

phủ, các cán bộ tài chính trưởng (CFO), các cán bộ trưởng điều hành (Coos), Sĩ quan

thông tin trưởng (CIO), các cán bộ an toàn thông tin trưởng (CISOs) và vai trò tương

tự.

Quản lý an toàn thông tin thường được xem như là một phương pháp tiếp cận công

nghệ thông tin chỉ bằng cách sử dụng điều khiển kỹ thuật (ví dụ như mã hóa, truy cập

và quản lý đặc quyền, tường lửa, và sự xâm nhập và xóa mã độc). Tuy nhiên, bất kỳ

ứng dụng bảo mật thông tin là không có hiệu quả mà không xem xét một loạt các điều

khiển khác (ví dụ như điều khiển vật lý, kiểm soát nguồn nhân lực, chính sách và các

quy tắc, vv). Một quyết định đã được thực hiện để dành đủ nguồn lực để hỗ trợ một

loạt các điều khiển như là một phần của quản lý an ninh thông tin. Báo cáo kỹ thuật

này hỗ trợ các mục tiêu lớn của bảo mật thông tin theo quy định tại các tiêu chuẩn

ISO/IEC 27000 gia đình đạt tiêu chuẩn bằng cách giới thiệu kinh tế như là một thành

phần quan trọng của quá trình ra quyết định.

Cùng với một cách tiếp cận quản lý rủi ro (ISO/IEC 27005) và khả năng thực hiện các

phép đo an toàn thông tin (ISO / IEC 27004), các yếu tố kinh tế cần phải được xem xét

như là một phần của quản lý an toàn thông tin khi lập kế hoạch, triển khai, duy trì và

cải thiện sự an toàn của tài sản thông tin của tổ chức. Đặc biệt, luận cứ kinh tế được

yêu cầu phải đảm bảo chi tiêu về an ninh thông tin là hiệu quả như trái ngược với việc

sử dụng các nguồn lực một cách kém hiệu quả hơn.

Thông thường, lợi ích kinh tế của mối quan tâm quản lý an toàn thông tin một hoặc

nhiều điều sau đây:

a) giảm thiểu bất kỳ tác động tiêu cực đến mục tiêu kinh doanh của tổ chức;

b) đảm bảo bất kỳ tổn thất tài chính là chấp nhận được;

c) tránh các yêu cầu về vốn tăng thêm nguy cơ và dự phòng trích lập dự phòng.

Quản lý an toàn thông tin cũng có thể tạo ra lợi ích mà không phải do vấn đề tài chính

một mình. Trong khi những lợi ích phi tài chính là quan trọng, họ thường bị loại khỏi

phân tích kinh tế dựa tài chính. Lợi ích như vậy cần phải được định lượng và bao gồm

như là một phần của các phân tích kinh tế. Các ví dụ bao gồm:

a) tạo điều kiện cho các doanh nghiệp tham gia vào các nỗ lực có nguy cơ cao;

b) tạo điều kiện cho các doanh nghiệp để đáp ứng các nghĩa vụ pháp lý và quy

định;

c) quản lý kỳ vọng của khách hàng của tổ chức;

d) quản lý kỳ vọng của cộng đồng của tổ chức;

e) duy trì một danh tiếng tổ chức đáng tin cậy;

f) cung cấp bảo đảm đầy đủ và chính xác của các báo cáo tài chính.

Tác động kinh tế tài chính và phi tài chính tiêu cực như là một kết quả của một sự thất

bại của tổ chức để cung cấp bảo vệ đầy đủ các tài sản thông tin của nó đang ngày càng

trở thành một vấn đề kinh doanh. Giá trị của quản lý an toàn thông tin bao gồm xác

định một mối quan hệ trực tiếp giữa chi phí kiểm soát để ngăn chặn sự mất mát, và các

chi phí lợi ích của việc tránh thua lỗ.

Tăng mức độ cạnh tranh được dẫn đến sự cần thiết cho các tổ chức để tập trung vào

kinh tế của rủi ro.

Báo cáo kỹ thuật này bổ sung các tiêu chuẩn ISO / IEC 27000 gia đình đạt tiêu chuẩn

bởi đè một góc độ kinh tế về bảo vệ tài sản thông tin của một tổ chức trong bối cảnh

của môi trường xã hội rộng rãi, trong đó một tổ chức hoạt động.

Tiêu chuẩn này cung cấp hướng dẫn kỹ thuật về cách tổ chức có thể đưa ra quyết định

để bảo vệ thông tin và hiểu hậu quả kinh tế của các quyết định trong bối cảnh các yêu

cầu đối với các nguồn lực cạnh tranh.

Tiêu chuẩn kỹ thuật này được áp dụng cho tất cả các loại và kích cỡ của các tổ chức và

cung cấp thông tin để quyết định kinh tế trong quản lý an ninh thông tin của lãnh đạo

những người có trách nhiệm về các quyết định an ninh thông tin.

1.1.15 ISO/IEC 27031

ISO/IEC 27031:2011 - Information technology - Security techniques - Guidelines

for information and communication technology readiness for business continuity

Trong những năm qua, công nghệ thông tin và truyền thông (ICT) đã trở thành một

phần không thể thiếu của rất nhiều các hoạt động đó là những yếu tố của cơ sở hạ tầng

quan trọng trong tất cả các lĩnh vực tổ chức, cho dù công cộng, tư nhân hoặc tự

nguyện. Sự phát triển của Internet và các dịch vụ mạng điện tử khác, và khả năng hiện

nay của hệ thống và các ứng dụng, cũng có nghĩa là các tổ chức càng trở nên phụ

thuộc nhiều hơn vào cơ sở hạ tầng công nghệ thông tin đáng tin cậy, an toàn và an

toàn.

Trong khi đó, nhu cầu quản lý kinh doanh liên tục (BCM), bao gồm chuẩn bị sự cố,

lập kế hoạch khôi phục thảm họa và ứng phó khẩn cấp và quản lý, đã được công nhận

và hỗ trợ với các lĩnh vực cụ thể của kiến thức, chuyên môn và các tiêu chuẩn xây

dựng và ban hành trong những năm gần đây, bao gồm cả các BCM tiêu chuẩn quốc tế

được phát triển bởi ISO / TC 223.

ISO/TC 223 đang trong quá trình phát triển của một quản lý kinh doanh liên tục có

liên quan tiêu chuẩn quốc tế (ISO 22301).

Thất bại của các dịch vụ công nghệ thông tin, bao gồm cả sự xuất hiện của các vấn đề

an ninh như hệ thống xâm nhập và lây nhiễm phần mềm độc hại, sẽ ảnh hưởng đến

tính liên tục của hoạt động kinh doanh. Do đó việc quản lý công nghệ thông tin và liên

tục có liên quan và các khía cạnh an ninh khác tạo thành một phần quan trọng của các

yêu cầu kinh doanh liên tục. Hơn nữa, trong phần lớn các trường hợp, các chức năng

kinh doanh quan trọng đòi hỏi phải liên tục kinh doanh thường phụ thuộc vào công

nghệ thông tin. Sự phụ thuộc này có nghĩa rằng sự gián đoạn để ICT có thể cấu thành

rủi ro chiến lược đối với danh tiếng của tổ chức và khả năng của mình để hoạt động.

Sẵn sàng ICT là một thành phần thiết yếu đối với nhiều tổ chức trong việc thực hiện

quản lý kinh doanh liên tục và quản lý an ninh thông tin. Là một phần của việc thực

hiện và hoạt động của một hệ thống quản lý an ninh thông tin (ISMS) được quy định

trong tiêu chuẩn ISO/IEC 27001 và hệ thống quản lý kinh doanh liên tục (BCMS)

tương ứng, nó là rất quan trọng để phát triển và thực hiện một kế hoạch sẵn sàng cho

các dịch vụ công nghệ thông tin để giúp đảm bảo kinh doanh liên tục.

Kết quả là, BCM hiệu quả là thường xuyên phụ thuộc vào sự sẵn sàng ICT hiệu quả để

đảm bảo rằng các mục tiêu của tổ chức có thể tiếp tục được đáp ứng trong thời gian

gián đoạn. Điều này đặc biệt quan trọng là những hậu quả của sự gián đoạn ICT

thường có những biến chứng nhất của việc vô hình và / hoặc khó phát hiện.

Để cho một tổ chức để đạt được sự sẵn sàng cho công nghệ thông tin kinh doanh liên

tục (IRBC), nó cần phải đưa ra một quy trình hệ thống để ngăn chặn, dự đoán và quản

lý gián đoạn ICT và các sự cố có khả năng làm gián đoạn dịch vụ công nghệ thông tin.

Điều này có thể đạt được tốt nhất bằng cách áp dụng các Plan-Do-Check-Act (PDCA)

bước theo chu kỳ như là một phần của một hệ thống quản lý trong lĩnh vực CNTT

IRBC. Bằng cách này IRBC hỗ trợ BCM bằng cách đảm bảo rằng các dịch vụ công

nghệ thông tin như phục hồi phù hợp và có thể được phục hồi trong khoảng thời gian

yêu cầu và thỏa thuận của tổ chức được xác định trước.

1.2 Bộ tiêu chuẩn ISO/IEC 15408

Bộ tiêu chuẩn ISO/IEC 15408 có tên là “Công nghệ thông tin – Các kỹ thuật an toàn –

Các tiêu chí đánh giá cho an toàn CNTT”. ISO/IEC 15408 được biên soạn bởi Ủy ban

kỹ thuật liên hợp ISO/IEC JTC 1 về công nghệ thông tin (Joint Technical Committee

ISO/IEC JTC) và Tiểu ban SC 27 về các kỹ thuật an toàn CNTT (Information

Technology Subcommittee SC 27, IT security techniques). Tài liệu chuẩn ISO/IEC

15408 được xuất bản bởi các tổ chức tài trợ dự án về các tiêu chuẩn chung dưới tiêu đề

“Các tiêu chí chung cho đánh giá an toàn CNTT”.

Tiêu chuẩn ISO/IEC 15408 cho phép thực hiện so sánh các kết quả đánh giá an toàn

độc lập. Tiêu chuẩn cung cấp một tập các yêu cầu đối với chức năng an toàn của các

sản phẩm và hệ thống CNTT, và về các biện pháp đảm bảo áp dụng các yêu cầu trong

quá trình đánh giá an toàn. Tiêu chuẩn cung cấp các tiêu chí tổng quát để đánh giá an

toàn cho các sản phẩm và hệ thống CNTT. Các kết quả đánh giá có thể giúp người

dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn chưa khi đưa vào sử

dụng, và các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay không.

Bộ tiêu chuẩn ISO/IEC 15408 được xây dựng nhằm đáp ứng một nhu cầu thiết thực

của thực tiễn là làm cơ sở cho thực hiện đánh giá năng lực đảm bảo an toàn thông tin

cho các sản phẩm và hệ thống CNTT, và giúp các doanh nghiệp trong việc phát triển

các sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin. Để đạt

được sự so sánh hiệu quả giữa các kết quả đánh giá, các đánh giá cần được thực hiện

theo một khung của mô hình chính thức trong đó có các tiêu chí đánh giá chung. Điều

này làm tăng thêm tính chính xác, nhất quán và khách quan của kết quả đánh giá.

Bộ tiêu chuẩn gồm 3 phần là : ISO/IEC 15408-1, ISO/IEC 15408-2, ISO/IEC 15408-3.

1.2.1 ISO/IEC 15408-1: 2009

ISO/IEC 15408-1: 2009 - Information technology - Security techniques -

Evaluation criteria for IT security - Part 1: Introduction and general model

ISO / IEC 15.408-1: 2009 thiết lập các khái niệm chung và nguyên tắc của công nghệ

thông tin đánh giá an ninh và xác định mô hình chung của đánh giá được đưa ra bởi

các phần khác nhau của tiêu chuẩn ISO/IEC 15408 mà toàn bộ là có nghĩa là để được

sử dụng làm cơ sở cho việc đánh giá an ninh tính chất của các sản phẩm CNTT.

ISO / IEC 15.408-1: 2009 cung cấp một cái nhìn tổng quan của tất các phần trong tiêu

chuẩn ISO/IEC 15408. Nó mô tả các bộ phận khác nhau của tiêu chuẩn, các thuật ngữ

và chữ viết tắt được sử dụng trong tất cả các bộ phận của tiêu chuẩn quốc tế, thiết lập

các khái niệm cốt lõi của một mục tiêu của đánh giá (TOE), bối cảnh đánh giá và mô

tả đối tượng mà các tiêu chí đánh giá được. Giới thiệu các khái niệm bảo mật cơ bản

cần thiết cho việc đánh giá các sản phẩm CNTT được đưa ra. Nó định nghĩa các hoạt

động khác nhaumaf các thành phần chức năng và bảo đảm được đưa ra trong ISO/IEC

15408-2 và ISO/IEC 15408-3 có thể được thay đổi thông qua việc sử dụng các hoạt

động cho phép.

Mục đích :

ISO / IEC 15.408-1: 2009 đưa ra hướng dẫn cho các đặc điểm kỹ thuật của các mục

tiêu an ninh (ST) và cung cấp một mô tả của các tổ chức của các thành phần trong suốt

mô hình. đoành

1.2.2 ISO/IEC 15408-2:2008

ISO/IEC 15408-2:2008- Information technology - Security techniques - Evaluation

criteria for IT security - Part 2: Security functional components

ISO/IEC 15.408-2: 2008 xác định nội dung và trình bày các yêu cầu chức năng an toàn

được đánh giá trong một đánh giá an toàn bằng cách sử dụng tiêu chuẩn ISO/IEC

15408. Nó bao gồm một danh mục toàn diện các thành phần chức năng bảo mật được

xác định trước rằng sẽ đáp ứng nhu cầu bảo mật phổ biến nhất của thị trường. Đây là

những tổ chức sử dụng một cấu trúc phân cấp của các lớp và các thành phần, và được

hỗ trợ bởi người sử dụng ghi chú toàn diện.

Mục đích

Những đối tượng có thể áp dụng phần này của tiêu chuẩn ISO/IEC 15408 bao gồm

người dùng, các nhà phát triển và đánh giá hệ thống và sản phẩm CNTT. Người dùng

sử dụng ISO 15408-2 khi lựa chọn các thành phần chức năng được yêu cầu rõ ràng để

đáp ứng các mục tiêu an ninh hiện trong một hồ sơ bảo vệ hoặc một mục tiêu an ninh.

Các nhà phát triển, hay những người dùng cần đáp ứng yêu cầu an ninh trong thực tế,

hay nhận thức trong việc xây dựng một mục tiêu của đánh giá. Có thể tìm thấy một

phương pháp tiêu chuẩn để hiểu những yêu cầu trong phần này của ISO/IEC 15408.

Họ cũng có thể sử dụng các nội dung của phần này của ISO/IEC 15408 như một cơ sở

để xác định thêm các chức năng bảo mật mục tiêu được đánh giá và cơ chế thực hiện

theo những yêu cầu.

1.2.3 ISO/IEC 15408-3:2008

ISO/IEC 15408-3:2008- Information technology - Security techniques - Evaluation

criteria for IT security - Part 3: Security assurance components.

Xác định các yêu cầu đảm bảo các tiêu chí đánh giá. Nó bao gồm các mức đảm bảo

đánh giá để xác định quy mô để đo, đảm bảo cho các mục tiêu thành phần của đánh giá

(TOE), các gói bảo đảm bao gồm xác định quy mô để đo đảm bảo cho các TOE sáng

tác, các thành phần đảm bảo cá nhân mà từ đó các cấp bảo đảm và các gói được cấu

tạo , và các tiêu chuẩn đánh giá hồ sơ bảo vệ và các mục tiêu an ninh.

Mục đích

Cung cấp hướng dẫn về đặc điểm kỹ thuật của yêu cầu bảo mật tùy chỉnh mà không có

thành phần chức năng bảo mật được xác định trước phù hợp tồn tại.

2 Các tiêu chuẩn quốc gia

2.1 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005

TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 - Công nghệ thông tin - Hệ thống

quản lý an toàn thông tin - Các yêu cầu

TCVN ISO/IEC 27001:2009 hoàn toàn tương đương với ISO/IEC 27001:2005

TCVN ISO/IEC 27001:2009 do Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam biên

soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất

lượng thẩm định, Bộ Khoa học và Công nghệ công bố

Mục đích

Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập; triển khai; điều hành; giám

sát; soát xét; duy trì và cải tiến một hệ thống quản lý an toàn thông tin (ISMS) để đảm

bảo an toàn thông tin trước những rủi ro có thể xảy ra với các hoạt động của tổ chức.

Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản lý an toàn đã

được chọn lọc phù hợp với nhu cầu của tổ chức hoặc bộ phận của tổ chức.

2.2 TCVN 7562:2005 ISO/IEC 17799:2000

TCVN 7562:2005 ISO/IEC 17799:2000 - Công nghệ thông tin - Mã thực hành quản

lý an ninh thông tin

Tiêu chuẩn việt nam Mã thực hành quản lý an ninh thông tin – TCVN 7562 do Ban kỹ

thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố thông tin và tài liệu trong

thương mại, công nghiệp và hành chính” biên soạn, Tổng cục Đo lường chất lượng đề

nghị, Bộ Khoa học và Công nghệ ban hành năm 2005.

Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 có

tên “code of practice for information security management”và hoàn toàn tương đương

với tiêu chuẩn quốc tế này.

Mục tiêu

Tiêu chuẩn này gồm có mười hai phần, đưa ra các khuyến nghị về công tác quản lý an

ninh thông tin cho những người có trách nhiệm cài đặt, thực thi hoặc duy trì an ninh

trong tổ chức của họ. Tiêu chuẩn này nhằm cung cấp một cơ sở chung để xây dựng các

tiêu chuẩn an ninh trong tổ chức và thực hành quản lý an toàn thông tin một cách hiệu

quả và tạo sự tin cậy trong các giao dịch liên tổ chức. Các khuyến Các khuyến nghị rút

ra từ tiêu chuẩn này được lựa chọn và sử dụng phù hợp với các luật và quy định liên

quan.

Tiêu chuẩn TCVN 7562 được trình bày trong mười hai phần bao gồm:

1) Phạm vi áp dụng;

2) Thuật ngữ và định nghĩa;

3) Chính sách an ninh;

4) An ninh tổ chức;

5) Phân loại và kiểm soát tài sản;

6) An ninh cá nhân;

7) An ninh môi trường vật lý;

8) Quản lý truyền thông và hoạt động;

9) Kiểm soát truy cập;

10)Phát triển và duy trì hệ thống;

11)Quản lý liên tục trong kinh doanh;

12)Sự tuân thủ.

Tiêu chuẩn đã đưa ra 127 hướng dẫn đảm bảo an toàn thông tin được phân thành 10

vấn đề chính, bao gồm:

Chính sách an ninh

Mục tiêu là cung cấp phương hướng quản lý và hỗ trợ an ninh thông tin.

Ban quản lý an toàn thông tin (BQL) nên thiết lập một phương hướng chính sách rõ

ràng, công khai hỗ trợ và cam kết ANTT thông qua việc phát hành và duy trì một

chính sách an ninh (CSAN) thông tin trong toàn tổ chức.

Việc xây dựng các chính sách an ninh bao gồm hai nội dung cơ bản:

a) Các cơ quan tổ chức cần tự xây dựng tài liệu CSAN phù hợp với hoạt động thực

tiễn trong đó bao gồm các nội dung:

- Định nghĩa về an ninh thông tin (ANTT), đối tượng, phạm vi, tầm quan trọng;

- Mục đích quản lý, hỗ trợ các mục tiêu và nguyên tắc về ANTT;

- Giải thích các chính sách, nguyên tắc, tiêu chuẩn, yêu cầu đặc biệt của tổ chức

quy định.;

- Xác định trách nhiệm cho việc quản lý và báo cáo;

- Danh mục các tài liệu có thể hỗ trợ.

b) Các cơ quan tổ chức cần thường xuyên soát xét đánh giá hiệu quả của CSAN đã

có.

An ninh tổ chức

a) Hạ tầng an ninh thông tin

Mục tiêu : Quản lý an ninh thông tin trong tổ chức

Khuôn khổ quản lý nên được thiết lập để khởi đầu và kiểm soát việc thực hiện an ninh

thông tin trong tổ chức.

Các diễn đàn quản lý phù hợp với khả năng lãnh đạo của ban quản lý nên được thành

lập để thông qua CSAN, ấn định các vai trò an ninh và phối hợp thực hiện an ninh

trong toàn bộ tổ chức. Nếu cần thiết, một tập hợp các khuyến nghị về an ninh thông tin

nên được thiết lập và sẵn dùng trong tổ chức. Nên phát triển việc cộng tác với các

chuyên gia an ninh bên ngoài để theo kịp các xu hướng công nghiệp, các tiêu chuẩn

giám sát, phương pháp đánh giá và cung cấp các điểm liên lạc phù hợp khi xử lý sự cố

an ninh. Nên khuyến khích sử dụng cách tiếp cận an ninh thông tin đã chiều, ví dụ bao

gồm sự phối hợp và hợp tác của các nhà quản lý, người sử dụng, nhà quản trị, người

thiết kế ứng dụng, kiểm toán viên, nhân viên an ninh và các chuyên gia có kỹ năng

chuyên môn trong nhiều lĩnh vực như bảo hiểm và quản lý rủi ro.

Xây dựng một hạ tầng an ninh thông tin cần thực hiện

- Xây dựng diễn đàn quản lý ANTT;

- Hợp tác về ANTT (Phối hợp thực hiện đảm bảo ANTT giữa các bộ phận,

chuyên gia);

- Phân định trách nhiệm về ANTT;

- Quyền xử lý phương tiện xử lý thông tin;

- Khuyến nghị của chuyên gia ATTT;

- Hợp tác giữa các tổ chức;

- Soát xét ANTT một cách độc lập.

b) An ninh đối với sự truy cập bên thứ ba

Mục tiêu : Duy trì an ninh cho các phương tiện xử lý thông tin của tổ chức và các tài

sản thông tin do các bên thứ ba truy cập.

- Xác định các rủi ro từ việc truy cập của bên thứ ba;

- Các yêu cầu an ninh trong hợp đồng với bên thứ ba.

c) Cung ứng bên ngoài

Mục tiêu : Duy trì an ninh cho các phương tiện xử lý thông tin của tổ chức và các tài

sản thông tin do các bên thứ ba truy cập

- Xác định các rủi ro từ việc truy cập của bên thứ ba;

- Các yêu cầu an ninh trong hợp đồng với bên thứ ba.

Phân loại và kiểm soát tài sản

a) Trách nhiệm giải trình các tài sản

Mục tiêu : Duy trì bảo vệ thích hợp các tài sản của tổ chức

- Tài sản: Thông tin; thiết bị; phần mềm; dịch vụ;

- Toàn bộ tài sản chính nên được giải trình và có người quản lý được bổ nhiệm;

- Thường xuyên kiểm kê, kiểm soát đảm bảo an ninh cho tài sản.

b) Phân loại thông tin

Mục tiêu : Đảm bảo tài sản thông tin có mức bảo vệ thích hợp

- Hướng dẫn phân loại thông tin;

- Dán nhãn quản lý thông tin.

An ninh cá nhân

a) An ninh theo định nghĩa và nguồn công việc

Mục tiêu : Giảm rủi ro do các hành vi sai sót, đánh cắp, gian lận hoặc lạm dụng các

phương tiện

Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:

- An ninh theo trách nhiệm công việc;

- Chính sách và kiểm tra nhân sự;

- Thỏa thuận về tính bảo mật;

- Các điều khoản và điều kiện tuyển dụng.

b) Đào tạo người sử dụng (NSD)

Mục tiêu : Đảm bảo NSD nhận thức được các mối đe dọa và các vấn đề liên quan đến

ANTT.

c) Đối phó với các sự cố và sự cố an ninh

Mục tiêu : Giảm thiểu thiệt hại từ các trục trặc và sự cố AN, theo dõi và rút kinh

nghiệm.


- Báo cáo sự cố (bảo mật);

- Báo cáo các điểm yếu an ninh;

- Báo cáo sự cố (phần mềm);

- Rút kinh nghiệm từ các sự cố;

- Quy trình thiết lập kỷ luật.

An ninh môi trường vật lý

a) Phạm vi an ninh

Mục tiêu : Ngăn ngừa việc truy cập, gây hại và can thiệp trái phép vào vùng và thông

tin nghiệp vụ


- Xây dựng vành đai an ninh vật lý;

- Kiểm soát xâm nhập vật lý;

- An ninh văn phòng, phòng và phương tiện;

- Làm việc trong phạm vi an ninh;

- Các khu vực tiếp nhận và phân phối riêng biệt.

b) Kiểm soát chung

Mục tiêu : Ngăn ngừa làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông

tin


- Chính sách bàn sạch và màn hình sạch;

- Di chuyển tài sản.

Quản lý truyền thông và hoạt động

a) Trách nhiệm và thủ tục hoạt động

Mục tiêu : Đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an toàn.


- Thủ tục vận hành được tài liệu hóa;

- Kiểm soát thay đổi trong hoạt động;

- Thủ tục quản lý sự cố;

- Phân tách trách nhiệm;

- Phân tách về các phương tiện phát triển và hoạt động;

- Quản lý các phương tiện bên ngoài.

b) Lập kế hoạch hệ thống và sự công nhận

Mục tiêu : Giảm thiểu rủi ro về lỗi hệ thống


- Lập kế hoạch về năng lực;

- Chấp nhận hệ thống.

c) Bảo vệ chống lại phần mềm cố ý gây hại

Đối tượng : Để bảo vệ tính toàn vẹn của phần mềm và thông tin

- Kiểm tra chống lại các phần mềm cố ý gây hại.

d) Công việc cai quản

Mục tiêu: Duy trì tính toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông tin

- Sao lưu thông tin;

- Các bản ghi của điều hành viên;

- Ghi lại khiếm khuyết.

e) Quản lý mạng

Đối tượng: Đảm bảo viện bảo vệ thông tin trên các mạng và việc bảo vệ hạ tầng hỗ trợ

- Kiểm soát mạng.

f) Trình điều khiển và an ninh môi trường truyền thông

Đối tượng : Để ngăn ngừa tổn hại tới tài sản và gián đoạn các hoạt động của cơ quan.

Phương tiện truyền thông nên được kiểm soát và bảo vệ vật lý


- Quản lý vủa phương tiện truyền thông máy tính có thể tháo lắp được;

- Sự chuyển nhượng của môi trường truyền thông;

- Các thủ tục của trình điều khiển thông tin.

g) Trao đổi các thông tin và phần mềm

Đối tượng: Ngăn ngừa mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi

giữa các tổ chức

- Thỏa thuận trao đổi thông tin và phần mềm;

- An ninh môi trường truyền thông tin;

- An ninh thương mại điện tử;

- Các rủi ro;

- Chính sách về thư điện tử;

- An ninh các hệ thống văn phòng điện tử;

- Các hệ thống công cộng sẵn có;

- Các biểu mẫu trao đổi thông tin khác.

Kiểm soát truy cập

a) Yêu cầu kinh doanh đối với kiểm soát truy cập

Đối tượng: Để kiểm soát truy cập thông tin

- Chính sách kiểm soát truy cập;

- Chính sách và yêu cầu kinh doanh (nghiệp vụ);

- Các quy tắc kiểm soát truy cập.

b) Quản lý truy cập người sử dụng

Đối tượng: Ngăn ngừa trái phép cho các truy cập hệ thống thông tin

- Đăng ký người sử dụng;

- Quản lý đặc quyền;

- Quản lý mật khẩu;

- Soát xét các quyền truy cập của người sử dụng.

c) Trách nhiệm của người sử dụng

Đối tượng: Ngăn ngừa người sử dụng truy cập trái phép

- Sử dụng mật khẩu;

- Giám sát thiết bị.

d) Kiểm soát truy cập mạng

Đối tượng: Sự bảo vệ của các dịch vụ được nối mạng

- Chính sách về sử dụng các dịch vụ mạng;

- Đường dẫn bắt buộc;

- Xác thực người sử dụng đối với các kết nối bên ngoài;

- Xác thực nút mạng;

- Bảo vệ cổng chẩn đoán từ xa;

- Tình trạng phân tách trong mạng;

- Kiểm soát kết nối của mạng;

- Kiểm soát định tuyến mạng;

- An ninh của các dịch vụ mạng.

e) Kiểm soát định truy cập hệ điều hành

Đối tượng: Để ngăn ngừa truy cập máy tính trái phép

- Định danh tự động thiết bị đầu cuối;

- Các thủ tục nhập vào thiết bị đầu cuối;

- Định danh và xác thực người sử dụng;

- Hệ thống quản lý mật khẩu;

- Sử dụng các tiện ích của hệ thống;

- Cảnh báo bắt buộc để bảo vệ NSD;

- Thời gian chờ của thiết bị đầu cuối;

- Giới hạn của thời gian kết nối.

f) Kiểm soát truy cập của ứng dụng

Đối tượng: Để ngăn ngừa truy cập trái phép tới thông tin của hệ thống thông tin

- Hạn chế truy cập thông tin;

- Cách ly hệ thống nhạy cảm.

g) Kiểm soát truy cập và sử dụng hệ thống

Đối tượng: Phát hiện hoạt động trái phép

- Ghi lại sự kiện;

- Kiểm tra việc sử dụng hệ thống;

- Đồng bộ hóa đồng hồ.

h) Công tác từ xa và tính toán lưu động

Đối tượng: Để đảm bảo an ninh thông tin khi sử dụng các phương tiện máy tính di

động

- Tính toán lưu động;

- Công tác từ xa.

Phát triển và duy trì hệ thống

a) Các yêu cầu an ninh của hệ thống

Đối tượng: Đảm bảo rằng an ninh được thiết lập trong các hệ thống thông tin

- Phân tích và đặc tả các yêu cầu an ninh.

b) An ninh trong các hệ thống ứng dụng

Đối tượng: Để ngăn ngừa mất mát, thay đổi hoặc lạm dụng thông tin người sử dụng

trong các hệ thống ứng dụng

- Xác định tính hợp lệ của thông tin đầu vào;

- Kiểm soát quá trình nội bộ;

- Xác thực thông điệp;

- Kiểm tra tính hợp lệ của thông tin ra .

c) Các kiểm soát mật mã hóa

Đối tượng: Để bảo vệ tính tin cẩn, xác thực hoặc toàn vẹn của thông tin

- Chính sách về việc sử dụng các kiểm soát mật mã hóa;

- Sự mật mã hóa;

- Các chữ ký điện tử;

- Các dịch vụ không từ chối nhận;

- Quản lý khóa.

d) An ninh các tệp hệ thống

Đối tượng: Để đảm bảo rằng các dự án IT và các hoạt động hỗ trợ được quản lý một

cách an toàn

- Kiểm soát phần mềm thao tác;

- Sự bảo vệ của thông tin thử nghiệm hệ thống;

- Kiểm soát truy cập tới thư viện gốc của chương trình.

e) An ninh quá trình hỗ trợ và phát triển

Đối tượng: Để duy trì an ninh của phần mềm và thông tin hệ thống ứng dụng

- Kiểm soát sự thay đổi các thủ tục;

- Xem xét kỹ thuật của các thay đổi hệ điều hành;

- Các hạn chế thay đổi đối với các gói phần mềm;

- Các kênh chuyển đổi và mã thành Troa;

- Xây dựng phần mềm được cung ứng;

Quản lý liên tục trong kinh doanh

a) Các khía cạnh về quản lý liên tục trong kinh doanh

Đối tượng: Để chống lại sự gián đoạn các hoạt động kinh doanh và để bảo vệ các thủ

tục kinh doanh có tính phê bình khỏi các tác động của các lỗi hoặc các thảm họa lớn

- Quản lý tính liên tục của thủ tục kinh doanh;

- Phân tích tác động và liên tục trong kinh doanh;

- Ghi lại và thực hiện các kế hoạch về tính liên tục;

- Khuôn khổ lập kế hoạch liên tục trong kinh doanh;

- Thử nghiệm, duy trì và đánh giá lại các kế hoạch liên tục của doanh nghiệp.

Sự tuân thủ

a) Tuân thủ các yêu cầu pháp lý

Đối tượng: Để tránh các vi phạm bất kỳ luật hình sự và dân sự, các nghĩa vụ có tính

luật pháp, nguyên tắc hoặc giao kèo và bất kỳ yêu cầu an ninh nào

- Xác định văn bản pháp lý có thể áp dụng;

- Các quyền sở hữu trí tuệ (IPR);

- Bản quyền phần mềm;

- Bảo vệ các báo cáo tổ chức;

- Bảo vệ thông tin đảm bảo bí mật của thông tin cá nhân;

- Ngăn ngừa việc sử dụng sai các phương tiện xử lý thông tin;

- Quy định các kiểm soát mật mã hóa;

- Tập hợp chứng cớ.

b) Soát xét của chính sách an ninh và yêu cầu kỹ thuật

Đối tượng: Để đảm bảo việc tuân thủ của hệ thống với các chính sách và tiêu chuẩn an

ninh của tổ chức

- Sự tuân theo chính sách an ninh;

- Kiểm tra sự tuân theo kỹ thuật.

c) Sự xem xét kiểm tra hệ thống

Đối tượng: Để tối đa tính hiệu lực và để giảm thiểu sự can thiệp tới/từ quy trình kiểm

tra hệ thống đó

- Các kiểm soát kiểm tra hệ thống;

- Sự bảo vệ của các công cụ kiểm tra hệ thống.

2.3 Bộ TCVN 8709

Bô tiêu chuẩn Việt Nam này hoàn toàn tương đương với bộ tiêu chuẩn ISO/IEC

15408. Bộ tiêu chuẩn có chứa một tập hợp chung các yêu cầu cho các chức năng bảo

mật của sản phẩm và các hệ thống, các biện pháp bảo đảm áp dụng cho họ trong quá

trình đánh giá an toàn bảo mật. Nó có thể được áp dụng trong bất kì lĩnh vực nào cần

phải kiểm tra độ an toàn bảo mật của một hệ thống hay một sản phẩm công nghệ thông

tin.

Bao gồm 3 phần TCVN 8709-1, TCVN 8709-2, TCVN 8709-3.

2.3.1 TCVN 8709-1:2011 ISO/IEC 15408-1:2009

TCVN 8709-1:2011 ISO/IEC 15408-1:2009 - Công nghệ thông tin- Các kỹ thuật an

toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng

quát

TCVN 8709-1:2011 hoàn toàn tương đương ISO/IEC 15408-1:2008

TCVN 8709-1:2011 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn,

Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng

thẩm định, Bộ Khoa học và Công nghệ công bố. .

Mục đích

Tiêu chuẩn này cho phép thực hiện so sánh các kết quả đánh giá an toàn độc lập. Tiêu

chuẩn cung cấp một tập các yêu cầu chung về chức năng an toàn cho các sản phẩm

công nghệ thông tin (CNTT), và về các biện pháp đảm bảo áp dụng cho các sản phẩm

này trong quá trình đánh giá an toàn. Các sản phẩm CNTT này có thể dưới dạng phần

cứng, phần sụn hay phần mềm.

Quy trình đánh giá thiết lập một mức tin cậy về việc các chức năng an toàn cho các sản

phẩm CNTT và các biện pháp đảm bảo áp dụng cho chúng thỏa mãn các yêu cầu nêu

trên. Các kết quả đánh giá có thể giúp người dùng xác định xem sản phẩm hoặc hệ

thống CNTT có thỏa mãn yêu cầu đảm bảo an toàn của chúng hay không.

TCVN 8709 là một chỉ dẫn bổ ích cho phát triển, đánh giá và/hoặc đầu tư các sản

phẩm CNTT với chức năng an toàn.

TCVN 8709 có tính mềm dẻo, cho phép áp dụng nhiều phương pháp đánh giá cho

nhiều đặc tính an toàn của đa dạng sản phẩm CNTT. Chính vì vậy, người dùng tiêu

chuẩn này cần thận trọng khi áp dụng để tránh lạm dụng nó. Ví dụ, nếu sử dụng TCVN

8709 kết hợp với các phương pháp đánh giá không phù hợp, các đặc tính an toàn

không thích hợp, hoặc các sản phẩm CNTT không phù hợp sẽ dẫn đến các kết quả

đánh giá vô nghĩa.

Do vậy, thực tế là một sản phẩm CNTT đã được đánh giá chỉ có ý nghĩa trong phạm vi

ngữ cảnh các đặc tính an toàn được đánh giá với các phương pháp đánh giá cụ thể đã

sử dụng. Các cơ quan đánh giá cần kiểm tra thận trọng các sản phẩm, đặc tính và các

phương pháp để xác định rõ việc đánh giá đem lại kết quả có nghĩa. Ngoài ra, người

mua các sản phẩm đã được đánh giá cũng cần xem xét kỹ lưỡng ngữ cảnh này để xác

định xem sản phẩm đã đánh giá có hữu ích và áp dụng được cho trường hợp cụ thể của

mình và đáp ứng yêu cầu hay không.

TCVN 8709 đề cập đến việc bảo vệ tài sản thông tin chống các truy nhập trái phép,

các sửa đổi hoặc mất mát trong sử dụng. Phân loại bảo vệ liên quan đến ba kiểu lỗi an

toàn kể trên tương ứng với tính bí mật, tính toàn vẹn và tính sẵn sàng. TCVN 8709

cũng có thể áp dụng cho các đánh giá ngoài ba nhóm trên. TCVN 8709 áp dụng cho

các rủi ro phát sinh từ các hành vi của con người (ác ý hoặc lý do khác), và cho các rủi

ro không do con người tạo ra. Ngoài an toàn CNTT, TCVN 8709 có thể áp dụng cho

các lĩnh vực CNTT khác, song không có ràng buộc nào khi áp dụng cho các lĩnh vực

đó.

2.3.2 TCVN 8709-2:2011 ISO/IEC 15408-2:2008


toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an

toàn

TCVN 8709-2:2011 hoàn toàn tương đương IS/IEC 15408-2:2008

TCVN 8709-2:2011 do Trung tâm Ứng cứu khẩn cấp máy tính VIệt Nam biên soạn,


thẩm định, Bộ Khoa học và Công nghệ công bố.

Mục đích

Các thành phần chức năng an toàn định nghĩa trong tiêu chuẩn này (TCVN 8709-2) là

cơ sở cho các yêu cầu chức năng an toàn biểu thị trong một hồ sơ bảo vệ (PP) hoặc

một đích an toàn (ST). Các yêu cầu này mô tả các hành vi an toàn mong muốn dự kiến

đối với một đích đánh giá (TOE) và nhằm đáp ứng các mục tiêu an toàn đã tuyên bố

trong một PP hoặc một ST. Các yêu cầu này mô tả các đặc tính an toàn mà người dùng

có thể phát hiện ra thông qua tương tác trực tiếp với công nghệ thông tin (CNTT) hoặc

qua phản ứng của CNTT với các tương tác.

2.3.3 TCVN 8709-3:2011 ISO/IEC 15408-3:2008


toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an

toàn

TCVN 8709-3:2011 hoàn toàn tương đương IS/IEC 15408-2:2008

TCVN 8709-3:2011 do Trung tâm Ứng cứu khẩn cấp máy tính VIệt Nam biên soạn,


thẩm định, Bộ Khoa học và Công nghệ công bố

Các thành phần đảm bảo an toàn như định nghĩa trong tiêu chuẩn này của TCVN 8709

là cơ sở cho các yêu cầu đảm bảo an toàn được biểu thị trong một hồ sơ bảo vệ (PP)

hoặc một đích an toàn (ST).

3 Tiêu chuẩn áp dụng xây dựng chuẩn

Ở Việt Nam hiện tại đã có một số chuẩn xây dựng liên quan đến việc quản lý an toàn

thông tin. Nhưng các chuẩn ở Việt Nam đã xây dựng chưa đi sát về nội dung quản lý

an toàn thông tin hoặc lại áp dụng theo các phiên bản ISO đã cũ trên thế giới, hiện tại

những phiên bản cũ này đã có bản cập nhật mới hơn, có bố cục trình bày, nội dung

được sửa đổi khác với bản cũ để phù hợp với tình hình phát triển công nghệ thông tin.

Ví dụ như chuẩn ISO/IEC 27001:2009 xây dựng hoàn toàn tương đương ISO/IEC

27001:2005, hiện tại đã có ISO/IEC 27001:2013. Bộ tiêu chuẩn TCVN 8709 xây dựng

hoàn toàn tương đương với bộ tiêu chuẩn ISO/IEC 15408. Vì vậy chúng ta sẽ áp dụng

các bộ chuẩn phiên bản mới nhất để xây dựng bộ tiêu chuẩn quản lý an toàn thông tin.

Những chuẩn thuộc lĩnh vực an toàn quản lý thông tin trên thế giới đã giới thiệu; như

bộ tiêu chuẩn ISO/IEC 15408, có chứa một tập hợp chung các yêu cầu cho các chức

năng bảo mật của sản phẩm và các hệ thống, các biện pháp bảo đảm áp dụng cho họ

trong quá trình đánh giá an toàn bảo mật. Bộ tiêu chuẩn này có thể được áp dụng trong

bất kì lĩnh vực nào cần phải kiểm tra độ an toàn bảo mật của một hệ thống hay một sản

phẩm công nghệ thông tin. Hay bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình

để thiết lập, thực hiện, điều hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản

lý an toàn thông tin (ISMS).

Nhận thấy trong các tiêu chuẩn hay bộ tiêu chuẩn tìm hiểu thì bộ tiêu chuẩn ISO/IEC

27000 là đầy đủ và có nội dung phù hợp nhất để xây dựng bộ tiêu chuẩn quản lý an

toàn thông tin.

Trong bộ tiêu chuẩn nhóm đề tài xây dựng là quản lý an toàn thông tin có một phần là

an toàn toàn trao đổi được trình bày trong phần dự thảo, và áp dụng tiêu chuẩn

27002:2013 để xây dựng.

CHƯƠNG 3. XÂY DỰNG TIÊU CHUẨN KỸ THUẬT QUỐC GIA VỀ QUẢN LÝ AN TOÀN THÔNG TIN

1 Lý do và mục đích xây dựng tiêu chuẩn

1.1 Lý do

Như đã đề cập ở chương 1, nguy cơ mất an toàn thông tin ngày một gia tăng, là một

vấn đề hết sức cấp bách, các cơ quan tổ chức và các đơn vị đang rất cần những tiêu

chuẩn hướng dẫn quản lý an toàn thông tin.

Hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin chưa đầy đủ hoặc chưa

cập nhật so với sự thay đổi trên thế giới. Như TCVN ISO/IEC 27002:2011 bao gồm

các biện pháp quản lý liên quan đến quản lý an toàn trao đổi. Tuy nhiên tiêu chuẩn này

lấy tiêu chuẩn ISO/IEC 27002:2005 làm tài liệu viện dẫn. Sau gần 8 năm ra đời tiêu

chuẩn ISO/IEC 27002:2005, đã có rất nhiều thay đổi trên thế giới về an toàn thông tin,

các mối đe doạ, các điểm yếu kỹ thuật, các rủi ro liên quan đến điện toán đám mây,

thông tin. Do vậy tiêu chuẩn ISO/IEC 27002:2005 đã được cập nhật, bổ sung để thành

tiêu chuẩn ISO/IEC 27002:2013. Tiêu chuẩn ISO/ IEC 27002: 2013 được công bố năm

2013 đã có rất nhiều thay đổi về cấu trúc, nội dung các phần. Nội dung được viết lại

cho tập trung và cô đọng hơn.Mặc dù nội dung cô đọng hơn nhưng phiên bản năm

2013 lại có nhiều phần hơn phiên bản 2005 do đã được cập nhật bổ sung những phần

mới cho phù hợp với tình hình an toàn an ninh hiện tại. Do vậy, những phần bổ sung

thêm chúng ta cần chú ý đảm bảo sử dụng đúng thuật ngữ trong quá trình xây dựng.

Vấn đề cấp thiết là chúng ta cần có những biện pháp quản lý an toàn thông tin đầy đủ

hiệu quả hơn. Tuy nhiên xây dựng biện pháp quản lý như thế nào cho hiệu quả và phù

hợp với điều kiện của Việt Nam thì luôn là một vấn đề đặt ra với các cơ quan tổ chức

và đơn vị có ý định triển khai.

1.2 Mục đích

Xây dựng tiêu chuẩn về quy tắc quản lý an toàn thông tinđể hoàn chỉnh hệ thống tiêu

chuẩn về an toàn thông tin của Việt Nam, làm sở cứ để xây dựng các biện pháp quản

lý an toàn thông tin và tăng cường áp dụng các biện pháp an toàn thông tin tại Việt

Nam

2 Sở cứ xây dựng tiêu chuẩn

Căn cứ vào các chuẩn của Việt Nam cũng như trên thế giới đã được trình bày trong

chương 2. Nhận thấy chỉ có tài liệu ISO/IEC 27000:2014 và ISO/IEC 27002:2013 là

có nội dung phù hợp với quản lý an toàn thông tin, đặc biệt là thông tin số hóa. Với

những phần mục có sự tương đồng như vậy lựa chọn tiêu chuẩn ISO/IEC 27002:2013

là hợp lý.

Do vậy nhóm thực hiện đã xây dựng tiêu chuẩn này dựa trên tiêu chuẩn quốc tế ISO/IEC 27002:2013và ISO/IEC 27000:2014 của Tổ chức tiêu chuẩn hóa quốc tế ISO và Ủy ban kỹ thuật điện quốc tế IEC. Đây cũng là tài liệu đã được nhiều quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia tương đương. Đây là một tiêu chuẩn rất đầy đủ về các kỹ thuật an toàn và quản lý an toàn thông tin.

3 Phương pháp xây dựng tiêu chuẩn

ISO/IEC 27002:2013 là tài liệu tham chiếu làm cơ sở để xây dựng tiêu chuẩn này.

Trên cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về quản lý an toàn thông tin,

cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ qui chuẩn, nhóm đề tài

khuyến nghị xây dựng tiêu chuẩn này theo phương pháp chấp thuận áp dụng

ISO/IEC 27002:2013 (có chỉnh sửa một số yêu cầu kỹ thuật cho phù hợp với điều

kiện tại Việt Nam và bố cục, trình bày lại theo qui định Tiêu chuẩn Quốc gia).

Tên tiêu chuẩn đề xuất:

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC

HÀNH QUẢN LÝ AN TOÀN THÔNG TIN

Information technology – Security techniques – Code of practice for infomation

security management

3.1 Cấu trúc tiêu chuẩn

Dự thảo tiêu chuẩn bao gồm các phần sau:

1 PHẠM VI ÁP DỤNG

2 TÀI LIỆU VIỆN DẪN

3 THUẬT NGỮ VÀ ĐỊNH NGHĨA

4 CẤU TRÚC TIÊU CHUẨN

5 CHÍNH SÁCH AN TOÀN THÔNG TIN

6 TỔ CHỨC ĐẢM BẢO AN TOÀN THÔNG TIN

7 AN TOÀN NGUỒN NHÂN LỰC

8 QUẢN LÝ TÀI SẢN

9 QUẢN LÝ TRUY CẬP

10 MẬT MÃ HÓA

11 ĐẢM BẢO AN TOÀN VẬT LÝ VÀ MÔI TRƯỜNG

12 AN TOÀN VẬN HÀNH

13 AN TOÀN TRUYỀN THÔNG

14 TIẾP NHẬN, PHÁT TRIỂN VÀ DUY TRÌ CÁC HỆ THỐNG THÔNG TIN

15 QUAN HỆ VỚI NHÀ CUNG CẤP

16 QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN

17 CÁC KHÍA CẠNH AN TOÀN THÔNG TIN TRONG QUẢN LÝ TÍNH LIÊN

TỤC CỦA HOẠT ĐỘNG NGHIỆP VỤ

18 SỰ TUÂN THỦ

THƯ MỤC TÀI LIỆU THAM KHẢO

3.2 Đối chiếu với tài liệu tham khảo

Dự thảo tiêu chuẩn được xây dựng dựa theo phương pháp chấp thuận áp dụng cơ bản

về nội dung của IOS/IEC 27002:2013. Tuy nhiên cấu trúc của tiêu chuẩn được bố cục

lại theo quy định về trình bày Tiêu chuẩn Việt Nam. Một số chỉ tiêu kỹ thuật cũng

được điều chỉnh, cụ thể:

Bảng 3-1: Bảng đối chiếu tiêu chuẩn viện dẫn

STT Nội dung tiêu

chuẩn

TCVN xxx:201X

Tài liệu

viện dẫn:

ISO/IEC

27002:2013

Sửa đổi, bổ

sung

Giải thích lý do sửa đổi,

bổ sung

1

Phạm vi áp dụng

Chấp nhận

nguyên vẹn

có sửa đổi các

tham chiếu

Sửa đổi số hiệu tham

chiếu cho phù hợp với

định dạng của tiêu chuẩn.

2

Tài liệu viện dẫn

Chấp nhận

nguyên vẹn


tham chiếu




3

Thuật ngữ và

định nghĩa

ISO/IEC

27000:2014

Lấy các từ

vựng liên

quan đến

quản lý an

toàn thông tin

Tiêu chuẩn gốc chỉ nêu ra

tham chiếu đến tài liệu

ISO/IEC 27000 :2014.

Việt nam chưa xuất bản

TCVN liên quan đến

ISO/IEC 27000 :2014

4

Cấu trúc tiêu

chuẩn

Chấp nhận

nguyên vẹn


tham chiếu

Tài liệu chuẩn mô tả cấu

trúc chuẩn cho toàn bộ tài

liệu về quản lý an toàn.

Tiêu chuẩn đang xây

dựng chỉ là một phần

(phần Communication

Control) nên phần cấu

trúc tiêu chuẩn phải sửa

đổi lại

5

Chính sách an

toàn thông tin

ISO/IEC

27002:2013,

mục 5

Chấp nhận

nguyên vẹn


tham chiếu




6

Tổ chức đảm bảo

an toàn thông tin

ISO/IEC

27002:2013,

mục 6

Chấp nhận

nguyên vẹn


tham chiếu




7

An toàn nguồn

nhân lực

ISO/IEC

27002:2013,

mục 7

Chấp nhận

nguyên vẹn


tham chiếu




8

Quản lý tài sản

ISO/IEC

27002:2013,

mục 8

Chấp nhận

nguyên vẹn


tham chiếu




9

Quản lý truy cập

ISO/IEC

27002:2013,

mục 9

Chấp nhận

nguyên vẹn


tham chiếu




10

Mật mã hóa

ISO/IEC

27002:2013,

mục 10

Chấp nhận

nguyên vẹn


tham chiếu




11Đảm bảo an toàn

vật lý và môi

trường

ISO/IEC

27002:2013,

mục 11

Chấp nhận

nguyên vẹn


tham chiếu




12 An toàn vận hành ISO/IEC Chấp nhận Sửa đổi số hiệu tham

27002:2013,

mục 12

nguyên vẹn


tham chiếu



13

An toàn truyền

thông

ISO/IEC

27002:2013,

mục 13

Chấp nhận

nguyên vẹn


tham chiếu




14 Tiếp nhận, phát

triển và duy trì

các hệ thống

thông tin

ISO/IEC

27002:2013,

mục 14

Chấp nhận

nguyên vẹn


tham chiếu




15

Quan hệ với nhà

cung cấp

ISO/IEC

27002:2013,

mục 15

Chấp nhận

nguyên vẹn


tham chiếu




16

Quản lý sự cố an

toàn thông tin

ISO/IEC

27002:2013,

mục 16

Chấp nhận

nguyên vẹn


tham chiếu




17 Các khía cạnh an

toàn thông tin

trong quản lý tính

liên tục của hoạt

động nghiệp vụ

ISO/IEC

27002:2013,

mục 17

Chấp nhận

nguyên vẹn


tham chiếu




18

Sự tuân thủ

ISO/IEC

27002:2013,

mục 18

Chấp nhận

nguyên vẹn


tham chiếu




Thư mục tài liệu

tham khảo

Chấp nhận

nguyên vẹn


tham chiếu




Documents

CHƯƠNG 1. TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG …english.mic.gov.vn/.../Duthao/thuyet-minh-ISO-IEC-27002.docx · Web viewthông tin, mất an toàn mạng là một nguy cơ