tu van iso 27000
Post on 08-Nov-2014
37 Views
Preview:
TRANSCRIPT
Tiêu chuẩn Hệ thống Quản lý An ninh Thông tin đầu tiên áp dụng được ban hành bởi viện Tiêu Chuẩn Anh Quốc (BSI) với 2 phần chính:
Phần 1: là tiêu chuẩn BS 7799-1 là các quy tắc thực hành an ninh thông tin ban hành năm 1995, sửa đổi lần 1 vào năm 1999. Tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế mã hiệu ISO/ IEC 17799: 2000 và phát triển vào tháng 6/ 2005 thành tiêu chuẩn ISO/ IEC 17799: 2005. Đến tháng 11 Tiêu chuẩn này được sửa đổi thành ISO/IEC 27002: 2005: Công nghệ thông tin - Các kỹ thuật an ninh - Quy tắc thực hành quản lý an ninh thông tin(Information technology – Security techniques – Code of practice for infomation security management).
Nội dung ISO/IEC 17799:2005 nay là tiêu chuẩn ISO 27002:2005 bao gồm 134 biện pháp cho an ninh thông tin và được chia thành 11 nhóm mục tiêu như sau:
· Chính sách an ninh thông tin (Information security policy): chỉ thị và hướng dẫn về an ninh thông tin
· Tổ chức an ninh thông tin (Organization of information security): tổ chức biện pháp an ninh và qui trình quản lý.
· Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin
· An ninh tài nguyên con người (Human resource security) : bảo đảm an ninh
· An ninh vật lý và môi trường (Physical and environmental security)
· Quản lý vận hành và trao đổi thông tin (Communications and operations management)
· Kiểm soát truy cập (Access control)
· Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance)
· Quản lý sự cố mất an ninh thông tin (Information security incident management)
· Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management)
· Tuân thủ các quy định pháp luật (Compliance)
Phần 2: là tiêu chuẩn BS 7799-2 ban hành năm 1998 và được sửa đổi vào năm 1999 và được BSI tiếp tục điều chỉnh năm 2002 thành tiêu chuẩn BS 7799-2: 2002. Đến tháng 10/ 2005, tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế ISO/ IEC 27001: 2005: Công nghệ thông tin - Hệ thống quản lý an ninh thông(Information technology – Information Security Management System)
Tiêu chuẩn ISO/ IEC 27001: 2005 quy định các yêu cầu đối với một hệ thống quản lý an ninh thông tin và tương tự như ISO 9001 là một tiêu chuẩn về hệ thống quản quản lý và có thể được cấp giấy chứng nhận.
Tiêu chuẩn ISO/ IEC 27001: 2005 tương tự như ISO 9001 có thể áp dụng cho mọi lĩnh vực, không phân biệt quy mô, phạm vi áp dụng để hướng tới một Hệ thống Quản lý An ninh Thông tin một cách hiệu quả, đảm bảo an ninh thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng…
Giới thiệu Bộ tiêu chuẩn quốc tế ISO/ IEC 27000 Hệ thống quản lý an ninh thông tin
Bên cạnh tiêu chuẩn ISO/ IEC 27001: 2005 và ISO/IEC 27002: 2005 , Những tiêu chuẩn của hệ thống quản lý an ninh thông tin đã được viện BSI cùng với tổ chức tiêu chuẩn hoá quốc tế biên soạn và ban hành nhằm hổ trợ các tổ chức thuộc mọi lĩnh vực, mọi quy mô, để áp dụng và vận hành hệ thống Quản lý An ninh Thông tin một cách hiệu quả. Bao gồm các tiêu chuẩn sau:
ISO/IEC 27000: 2009: Ban hành ngày năm 2009, tiêu đề “Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng(Information technology — Security techniques — Information security management systems — Overview and vocabulary.) - những định nghĩa của các điều khoản được sử dụng, thuật ngữ sử dụng trong Tiêu chuẩn ISO 27001.
ISO/ IEC 27001: 2005 ban hành năm 2005 “Công nghệ thông tin – Các phương pháp bảo mật – Hệ thống quản lý an ninh thông tin – Các yêu cầu” (“Information Technology – Security techniques – Information security management system – Requirements”) - những yêu cầu của hệ thống Quản lý An ninh Thông tin phù hợp với những tổ chức cần chứng minh khả năng cung cấp sản phẩm và dịch vụ đáp ứng yêu cầu của khách hàng và luật định.
ISO/IEC 27002:2005 ban hành ngày 15/06/2005 – “ Công nghệ thông tin - Các kỹ thuật an ninh - Quy tắc thực hành quản lý an ninh thông tin” (Information technology – Security techniques – Code of practice for infomation security management)
ISO/IEC 27003: 2010 – “Công nghệ thông tin- Kỹ thuật an ninh- Hướng dẫn thực hiện Hệ thống quản lý an ninh thông tin(ISMS)” ( Information technology — Security techniques — Information security management system implementation guidance)
ISO/IEC 27004:2009 Công nghệ thông tin- Kỹ thuật an ninh- đo lường quản lý an ninh thông tin” (Information technology — Security techniques ― Information security management – Measurement)
ISO/IEC 27005:2008 ban hành năm 2008 “Công nghệ thông tin- Kỹ thuật an ninh- quản lý rủi ro an ninh thông tin”(Information technology — Security techniques — Information security risk management)
- Để áp dụng ISO / IEC 27005:2008 cần phải có Kiến thức về, khái niệm các mô hình, quy trình, thuật ngữ mô tả trong ISO / IEC 27001 và ISO / IEC 27002
- ISO / IEC 27005:2008 được áp dụng cho tất cả các loại của các tổ chức (ví dụ như các doanh nghiệp thương mại, các cơ quan chính phủ, phi lợi nhuận tổ chức) mà có ý định để quản lý rủi ro có thể thỏa hiệp bảo mật thông tin của tổ chức. "
ISO/IEC 27006:2007 Ban hành 2007 – Tiêu đề : “Công nghệ thông tin- Kỹ thuật an ninh- yêu cầu đối với công nhận của các tổ chức đánh giá và chứng nhận hệ thống an ninh thông tin”(Information technology — Security techniques — Requirements for the accreditation of bodies providing audit and certification of information security management systems).
ISO/IEC 27007 –Đang dự thảo. Tiêu đề dự thảo : “Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn đánh giá bảo mật hệ thống thông tin quản lý (FCD)(Information technology— Security techniques —Guidelines for information security management systems auditing (FCD)ISO/IEC TR 27008 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Bảo mật kỹ thuật - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an ninh thông tin” (Information technology — Security techniques — Guidelines for auditors on information security management systems controls)
ISO/IEC 27010 – Hiện đang dự thảo. Tiêu đề dự thảo: ‘Công nghệ thông tin - Kỹ thuật an ninh - an ninh thông tin quản lý cho truyền thông liên ngành và liên tổ chức(Information technology — Security techniques — Information security management for intersector and inter-organisational communications)
ISO/IEC 27011: 2008 ban hành 2008, tiêu đề “Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn quản lý an ninh thông tin cho các tổ chức viễn thông dựa trên tiêu chuẩn ISO / IEC 27002 (Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002)
ISO/IEC 27013 – Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn quản lý an ninh thông tin - Hướng dẫn thực hiện tích hợp áp dụng tiêu chuẩn ISO / IEC 20000-1 và ISO / IEC 27001” (Information technology — Security techniques — Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001)
ISO/IEC 27031: 2011: ban hành năm 2011, Tiêu đề: “Công nghệ thông tin - Kỹ thuật an ninh- Hướng dẫn liên tục kinh doanh hướng về công nghệ thông tin và truyền thông” (Information technology — Security techniques — Guidelines for information and communications technology readiness for business continuity )
ISO/IEC 27032 Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật an ninh–Hướng dẫn về an ninh mạng”(.Information technology — Security techniques — Guidelines for cybersecurity )
ISO/IEC 27033: Hiện đang dự thảo 2 phần, –“Công nghệ thông tin - Kỹ thuật an ninh - an ninh mạng”(Information technology — Security techniques — Network security ) sẽ thay thế Tiêu chuẩn ISO/IEC 18028 về an ninh mạng IT. Chia làm 2 phần:
o Phần 1- ISO / IEC 27033-1:2009: đã ban hành năm 2009 tiêu đề “tổng quan về bảo mật mạng và các khái niệm”( network security overview and concepts)
o Phần 2: ISO / IEC 27033-2 : Hiện đang đự thảo, tiêu đề dự thảo “Hướng dẫn thiết kế và thực hiện an ninh mạng”(Guidelines for the design and implementation of network security )
o Phần 3: ISO / IEC 27033-3 : Hiện đang đự thảo, tiêu đề dự thảo “tham khảo các kịch bản mạng - mối đe dọa, công nghệ thiết kế và vấn đề kiểm soát”(Reference networking scenarios - threats, design techniques and control issues)
o Phần 4: ISO / IEC 27033-4: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật thông tin liên lạc giữa các mạng bằng cách sử dụng các cổng an ninh - mối đe dọa, công nghệ thiết kế và vấn đề kiểm soát (Securing communications between networks using security gateways -- threats, design techniques and control issues)
o Phần 5: ISO / IEC 27033-5: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật mạng riêng ảo - mối đe dọa, công nghệ thiết kế và vấn đề kiểm soát”(Securing Virtual Private Networks -- threats, design techniques and control issues )
o Phần 6: ISO / IEC 27033-6: Hiện đang đự thảo, tiêu đề dự thảo. Mục tiêu: "để xác định những rủi ro cụ thể, thiết kế kỹ thuật và các vấn đề kiểm soát để bảo vệ và phát thanh mạng không dây
o Phần 7: ISO / IEC 27033-7 :Hiện đang đự thảo, tiêu đề dự thảo.Hướng dẫn bảo mật mạng không dây - Các rủi ro, các kỹ thuật thiết kế và vấn đề kiểm soát “Guidelines for securing wireless networking -- Risks, design techniques and control issues”
o Phần 8: ISO / IEC 27033-8 :Hiện đang đự thảo, tiêu đề dự thảo."Hướng dẫn bảo đảm an ninh - Những rủi ro, các công nghệ thiết kế và vấn đề kiểm soát (Guidelines for securing Risks, design techniques and control issues (possible additional parts)
ISO/IEC 27034 - Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an ninh– an ninh ứng dụng”.(Information technology — Security techniques — Application security )
ISO/IEC 27035 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an ninh-Quản lý xử cố an ninh thông tin”( Information technology — Security techniques — Information security incident management)sẽ thay thế ISO TR 18044 về quản lý sự cố an ninh
ISO/IEC 27036 Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an ninh-Bảo mật Thông tin cho các mối quan hệ nhà cung cấp”(IT Security — Security techniques — Information security for supplier relationships
ISO 27799:2008: ban hành 2008, “Thông tin y tế - Quản lý an ninh thông tin trong y tế sử dụng tiêu chuẩn ISO / IEC 27002” (Health informatics — Information security management in health using ISO/IEC 27002)
Tu van ISO 27000, Tư vấn ISO 27001 - Giới thiệu chung về Hệ thống quản lý An Ninh Thông Tin
Nhằm hỗ trợ thông tin cho khách hàng
thuận lợi khi sử dụng dịch vụ tư vấn và
đào tạo về Hệ thống Quản lý an ninh
theo tiêu chuẩn quốc tế ISO 27001:
2005 của VINTECOM, chúng tôi giới
thiệu một số thông tin liên quan đến
nhóm các tiêu chuẩn liên quan đến Hệ
thống Quản lý an ninh thông tin.
I. Lịch sử hình thành các tiêu chuẩn
liên quan Hệ thống Quản lý An ninh Thông tin
Tiêu chuẩn Hệ thống Quản lý An ninh Thông tin đầu tiên áp dụng được ban hành bởi viện
Tiêu Chuẩn Anh Quốc (BSI) với 2 phần chính:
Phần 1: là tiêu chuẩn BS 7799-1 là các quy tắc thực hành an ninh thông tin ban hành năm
1995, sửa đổi lần 1 vào năm 1999. Tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc
tế mã hiệu ISO/ IEC 17799: 2000 và phát triển vào tháng 6/ 2005 thành tiêu chuẩn ISO/
IEC 17799: 2005. Đến tháng 11 Tiêu chuẩn này được sửa đổi thành ISO/IEC 27002:
2005: Công nghệ thông tin - Các kỹ thuật an ninh - Quy tắc thực hành quản lý an
ninh thông tin(Information technology – Security techniques – Code of practice for
infomation security management).
Nội dung ISO/IEC 17799:2005 nay là tiêu chuẩn ISO 27002:2005 bao gồm 134 biện pháp
cho an ninh thông tin và được chia thành 11 nhóm mục tiêu như sau:
Chính sách an ninh thông tin (Information security policy): chỉ thị và hướng
dẫn về an ninh thông tin
Tổ chức an ninh thông tin (Organization of information security): tổ chức biện
pháp an ninh và qui trình quản lý.
Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin
An ninh tài nguyên con người (Human resource security) : bảo đảm an ninh
An ninh vật lý và môi trường (Physical and environmental security)
Quản lý vận hành và trao đổi thông tin (Communications and operations
management)
Kiểm soát truy cập (Access control)
Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems
acquisition, development and maintenance)
Quản lý sự cố mất an ninh thông tin (Information security incident
management)
Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity
management)
Tuân thủ các quy định pháp luật (Compliance)
Phần 2: là tiêu chuẩn BS 7799-2 ban hành năm 1998 và được sửa đổi vào năm 1999 và
được BSI tiếp tục điều chỉnh năm 2002 thành tiêu chuẩn BS 7799-2: 2002. Đến tháng 10/
2005, tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế ISO/ IEC 27001: 2005:
Công nghệ thông tin - Hệ thống quản lý an ninh thông(Information technology –
Information Security Management System)
Tiêu chuẩn ISO/ IEC 27001: 2005 quy định các yêu cầu đối với một hệ thống quản lý an
ninh thông tin và tương tự như ISO 9001 là một tiêu chuẩn về hệ thống quản quản lý và có
thể được cấp giấy chứng nhận.
Tiêu chuẩn ISO/ IEC 27001: 2005 tương tự như ISO 9001 có thể áp dụng cho mọi lĩnh
vực, không phân biệt quy mô, phạm vi áp dụng để hướng tới một Hệ thống Quản lý An
ninh Thông tin một cách hiệu quả, đảm bảo an ninh thông tin phù hợp và đầy đủ để bảo
vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách
hàng…
II. Giới thiệu Bộ tiêu chuẩn quốc tế ISO/ IEC 27000 Hệ thống quản lý an ninh thông
tin
Bên cạnh tiêu chuẩn ISO/ IEC 27001: 2005 và ISO/IEC 27002: 2005 , Những tiêu chuẩn của
hệ thống quản lý an ninh thông tin đã được viện BSI cùng với tổ chức tiêu chuẩn hoá quốc tế
biên soạn và ban hành nhằm hổ trợ các tổ chức thuộc mọi lĩnh vực, mọi quy mô, để áp dụng
và vận hành hệ thống Quản lý An ninh Thông tin một cách hiệu quả. Bao gồm các tiêu chuẩn
sau:
ISO/IEC 27000: 2009: Ban hành ngày năm 2009, tiêu đề “Công nghệ thông tin - Kỹ
thuật an ninh - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng(Information
technology — Security techniques — Information security management systems —
Overview and vocabulary.)
Mục đích: đưa ra những định nghĩa của các điều khoản được sử dụng, thuật ngữ sử dụng
trong Tiêu chuẩn ISO 27001.
ISO/ IEC 27001: 2005 ban hành năm 2005 “Công nghệ thông tin – Các phương pháp bảo
mật – Hệ thống quản lý an ninh thông tin – Các yêu cầu” (“Information Technology –
Security techniques – Information security management system – Requirements”)
Mục đích: đưa ra những yêu cầu của hệ thống Quản lý An ninh Thông tin phù hợp với
những tổ chức cần chứng minh khả năng cung cấp sản phẩm và dịch vụ đáp ứng yêu cầu
của khách hàng và luật định.
ISO/IEC 27002:2005 ban hành ngày 15/06/2005 – “ Công nghệ thông tin - Các kỹ thuật
an ninh - Quy tắc thực hành quản lý an ninh thông tin” (Information technology – Security
techniques – Code of practice for infomation security management).
Mục đích: đưa ra quy tắc Thực hành An ninh Thông tin, đưa ra 134 biện pháp nhằm kiểm
soát chia làm 11 mục tiêu thực hành kiểm soát an ninh thông tin được chấp thuận rộng rãi.
ISO/IEC 27003: 2010 – “Công nghệ thông tin- Kỹ thuật an ninh- Hướng dẫn thực hiện
Hệ thống quản lý an ninh thông tin(ISMS)” ( Information technology — Security
techniques — Information security management system implementation guidance)
Mục đích: đưa ra Hướng dẫn thực hiện Hệ thống quản lý an ninh thông tin(ISMS) theo
ISO/IEC 27001
ISO/IEC 27004:2009 Công nghệ thông tin- Kỹ thuật an ninh- đo lường quản lý an ninh
thông tin” (Information technology — Security techniques ― Information security
management – Measurement)
Mục đích: đưa ra cách thức đo lường giúp cải tiến tính hiệu lực của Hệ thống quản lý an
ninh thông tin ISMS.
ISO/IEC 27005:2008 ban hành năm 2008 “Công nghệ thông tin- Kỹ thuật an ninh- quản
lý rủi ro an ninh thông tin”(Information technology — Security techniques — Information
security risk management)
Mục đích ISO / IEC 27005:2008 hướng dẫn quản lý rủi ro an ninh thông tin, It supports
the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory
implementation of information security based on a risk management approach. được thiết
kế nhằm hỗ trợ việc thực hiện an ninh thông tin trên cơ sở tiếp cận về quản lý rủi ro. Nó
hỗ trợ các khái niệm chung quy định trong ISO / IEC 27001, đưa ra các phương pháp
đánh giá định lượng và định tính rủi ro, về cơ bản đề xuất mà người sử dụng lựa chọn
phương pháp phù hợp, tốt nhất.
Để áp dụng ISO / IEC 27005:2008 cần phải có Kiến thức về, khái niệm
các mô hình, quy trình, thuật ngữ mô tả trong ISO / IEC 27001 và ISO /
IEC 27002
ISO / IEC 27005:2008 được áp dụng cho tất cả các loại của các tổ chức (ví
dụ như các doanh nghiệp thương mại, các cơ quan chính phủ, phi lợi nhuận
tổ chức) mà có ý định để quản lý rủi ro có thể thỏa hiệp bảo mật thông tin
của tổ chức. "
ISO/IEC 27006:2007 Ban hành 2007 – Tiêu đề : “Công nghệ thông tin- Kỹ thuật an
ninh- yêu cầu đối với công nhận của các tổ chức đánh giá và chứng nhận hệ thống an ninh
thông tin”(Information technology — Security techniques — Requirements for the
accreditation of bodies providing audit and certification of information security
management systems).
Mục đích: Quy định các yêu cầu và đưa ra hướng dẫn chứng nhận hoặc đăng ký cho việc
công nhận Chứng chỉ HTQL ANTT hoặc công nhận Tổ chức Chứng nhận.cấp chứng chỉ
Hệ thống Quản lý ANTT (ISMS), bổ sung cho các yêu cầu của ISO/IEC 17021 và
ISO/IEC 27001, hỗ trợ việc công nhận các tổ chức chứng nhận ISMS.
ISO/IEC 27007 –Đang dự thảo. Tiêu đề dự thảo : “Công nghệ thông tin - Kỹ thuật an
ninh - Hướng dẫn đánh giá bảo mật hệ thống thông tin quản lý (FCD)(Information
technology— Security techniques —Guidelines for information security management
systems auditing (FCD)
Mục đích: sẽ là tiêu chuẩn Hướng dẫn Đánh giá Hệ thống quản lý an ninh thông tin ISMS
ISO/IEC TR 27008 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Bảo
mật kỹ thuật - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an ninh thông tin”
(Information technology — Security techniques — Guidelines for auditors on information
security management systems controls)
Mục đích: sẽ đưa ra Hướng dẫn cho các chuyên gia đánh giá kiểm soát Hệ thống an ninh
thông tin
ISO/IEC 27010 – Hiện đang dự thảo. Tiêu đề dự thảo: ‘Công nghệ thông tin - Kỹ thuật
an ninh - an ninh thông tin quản lý cho truyền thông liên ngành và liên tổ
chức(Information technology — Security techniques — Information security management
for intersector and inter-organisational communications)
Mục đích: sẽ là Hướng dẫn Quản lý An ninh thông tin trong lĩnh vực viễn thông
ISO/IEC 27011: 2008 ban hành 2008, tiêu đề “Công nghệ thông tin - Kỹ thuật an ninh -
Hướng dẫn quản lý an ninh thông tin cho các tổ chức viễn thông dựa trên tiêu chuẩn
ISO / IEC 27002 (Information technology — Security techniques — Information security
management guidelines for telecommunications organizations based on ISO/IEC 27002)
Mục đích: là hướng dẫn Quản lý an ninh thông tin về Viễn thông, nhằm hướng dẫn hỗ trợ
cho việc thực hiện quản lý an ninh thông tin đối với các tổ chức viễn thông. Việc áp dụng
tiêu chuẩn này cho phep các tổ chức viển thông đáp ứng các yêu cầu quản lý an ninh
thông tin
ISO/IEC 27013 – Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật
an ninh - Hướng dẫn quản lý an ninh thông tin - Hướng dẫn thực hiện tích hợp áp dụng
tiêu chuẩn ISO / IEC 20000-1 và ISO / IEC 27001” (Information technology — Security
techniques — Guideline on the integrated implementation of ISO/IEC 20000-1 and
ISO/IEC 27001)
Mục đích: sẽ là Hướng dẫn áp dụng tích hợp tiêu chuẩn ISO / IEC 20000-1 và ISO / IEC
27001
ISO/IEC 27031: 2011: ban hành năm 2011, Tiêu đề: “Công nghệ thông tin - Kỹ thuật an
ninh- Hướng dẫn liên tục kinh doanh hướng về công nghệ thông tin và truyền thông”
(Information technology — Security techniques — Guidelines for information and
communications technology readiness for business continuity )
Mục đích: là Tiêu chuẩn hướng dẫn liên tục kinh doanh hướng về Công nghệ thông tin
và truyền thông
ISO/IEC 27032 Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật an
ninh–Hướng dẫn về an ninh mạng”(.Information technology — Security techniques —
Guidelines for cybersecurity )
Mục đích: sẽ cung cấp một tổng quan về các thách thức an ninh mạng, an ninh trong
"những không gian ảo",
ISO/IEC 27033: Hiện đang dự thảo 2 phần, –“Công nghệ thông tin - Kỹ thuật an ninh -
an ninh mạng”(Information technology — Security techniques — Network security ) sẽ
thay thế Tiêu chuẩn ISO/IEC 18028 về an ninh mạng IT. Chia làm 2 phần:
o Phần 1- ISO / IEC 27033-1:2009 : đã ban hành năm 2009 tiêu đề “tổng quan về
bảo mật mạng và các khái niệm”( network security overview and concepts)
o Phần 2: ISO / IEC 27033-2 : Hiện đang đự thảo, tiêu đề dự thảo “Hướng
dẫn thiết kế và thực hiện an ninh mạng”(Guidelines for the design and
implementation of network security )
o Phần 3: ISO / IEC 27033-3 : Hiện đang đự thảo, tiêu đề dự thảo “tham
khảo các kịch bản mạng - mối đe dọa, công nghệ thiết kế và vấn đề kiểm
soát”(Reference networking scenarios - threats, design techniques and
control issues)
o Phần 4: ISO / IEC 27033-4: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật
thông tin liên lạc giữa các mạng bằng cách sử dụng các cổng an ninh - mối
đe dọa, công nghệ thiết kế và vấn đề kiểm soát (Securing communications
between networks using security gateways -- threats, design techniques and
control issues)
o Phần 5: ISO / IEC 27033-5: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật
mạng riêng ảo - mối đe dọa, công nghệ thiết kế và vấn đề kiểm
soát”(Securing Virtual Private Networks -- threats, design techniques and
control issues )
o Phần 6: ISO / IEC 27033-6: Hiện đang đự thảo, tiêu đề dự thảo. Mục tiêu:
"để xác định những rủi ro cụ thể, thiết kế kỹ thuật và các vấn đề kiểm soát
để bảo vệ và phát thanh mạng không dây
o Phần 7: ISO / IEC 27033-7 :Hiện đang đự thảo, tiêu đề dự thảo.Hướng dẫn
bảo mật mạng không dây - Các rủi ro, các kỹ thuật thiết kế và vấn đề kiểm
soát “Guidelines for securing wireless networking -- Risks, design
techniques and control issues”
o Phần 8: ISO / IEC 27033-8 :Hiện đang đự thảo, tiêu đề dự thảo."Hướng
dẫn bảo đảm an ninh - Những rủi ro, các công nghệ thiết kế và vấn đề
kiểm soát (Guidelines for securing Risks, design techniques and control
issues (possible additional parts)
ISO/IEC 27034 - Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật
an ninh– an ninh ứng dụng”.(Information technology — Security techniques —
Application security )
Mục đích: sẽ là các hướng dẫn về an ninh ứng dụng.
ISO/IEC 27035 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an
ninh-Quản lý xử cố an ninh thông tin”( Information technology — Security techniques —
Information security incident management)sẽ thay thế ISO TR 18044 về quản lý sự cố an
ninh
ISO/IEC 27036 Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an
ninh-Bảo mật Thông tin cho các mối quan hệ nhà cung cấp”(IT Security — Security
techniques — Information security for supplier relationships
ISO 27799:2008: ban hành 2008, “Thông tin y tế - Quản lý an ninh thông tin trong y tế
sử dụng tiêu chuẩn ISO / IEC 27002” (Health informatics — Information security
management in health using ISO/IEC 27002)
top related