chƯƠng 1. tÌnh hÌnh quẢn lÝ an toÀn thÔng...
TRANSCRIPT
BỘ THÔNG TIN VÀ TRUYỀN THÔNGĐẠI HỌC QUỐC GIA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN
THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA
TCVN xxx:2017ISO/IEC 27002:2013
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN
THÔNG TIN
Information technology – Security techniques – Code of practice for infomation
security management
HÀ NỘI - Tháng /2017
Mục LụcCHƯƠNG 1. TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM....4
1 Tình hình quản lý an toàn thông tin chung trên thế giới...................................4
2 Tình hình quản lý an toàn thông tin ở Việt Nam...............................................4
3 Kết Luận.................................................................................................................5
CHƯƠNG 2. NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐC GIA
VỀ QUẢN LÝ AN TOÀN THÔNG TIN.....................................................................7
1 Các tiêu chuẩn quốc tế..........................................................................................7
1.1 Bộ tiêu chuẩn ISO/IEC 27000..........................................................................7
1.2 Bộ tiêu chuẩn ISO/IEC 15408........................................................................27
2 Các tiêu chuẩn quốc gia......................................................................................29
2.1 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005.......................................29
2.2 TCVN 7562:2005 ISO/IEC 17799:2000........................................................30
2.3 Bộ TCVN 8709..............................................................................................40
3 Tiêu chuẩn áp dụng xây dựng chuẩn................................................................43
CHƯƠNG 3. XÂY DỰNG TIÊU CHUẨN KỸ THUẬT QUỐC GIA VỀ QUẢN
LÝ AN TOÀN THÔNG TIN......................................................................................44
1 Lý do và mục đích xây dựng tiêu chuẩn............................................................44
1.1 Lý do..............................................................................................................44
1.2 Mục đích.........................................................................................................44
2 Sở cứ xây dựng tiêu chuẩn..................................................................................45
3 Phương pháp xây dựng tiêu chuẩn....................................................................45
3.1 Cấu trúc tiêu chuẩn.........................................................................................45
3.2 Đối chiếu với tài liệu tham khảo....................................................................46
3.3. Kiến nghị........................................................................................................49
CHƯƠNG 1. TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM
1 Tình hình quản lý an toàn thông tin chung trên thế giới
Ngày nay, hầu hết mọi hoạt động của các tổ chức, đơn vị đều bị phụ thuộc vào máy
tính, hạ tầng mạng và cơ sở thông tin. Chưa bao giờ vấn đề bảo mật và an toàn thông
tin lại được coi trọng như hiện nay, trong bối cảnh mạng máy tính phá bỏ mọi ngăn
cách, “mọi lúc, mọi nơi” người ta đều có thể lấy được thông tin cần thiết. Có không ít
chuyện những cao thủ dễ dàng đột nhập vào kho thông tin tối mật của một quốc gia
hay nhẹ nhàng nẫng đi khoản tiền kếch xù từ một ngân hàng danh tiếng. Cùng với sự
phát triển mạnh mẽ của công nghệ thông tin, tội phạm mạng cũng trở nên ngày càng
tinh vi với các kỹ thuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng.
Ngoài ra, các tổ chức còn phải đối mặt với rất nhiều loại hiểm họa an toàn từ nhiều
nguồn khác nhau như gian lận, gián điệp, phá hoại, cháy nổ, lũ lụt….Vì vậy, vấn đề
bảo mật và an toàn thông tin ngày càng trở nên cấp thiết. Việc áp dụng các tiêu chuẩn,
các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổ chức, đơn vị quan
tâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc. Một trong những
nguyên nhân chính là do hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin
chưa đầy đủ nên cần sớm bổ sung và hoàn thiện hệ thống các tiêu chuẩn để áp dụng
rộng rãi.
2 Tình hình quản lý an toàn thông tin ở Việt Nam
Vấn đề an toàn thông tin đang ngày càng cấp bách trên thế giới cũng như ở Việt Nam.
Trong những năm gần đây, các hoạt đông thể chế hóa của nhà nước trong lĩnh vực an
toàn thông tin được quan tâm hơn bao giờ hết. Luật an toàn thông tin đang được tích
cực soạn thảo lấy ý kiến đóng góp rộng rãi trong xã hội. Bên cạnh đó các cơ quan quản
lý chuyên ngành và triển khai bảo mật và an toàn thông tin đang được xây dựng và
kiện toàn tại các Bộ ngành địa phương.
Trong năm 2013, hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức điều tra về
hiện trạng an toàn thông tin tại Việt Nam với số liệu tổng hợp từ 600 tổ quốc (cơ quan
nhà nước và doanh nghiệp). Đánh giá theo chỉ số an toàn thông tin và được phân thành
5 nhóm, phản ánh hiện trạng môi trường và các biện pháp an toàn thông tin tại Việt
Nam bao gồm:
1) Đào tạo, tuyên truyền nâng cao nhận thức về an toàn thông tin;
2) Ban hành các chính sách hỗ trợ an toàn thông tin và đầu tư kinh phí cho
an toàn thông tin;
3) Xây dựng tổ chức, đầu tư nhân lực an toàn thông tin;
4) Thực hiện các biện pháp về kỹ thuật đảm bảo an toàn thông tin;
5) Thực hiện các biện pháp về quản lý đảm bảo an toàn thông tin.
Kết quả khảo sát chỉ số an toàn thông tin tại Việt Nam năm 2013 của VNISA
Kết quả điều tra cho thấy nhận thức về các vấn đề khó khăn trong việc thực thi bảo vệ
an toàn cho hệ thống thông tin, nhận thức về sự cần thiết tăng kinh phí đầu cho an toàn
thông tin của tổ chức trong năm sau là tương đối cao. Nhưng về các biện pháp kĩ thuật
hay biện pháp quản lý thì còn thấp.
3 Kết Luận
Từ đó cho thấy, sự bùng nổ của Internet, của thương mại điện tử bên cạnh việc tạo ra
những cơ hội lớn là những nguy cơ rủi ro cho nền kinh tế và xã hội hiện đại. Mặc dù
nhận thức về an toàn thông tin của các doanh nghiệp tư nhân hay nhà nước đã được
chú trọng. Nhưng tội phạm công nghệ cao ngày một tinh vi, các vấn đề mất an toàn
thông tin, mất an toàn mạng là một nguy cơ hiện hữu và ngày càng trở nên nguy hiểm.
Chúng ta cần phải có những biện pháp quản lý thích hợp nhằm phòng chống hạn chế
tối đa những thiệt hại của việc mất an toàn thông tin mang lại. Phần tiếp theo sẽ trình
bày về tình hình xây dựng các tiêu chuẩn an toàn thông tin trên thế giới và tại Việt
Nam. Sau khi có cái nhìn toàn cảnh về tình hình tiêu chuẩn hóa, cũng như phạm vi của
tiêu chuẩn xây dựng trong toàn bộ dự án nhóm xây dựng tiêu chuẩn sẽ xác định và đưa
ra được hướng xây dựng tiêu chuẩn.
CHƯƠNG 2. NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐC GIA VỀ QUẢN LÝ AN TOÀN THÔNG TIN
Trước khi đi vào xây dựng tiêu chuẩn cụ thể ở phần sau, trong phần này sẽ rà soát các
tiêu chuẩn quốc tế và quốc gia về quản lý an toàn thông tin.
1 Các tiêu chuẩn quốc tế
1.1 Bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình để thiết lập, thực hiện, điều hành,
theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (ISMS). Bộ
tiêu chuẩn ISO/IEC 27000 được soạn thảo bởi ủy ban kỹ thuật chung ISO/IEC JTC 1,
công nghệ thông tin, tiểu ban SC 27, các kỹ thuật an toàn thông tin. ISMS được thiết
kế nhằm đảm bảo rằng sự lựa chọn các phương pháp kiểm soát an toàn thỏa đáng và
phù hợp nhằm bảo vệ các tài sản thông tin và tạo niềm tin cho các bên quan tâm.
Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá được cái rủi ro, xây dựng các
biện pháp và tạo ý thức, trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ
chức.
Bộ tiêu chuẩn này có thể áp dụng cho tất cả các loại hinh tổ chức (như các doanh
nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này xác định các
yêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét duy trì và cải tiến ISMS
dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ chức. Xác định
rõ các yêu cầu thực hiện kiểm soát an toàn tùy biến cho phù hợp với từng tổ chức hay
các bộ phận riêng rẽ.
Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau :
a) ISO/IEC 27000 – ISMS Tổng quát và từ vựng;
b) ISO/IEC 27001 – ISMS yêu cầu;
c) ISO/IEC 27002 –Chuẩn mực thực hiện ISM;
d) ISO/IEC 27003 – Hướng dẫn triển khai ISMS;
e) ISO/IEC 27004 – Đo lường ISM;
f) ISO/IEC 27005 – Quản lý rủi ro IS;
g) ISO/IEC 27006 – Yêu cầu về tổ chức đánh giá và chứng nhận ISMS;
h) ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông;
i) ISO 27799 – ISM trong y tế sử dụng ISO/IEC 27002;
j) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;
k) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMS controls;
l) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC
27001;
m) ISO/IEC 27014 – Khung quản lý IS;
n) ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;
o) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;
p) ISO/IEC 27032 – Hướng dẫn cybersecurity;
q) ISO/IEC 27033 – IT network security;
r) ISO/IEC 27034 – Hướng dẫn application security;
s) ISO/IEC 27035 – Quản lý security incident;
t) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;
u) ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận và bảo quản các
bằng chứng số.
Có một số tiêu chuẩn không được đề cập (ví dụ như ISO 27012 cho egovermment) là
do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nâng
cấp lên thành tiêu chuẩn do Ủy ban kỹ thuật của ISO và IEC quyết định.
Dưới đây là bảng quan hệ của các chuẩn 27000 thuộc bộ chuẩn ISMS.
Hình 1.1 Quan hệ của các chuẩn trong bộ chuẩn ISMS
Trong các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 sẽ đề cập đến các chuẩn có
liên quan nhiều đến quản lý an toàn thông tin như chuẩn ISO/IEC 27000, ISO/IEC
27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 20006.
1.1.1 Tiêu chuẩn ISO/IEC 27000
ISO/IEC 27000:2014 - Information technology – Security techniques - Information
security management systems - Overview and vocabulary
ISO / IEC 27000: 2014 cung cấp một cái nhìn tổng quan của hệ thống quản lý an ninh
thông tin đó là hoàn toàn phù hợp với tiêu chuẩn ISO / IEC 27001: 2013 và ISO / IEC
27002: 2013, cập nhật (1/2014) và định nghĩa cho toàn bộ khối ISO/IEC 27000 của
chuẩn ISMS.
Mục đích:
Tiêu chuẩn này cần thiết cho tất cả các tổ chức thực hiện một hệ thống quản lý an ninh
thông tin (ISMS), cho dù trong khu vực tư nhân, công cộng hay phi lợi nhuận.
1.1.2 Tiêu chuẩn ISO/IEC 27001
ISO/IEC 27001 -Information security management systems – Requirements.
ISO / IEC 27001 là tiêu chuẩn có tiếng nhất trong khối chuẩn cung cấp các yêu cầu
cho một hệ thống quản lý an ninh thông tin (ISMS).
Mục đích
Sử dụng tiêu chuẩn này sẽ giúp cho các tổ chức quản lý an toàn các dạng tài sản như
thông tin tài chính, sở hữu trí tuệ, chi tiết nhân viên hoặc thông tin giao phó cho bạn
bởi các bên thứ ba. ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với
mọi lĩnh vực kinh tế trên toàn thế giới. Thông qua việc triển khai một hệ thống vững
chắc để quản lý thông tin trong tổ chức, bạn có thể bảo vệ được tài sản thông tin, đảm
bảo được sự liên tục trong kinh doanh nếu có xảy ra sự phá hoại hoặc mất mát nào.
Mất mát hoặc phá hoại có thể do rất nhiều nguyên nhân; thiên tai như hoả hạn hoặc lũ
lụt, sự mất mát ngẫu nhiên hoặc do quản lý kém, bị mua chuộc hoặc bị đánh cắp,
những mất mát này có thể gây ra những hậu quả khôn lường cho tổ chức.
Thông tin có thể là dữ liệu mà tổ chức sở hữu và nó có thể là những dữ liệu được lưu
lại dưới dạng điện tử, thông tin được chuyển qua bưu điện hay email, các dữ liệu hoặc
thông tin được in ra mà từng người trong tổ chức của bạn lưu giữ. Thông qua việc triển
khai ISO 27001 tổ chức sẽ xác định được loại thông tin trong tổ chức và xác định các
mối nguy và mối đe doạ. Sau đó bạn có thể thiết lập hệ thống, thiết lập sự kiểm soát và
các quy trình để giảm thiểu các mối nguy hiểm.
1.1.3 Tiêu chuẩn ISO/IEC 27002
ISO/IEC 27002 - Công nghệ thông tin - Quy tắc thực hành quản lý an toàn thông
tin - ISO 1087:2000 Thuật ngữ - Từ vựng (Terminology – Vocabulary)
Phiên bản hiện tại: ISO/IEC 27002: 2013
Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế
chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và năm 2007 được đổi tên
thành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng cùng với các tiêu chuẩn khác về
quản lý an toàn thông tin trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin
ISO/IEC 27000. Sau gần 8 năm ra đời, đã có rất nhiều thay đổi trên thế giới về an toàn
thông tin, các mối đe doạ, các điểm yếu kỹ thuật, các rủi ro liên quan đến điện toán
đám mây, dữ liệu lớn, và nhất là an ninh mạng. Do vậy hơn 3 năm qua, các tổ chức
tiêu chuẩn quốc gia trên toàn thế giới đã tổ chức cuộc họp với các chuyên gia chuyên
ngành tìm kiếm các điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC
27002:2013. Tiêu chuẩn ISO/ IEC 27002:2013 được công bố năm 2013 đã có rất nhiều
thay đổi về cấu trúc, nội dung các phần. Nội dung được viết lại cho tập trung và cô
đọng hơn (rút ngắn số trang so với bản 2005).
Mục tiêu
Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai,
duy trì và cải thiện công tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu đặt
ra của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung
đã được công nhận về quản lý an toàn thông tin.
Các mục tiêu và biện pháp kiểm soát của tiêu chuẩn này được triển khai đáp ứng các
yêu cầu được xác định bởi quá trình đánh giá rủi ro. Tiêu chuẩn này có thể đóng vai
trò như một định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn cho tổ
chức và thực hành quản lý an toàn hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt
động liên tổ chức.
Nội dung
Cấu trúc nội dung của phiên bản 27002:2013
0: Giới thiệu
1: Phạm vi
2: Tham khảo tiêu chuẩn
3. Giới hạn và định nghĩa
4. cấu trúc của chuẩn tham khảo
5. Chính sách bảo mật thông tin
6. Tổ chức bảo mật thông tin
7. Nguồn nhân lực an ninh
8. Quản lý tài nguyên
9, điều khiển truy cập
10. Khóa giao tiếp
11. Phần vật lý và môi trường bảo mật
12. Hoạt động bảo mật
13. An toàn trao đổi
14. Hệ thống tiếp nhận, phát triển và
duy trì
15. Quan hệ khách hàng
16. Quản lý sợ cố bảo mật thông tin
17. Các dạng bảo mật của khía cạnh
kinh doanh
18. Tuân thủ
1.1.4 ISO/IEC 27003
ISO/IEC 27003:2010 – Information security management system implementation
guidance.
ISO/IEC 27003:2010 nằm trong khối tiêu chuẩn ISO/IEC 27000 (ISMS), là một chuẩn
an ninh thông tin được công bố bởi Tổ chức Tiêu chuẩn Quốc tế (ISO) và Ủy ban Kỹ
thuật Điện Quốc tế (IEC). Tiêu đề của nó là Công nghệ thông tin - Kỹ thuật an ninh -
Thông tin quản lý an ninh thực hiện hệ thống hướng dẫn .
Tiêu chuẩn này tập trung vào các khía cạnh quan trọng, cần thiết cho việc thiết kế
thành công và thực hiện một hệ thống quản lý an ninh thông (ISMS) theo tiêu chuẩn
ISO/IEC 27001:2005. Nó mô tả các quá trình của ISMS được đặc tả và thiết kế từ khi
bắt đầu đến khi thực hiện kế hoạch sản xuất
Nó mô tả các quá trình có sự chấp thuận quản lý để thực hiện một ISMS, xác định một
dự án để thực hiện một ISMS (được đề cập trong tiêu chuẩn này là các dự án ISMS),
và cung cấp hướng dẫn về cách lập kế hoạc dự án ISMS.
Mục đích:
Các tổ chức có thể phát triển một quy trình quản lý an ninh thông tin, cho các bên liên
quan đảm bảo rằng rủi ro đối với tài sản thông tin liên tục được duy trì trong giới hạn
an ninh thông tin chấp nhận được theo quy định của tổ chức. Tiêu chuẩn này không
bao gồm các hoạt động nghiệp vụ và các hoạt động ISMS khác, nhưng bao gồm các
khái niệm về cách thiết kế các hoạt động đó sẽ cho kết quả sau khi các hoạt động
ISMS bắt đầu. Việc thực hiện thực tế của một phần cụ thể của một dự án ISMS là
không nằm trong phạm vi của tiêu chuẩn này.
1.1.5 ISO/IEC 27004
ISO/IEC 27004:2009 - Information security risk management
ISO/IEC 27004:2009là chuẩn của các phép đo liên quan đến quản lý an ninh thông tin:
thường được gọi là “thước đo an ninh”.
Bao gồm các phần chính:
- Thông tin tổng quan về đo lường an ninh;
- Trách nhiệm quản lý;
- Các biện pháp và phát triển đo lường;
- Hoạt động đo lường;
- Phân tích thông tin và báo cáo kết quả đo;
- Đánh giá chương trình đo lường an ninh thông tin và cải tiến.
Mục đích:
Cung cấp hướng dẫn về việc phát triển và sử dụng các biện pháp đo lường, đánh giá
hiệu quả của một hệ thống quản lý an ninh thông tin, như quy định trong tiêu chuẩn
ISO 27001. Nó được thiết kế để giúp thiết lập một tổ chức thực hiện ISMS một cách
hiệu quả.
1.1.6 ISO/IEC 27005
ISO/IEC 27005:2011 - Information technology - Security techniques - Information
security risk management.
Tiêu chuẩn này cung cấp hướng dẫn cho việc quản lý rủi ro an toàn thông tin trong
một tổ chức, đặc biệt hỗ trợ yêu cầu quản lý an toàn thông tin (ISMS) theo tiêu chuẩn
ISO/IEC 27001. Tuy nhiên, tiêu chuẩn này không cung cấp bất kỳ phương pháp cụ thể
để quản lý rủi ro an toàn thông tin. Đó là cách để tổ chức xác định cách tiếp cận của họ
để quản lý rủi ro, ví dụ tùy thuộc vào phạm vi của ISMS, bối cảnh của quản lý rủi ro,
hoặc lĩnh vực công nghiệp. Một số phương pháp hiện tại có thể được sử dụng trong
khuôn khổ mô tả trong tiêu chuẩn này để thực hiện các yêu cầu của một ISMS.Tiêu
chuẩn này có liên quan đến quản lý rủi ro an toàn thông tin với nhân viên trong hoặc
bên ngoài tổ chức, thích hợp hỗ trợ các hoạt động như vậy.
Tiêu chuẩn này cung cấp hướng dẫn cho việc quản lý rủi ro an toàn thông tin. Tiêu
chuẩn này hỗ trợ các khái niệm chung được quy định trong ISO/IEC 27001 và được
thiết kế để hỗ trợ việc thực hiện thỏa đáng về an toàn thông tin dựa trên phương pháp
quản lý rủi ro. Kiến thức về các khái niệm, mô hình, quy trình và thuật ngữ mô tả
trong ISO/IEC 27001 và ISO/IEC 27002 là quan trọng cho việc hiểu rõ các tiêu chuẩn
này. Tiêu chuẩn này được áp dụng cho tất cả các loại hình tổ chức (ví dụ như các
doanh nghiệp thương mại, cơ quan chính phủ, các tổ chức phi lợi nhuận) mà có ý định
để quản lý rủi ro có thể thỏa hiệp bảo mật thông tin của tổ chức.
1.1.7 ISO/IEC 27006
ISO/IEC 27006 - Requirements for bodies providing audit and certification of
information security management systems.
ISO / IEC 27006 là tiêu chuẩn dùng để hướng dẫn các cơ quan cấp giấy chứng nhận
vào các quá trình chính thức mà họ phải tuân theo khi kiểm toán hệ thống thông tin
khách hàng của họ 'Security Management (ISMSs) so với tiêu chuẩn ISO / IEC 27001
để xác nhận hoặc đăng ký họ tuân thủ. Các quy trình kiểm định đặt ra trong việc bảo
đảm tiêu chuẩn ISO / IEC 27001 chứng chỉ do các tổ chức được công nhận là hợp lệ.
ISO / IEC 27006 là tiêu chuẩn công nhận rằng hướng dẫn các cơ quan cấp giấy chứng
nhận vào các quá trình chính thức mà họ phải tuân theo khi kiểm toán Hệ thống thông
tin khách hàng của họ 'Security Management (ISMSs) so với tiêu chuẩn ISO / IEC
27001 để xác nhận hoặc đăng ký họ tuân thủ. Các quy trình kiểm định đặt ra trong việc
bảo đảm nhân đạo tiêu chuẩn ISO / IEC 27001 chứng chỉ do các tổ chức được công
nhận là hợp lệ.
Mục đích
Tiêu chuẩn ISO/IEC 27006 là để "xác định yêu cầu và hướng dẫn các cơ quan đánh
giá và chứng nhận hệ thống quản lý an ninh thông tin (ISMS), ngoài các yêu cầu nêu
trong ISO/IEC 17021 và ISO/IEC 27001. Đó là chủ yếu nhằm hỗ trợ công nhận của cơ
quan cấp giấy chứng nhận cung cấp chứng nhận ISMS”.
1.1.8 ISO/IEC 27007
ISO.IEC 27007:2011 - Information technology - Security techniques - Guidelines
for information security management systems auditing
Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an ninh thông tin
(ISMS) chương trình kiểm toán và tiến hành các cuộc kiểm toán nội bộ hoặc bên ngoài
theo tiêu chuẩn ISO/IEC 27001: 2005, cũng như hướng dẫn về thẩm quyền và đánh giá
của kiểm toán viên, nên được sử dụng kết hợp với các hướng dẫn có trong ISO 19011..
Hướng dẫn này là dành cho tất cả người sử dụng, bao gồm cả các tổ chức có quy mô
vừa và nhỏ. ISO 19011, hướng dẫn cho các hệ thống quản lý kiểm toán, cung cấp
hướng dẫn về quản lý các chương trình kiểm toán, tiến hành đánh giá trong nội bộ hay
bên ngoài hệ thống quản lý, cũng như về thẩm quyền và đánh giá của kiểm toán viên
hệ thống quản lý. Các văn bản trong tiêu chuẩn này theo cấu trúc của ISO 19011, và
hướng dẫn ISMS cụ thể thêm về việc áp dụng tiêu chuẩn ISO 19011 cho ISMS kiểm
toán được xác định bằng hai chữ "IS".
Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an ninh thông tin
(ISMS) chương trình kiểm toán, trên việc thực hiện việc kiểm toán, và về thẩm quyền
của ISMS kiểm toán viên, ngoài các hướng dẫn có trong ISO 19011.Tiêu chuẩn này
được áp dụng cho những người cần phải hiểu hoặc thực hiện kiểm toán nội bộ hoặc
bên ngoài ISMS hoặc để quản lý một chương trình kiểm toán ISMS.
1.1.9 ISO/IEC 27008
ISO/IEC 27008:2011 - Information technology - Security techniques - Guidelines
for auditors on information security controls.
Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an toàn thông tin
(ISMS) chương trình kiểm toán, trên thực hiện việc kiểm toán, và về thẩm quyền của
ISMS kiểm toán viên, ngoài các hướng dẫn có trong ISO 19011.Tiêu chuẩn này được
áp dụng cho những người cần phải hiểu hoặc thực hiện kiểm toán nội bộ hoặc bên
ngoài của một ISMS hoặc để quản lý một chương trình kiểm toán ISMS.
Tiêu chuẩn này cung cấp hướng dẫn về việc rà soát việc thực hiện và hoạt động của
điều khiển, bao gồm cả kiểm tra việc tuân thủ kỹ thuật của hệ thống điều khiển thông
tin, phù hợp với các tiêu chuẩn được thiết lập an ninh thông tin của tổ chức. Tieeuc
chuẩn kỹ thuật này được áp dụng cho tất cả các loại và qui mô của các tổ chức, bao
gồm cả công cộng và các công ty tư nhân, các tổ chức chính phủ, và phi lợi nhuận, tổ
chức hoạt động thông tin đánh giá an ninh và kiểm tra việc tuân thủ kỹ thuật. Báo cáo
kỹ thuật này không dành cho các hệ thống quản lý kiểm toán.
1.1.10 ISO/IEC 27011
ISO/IEC 27011:2008 - Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002
Phạm vi của khuyến nghị này là xác định hướng dẫn hỗ trợ thực hiện quản lý an ninh
thông tin trong các tổ chức viễn thông.
Mục đích
Việc áp dụng khuyến nghị sẽ cho phép các tổ chức viễn thông để đáp ứng yêu cầu
quản lý an ninh thông tin cơ bản về bảo mật, tính toàn vẹn, tính sẵn có và bất kỳ tài sản
bảo đảm có liên quan khác.
ISO 27011 thiết lập các hướng dẫn và nguyên tắc chung để bắt đầu, triển khai, duy trì
và cải thiện ISM trong các tổ chức viễn thông dựa trên tiêu chuẩn ISO/ IEC 27002.
Hiện nay ISO 27011 bao gồm bộ điều khiển viễn thông mở rộng mới và hướng dẫn
thực hiện cho một tổ chức viễn thông. Tiêu chuẩn này cung cấp một cơ sở thực hiện
ISM trong các tổ chức viễn thông để đảm bảo bí mật, toàn vẹn và tính sẵn sàng của
thiết bị và dịch vụ viễn thông. Các tổ chức khi thực hiện ISO 27011 sẽ có thể đảm bảo
tính bảo mật, tính toàn vẹn và tính sẵn sàng của thiết bị và dịch vụ viễn thông toàn cầu.
Đã được thông qua quá trình hợp tác an toàn và kiểm soát đảm bảo rủi ro trong việc
cung cấp các dịch vụ viễn thông. Có thể dùng để triển khai các nguồn lực để hoạt động
hiệu quả hơn. Tiêu chuẩn đã thông qua một phương pháp tiếp cận toàn diện phù hợp
để bảo mật thông tin. Có thể nâng cao nhận thực cá nhân và tăng sự tin tưởng.
1.1.11 ISO/IEC 27013
ISO/IEC 27013:2012 - Information technology - Security techniques - Guidance on
the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
Mối quan hệ giữa an ninh thông tin và quản lý dịch vụ là rất gần mà nhiều tổ chức đã
nhận ra những lợi ích của việc áp dụng cả hai tiêu chuẩn: ISO/IEC 27001 cho an ninh
thông tin và tiêu chuẩn ISO/IEC 20.000-1 cho quản lý dịch vụ. Nó được dùng phổ biến
cho một tổ chức để cải thiện cách thức nó hoạt động cho phù hợp với các yêu cầu của
một tiêu chuẩn quốc tế và sau đó thực hiện những cải tiến để phù hợp với các yêu cầu
của người dùng khác nhau.Có một số lợi thế trong việc thực hiện một hệ thống quản lý
tích hợp trong đó sẽ đưa vào tài khoản không chỉ là cung cấp dịch vụ mà còn bảo vệ tài
sản thông tin. Những lợi ích này vẫm có cho dù một tiêu chuẩn được thực hiện trước,
hay cả hai tiêu chuẩn được thực hiện đồng thời. Quản lý và tổ chức các quy trình, đặc
biệt, có thể hưởng lợi từ sự tương đồng giữa các tiêu chuẩn quốc tế và các mục tiêu
chung của họ.
Mối quan hệ giữa an ninh thông tin và quản lý dịch vụ là rất gần mà nhiều tổ chức đã
nhận ra những lợi ích của việc áp dụng cả hai tiêu chuẩn: ISO/IEC 27001 cho an ninh
thông tin và tiêu chuẩn ISO/IEC 20.000-1 cho quản lý dịch vụ. Nó được phổ biến cho
một tổ chức để cải thiện cách thức nó hoạt động cho phù hợp với các yêu cầu của một
tiêu chuẩn quốc tế và sau đó thực hiện những cải tiến để phù hợp với các yêu cầu của
người khác.
Có một số lợi thế trong việc thực hiện một hệ thống quản lý tích hợp trong đó sẽ đưa
vào tài khoản không chỉ là cung cấp dịch vụ mà còn bảo vệ tài sản thông tin. Những
lợi ích này có thể được hiệm cho dù một tiêu chuẩn được thực hiện trước khi người
kia, hoặc cả hai tiêu chuẩn được thực hiện đồng thời. Quản lý và tổ chức các quy trình,
đặc biệt, có thể hưởng lợi từ sự tương đồng giữa các tiêu chuẩn quốc tế và các mục
tiêu chung của họ.
Những lợi ích chính của một thực hiện tích hợp bao gồm:
a) độ tin cậy, để khách hàng nội bộ hay bên ngoài của các tổ chức, các dịch vụ hiệu
quả và an toàn;
b) chi phí thấp hơn của một chương trình kết hợp của hai dự án, trong đó đạt được
cả quản lý dịch vụ và an ninh thông tin là một phần của chiến lược của một tổ chức;
c) giảm thời gian thực hiện do sự phát triển tích hợp các quy trình chung cho cả hai
tiêu chuẩn;
d) loại bỏ sự trùng lặp không cần thiết;
e) một sự hiểu biết hơn của dịch vụ quản lý và nhân viên an ninh của các quan điểm
của người kia;
f) một tổ chức chứng nhận ISO/IEC 27001 có thể dễ dàng đáp ứng các yêu cầu về
an ninh thông tin trong ISO/IEC 20.000-1: 2011, phân lớp 6.6, khi cả hai tiêu chuẩn
quốc tế được bổ sung trong các yêu cầu.
Hướng dẫn này dựa trên các phiên bản xuất bản của cả hai tiêu chuẩn quốc tế, tiêu
chuẩn ISO/IEC 27001: 2005 và ISO/IEC 20.000-1: 2011.
Tiêu chuẩn này được thiết kế để sử dụng bởi người có kiến thức của cả hai, hoặc là
hoặc không phải của các tiêu chuẩn quốc tế ISO / IEC 27001 và ISO / IEC 20.000-1..
Do đó, tiêu chuẩn này không tái tạo các bộ phận của một trong hai tiêu chuẩn. Tương
tự, nó không mô tả tất cả các bộ phận của mỗi tiêu chuẩn quốc tế một cách toàn diện.
Chỉ có những phần mà chồng chéo đối tượng được mô tả chi tiết.
Tiêu chuẩn này không đưa ra hướng dẫn liên quan đến pháp luật và các quy định khác
nhau bên ngoài sự kiểm soát của tổ chức. Đây có thể khác nhau tùy theo quốc gia và
ảnh hưởng đến quy hoạch hệ thống quản lý của một tổ chức.
1.1.12 ISO/IEC 27014
ISO/IEC 27014:2013 - Information technology - Security techniques - Governance
of information security
Các tiêu chuẩn ISO/IEC 27014: 2013 đã được phát hành vào ngày 15 tháng 5 năm
2013. Việc quản lý an ninh thông tin là một "hệ thống mà theo đó các hoạt động an
ninh thông tin của một tổ chức được chỉ đạo và kiểm soát" (ISO/IEC 27014: 2013).
ISO/IEC 27014: 2013 là một phần của tiêu chuẩn ISO/ IEC 27000 loạt các tiêu chuẩn.
Tiêu chuẩn mới này đã được phát hành như là cả một tiêu chuẩn ISO / IEC 27.014 và
ITU-T khuyến nghị X.1054 (IRCA, 2013). "Quản trị thích hợp của an ninh thông tin,
đảm bảo sự liên kết của an ninh thông tin với chiến lược kinh doanh và mục tiêu, giao
hàng giá trị và trách nhiệm giải trình. Nó hỗ trợ việc đạt được tầm nhìn, nhanh nhẹn,
hiệu quả, hiệu quả và tuân thủ "(ISO27001:2013). Tiêu chuẩn này được "đặc biệt
nhằm giúp các tổ chức chi phối thoả thuận an ninh thông tin của họ" (ISO 27001:
2013). Tiêu chuẩn này cung cấp "hướng dẫn về các khái niệm và nguyên tắc choan
toàn thông tin, do đó các tổ chức có thể đánh giá, chỉ đạo, giám sát, giao tiếp và đảm
bảo các hoạt động liên quan đến an ninh thông tin trong tổ chức" và "áp dụng cho tất
cả các loại và qui mô của các tổ chức" (ISO/IEC 27014: 2013). Các tương đối ngắn,
mười một tiêu chuẩn trang phác thảo quản trị của khái niệm an ninh thông tin và cung
cấp một khuôn khổ của sáu nguyên tắc và khuôn khổ năm (ISO/IEC 27014: 2013).
Tiêu chuẩn này xem việc quản trị của CNTT như chồng chéo với quản trị an ninh
thông tin, cả những yếu tố này là các bộ phận onstituent của khái niệm rộng hơn về
quản trị tổ chức (ISO/IEC 27.014: 2013)
1.1.13 ISO/IEC 27015
ISO/IEC 27015:2012 - Information technology - Security techniques - Information
security management guidelines for financial services.
Phát triển liên tục trong công nghệ thông tin đã dẫn đến một sự phụ thuộc tăng của các
tổ chức cung cấp dịch vụ tài chính về tài sản của họ xử lý thông tin. Do đó, quản lý,
khách hàng và các nhà quản lý đã được nâng cao kỳ vọng về một sự bảo vệ an toàn
thông tin có hiệu quả với tài sản và các thông tin xử lý. Trong khi đó, theo tiêu chuẩn
ISO/IEC 27001: 2005 và ISO/IEC 27002: 2005 thông tin địa chỉ quản lý an ninh và
điều khiển, họ làm như vậy trong một hình thức tổng quát. Tổ chức cung cấp dịch vụ
tài chính có nhu cầu bảo mật thông tin và những khó khăn cụ thể trong tổ chức tương
ứng của họ hoặc trong khi thực hiện các giao dịch tài chính với các đối tác kinh doanh,
đòi hỏi trình độ cao của sự phụ thuộc giữa các bên liên quan. Báo cáo kỹ thuật này là
một bổ sung cho ISO IEC 27000 – họ gia đình của tiêu chuẩn quốc tế để sử dụng bởi
các tổ chức cung cấp dịch vụ tài chính. Đặc biệt, những hướng dẫn trong báo cáo kỹ
thuật này bổ sung và bổ sung để kiểm soát an ninh thông tin quy định trong ISO/IEC
27002: 2005. Thuật ngữ "dịch vụ tài chính" nên được hiểu như là các dịch vụ trong
quản lý, đầu tư, chuyển nhượng, hoặc cho vay tiền mà có thể được cung cấp bởi các tổ
chức cung cấp chuyên môn tài chính của họ hơn là bán sản phẩm vật lý (tức là bất cứ
ai trong "kinh doanh tiền"). Ngoài việc thực hiện của cả hai tiêu chuẩn ISO/IEC
27001: 2005 và ISO/IEC 27002: 2005, bằng cách sử dụng báo cáo kỹ thuật này, các tổ
chức cung cấp dịch vụ tài chính có thể thành lập một mức độ cao hơn của sự tin tưởng
trong tổ chức của họ, với khách hàng và với các đối tác kinh doanh, trong Đặc biệt, khi
có thể chứng minh rằng họ đã thông qua hướng dẫn cụ thể của ngành để quản lý an
ninh thông tin. Báo cáo kỹ thuật này phản ánh tình trạng của nghệ thuật và không được
dùng cho mục đích chứng nhận.
Tiêu chuẩn kỹ thuật này cung cấp bảo mật thông tin hướng dẫn bổ sung và ngoài kiểm
soát an ninh thông tin quy định trong ISO/IEC 27002:2005 khởi tạo, thực hiện, duy trì
và cải thiện an ninh thông tin trong các tổ chức cung cấp dịch vụ tài chính.
1.1.14 ISO/IEC 27016
ISO/IEC 27016:2014 - Information technology - Security techniques - Information
security management - Organizational economics
Tiêu chuẩn kỹ thuật này cung cấp hướng dẫn về kinh tế an toàn thông tin là một quá
trình ra quyết định liên quan đến việc sản xuất, phân phối và tiêu thụ hàng hóa và dịch
vụ hạn chế. Hành động để bảo vệ các tài sản thông tin của một tổ chức đòi hỏi nguồn
lực, mà nếu không có thể được giao cho người không-an ninh thông tin liên quan đến
sử dụng thay thế. Các độc giả của tiêu chuẩn kỹ thuật này chủ yếu được dùng để quản
lý điều hành đã giao phó trách nhiệm từ các cơ quan quản lý về chiến lược và chính
sách, ví dụ như Cán bộ Giám đốc điều hành (CEO), Thủ trưởng các tổ chức Chính
phủ, các cán bộ tài chính trưởng (CFO), các cán bộ trưởng điều hành (Coos), Sĩ quan
thông tin trưởng (CIO), các cán bộ an toàn thông tin trưởng (CISOs) và vai trò tương
tự.
Quản lý an toàn thông tin thường được xem như là một phương pháp tiếp cận công
nghệ thông tin chỉ bằng cách sử dụng điều khiển kỹ thuật (ví dụ như mã hóa, truy cập
và quản lý đặc quyền, tường lửa, và sự xâm nhập và xóa mã độc). Tuy nhiên, bất kỳ
ứng dụng bảo mật thông tin là không có hiệu quả mà không xem xét một loạt các điều
khiển khác (ví dụ như điều khiển vật lý, kiểm soát nguồn nhân lực, chính sách và các
quy tắc, vv). Một quyết định đã được thực hiện để dành đủ nguồn lực để hỗ trợ một
loạt các điều khiển như là một phần của quản lý an ninh thông tin. Báo cáo kỹ thuật
này hỗ trợ các mục tiêu lớn của bảo mật thông tin theo quy định tại các tiêu chuẩn
ISO/IEC 27000 gia đình đạt tiêu chuẩn bằng cách giới thiệu kinh tế như là một thành
phần quan trọng của quá trình ra quyết định.
Cùng với một cách tiếp cận quản lý rủi ro (ISO/IEC 27005) và khả năng thực hiện các
phép đo an toàn thông tin (ISO / IEC 27004), các yếu tố kinh tế cần phải được xem xét
như là một phần của quản lý an toàn thông tin khi lập kế hoạch, triển khai, duy trì và
cải thiện sự an toàn của tài sản thông tin của tổ chức. Đặc biệt, luận cứ kinh tế được
yêu cầu phải đảm bảo chi tiêu về an ninh thông tin là hiệu quả như trái ngược với việc
sử dụng các nguồn lực một cách kém hiệu quả hơn.
Thông thường, lợi ích kinh tế của mối quan tâm quản lý an toàn thông tin một hoặc
nhiều điều sau đây:
a) giảm thiểu bất kỳ tác động tiêu cực đến mục tiêu kinh doanh của tổ chức;
b) đảm bảo bất kỳ tổn thất tài chính là chấp nhận được;
c) tránh các yêu cầu về vốn tăng thêm nguy cơ và dự phòng trích lập dự phòng.
Quản lý an toàn thông tin cũng có thể tạo ra lợi ích mà không phải do vấn đề tài chính
một mình. Trong khi những lợi ích phi tài chính là quan trọng, họ thường bị loại khỏi
phân tích kinh tế dựa tài chính. Lợi ích như vậy cần phải được định lượng và bao gồm
như là một phần của các phân tích kinh tế. Các ví dụ bao gồm:
a) tạo điều kiện cho các doanh nghiệp tham gia vào các nỗ lực có nguy cơ cao;
b) tạo điều kiện cho các doanh nghiệp để đáp ứng các nghĩa vụ pháp lý và quy
định;
c) quản lý kỳ vọng của khách hàng của tổ chức;
d) quản lý kỳ vọng của cộng đồng của tổ chức;
e) duy trì một danh tiếng tổ chức đáng tin cậy;
f) cung cấp bảo đảm đầy đủ và chính xác của các báo cáo tài chính.
Tác động kinh tế tài chính và phi tài chính tiêu cực như là một kết quả của một sự thất
bại của tổ chức để cung cấp bảo vệ đầy đủ các tài sản thông tin của nó đang ngày càng
trở thành một vấn đề kinh doanh. Giá trị của quản lý an toàn thông tin bao gồm xác
định một mối quan hệ trực tiếp giữa chi phí kiểm soát để ngăn chặn sự mất mát, và các
chi phí lợi ích của việc tránh thua lỗ.
Tăng mức độ cạnh tranh được dẫn đến sự cần thiết cho các tổ chức để tập trung vào
kinh tế của rủi ro.
Báo cáo kỹ thuật này bổ sung các tiêu chuẩn ISO / IEC 27000 gia đình đạt tiêu chuẩn
bởi đè một góc độ kinh tế về bảo vệ tài sản thông tin của một tổ chức trong bối cảnh
của môi trường xã hội rộng rãi, trong đó một tổ chức hoạt động.
Tiêu chuẩn này cung cấp hướng dẫn kỹ thuật về cách tổ chức có thể đưa ra quyết định
để bảo vệ thông tin và hiểu hậu quả kinh tế của các quyết định trong bối cảnh các yêu
cầu đối với các nguồn lực cạnh tranh.
Tiêu chuẩn kỹ thuật này được áp dụng cho tất cả các loại và kích cỡ của các tổ chức và
cung cấp thông tin để quyết định kinh tế trong quản lý an ninh thông tin của lãnh đạo
những người có trách nhiệm về các quyết định an ninh thông tin.
1.1.15 ISO/IEC 27031
ISO/IEC 27031:2011 - Information technology - Security techniques - Guidelines
for information and communication technology readiness for business continuity
Trong những năm qua, công nghệ thông tin và truyền thông (ICT) đã trở thành một
phần không thể thiếu của rất nhiều các hoạt động đó là những yếu tố của cơ sở hạ tầng
quan trọng trong tất cả các lĩnh vực tổ chức, cho dù công cộng, tư nhân hoặc tự
nguyện. Sự phát triển của Internet và các dịch vụ mạng điện tử khác, và khả năng hiện
nay của hệ thống và các ứng dụng, cũng có nghĩa là các tổ chức càng trở nên phụ
thuộc nhiều hơn vào cơ sở hạ tầng công nghệ thông tin đáng tin cậy, an toàn và an
toàn.
Trong khi đó, nhu cầu quản lý kinh doanh liên tục (BCM), bao gồm chuẩn bị sự cố,
lập kế hoạch khôi phục thảm họa và ứng phó khẩn cấp và quản lý, đã được công nhận
và hỗ trợ với các lĩnh vực cụ thể của kiến thức, chuyên môn và các tiêu chuẩn xây
dựng và ban hành trong những năm gần đây, bao gồm cả các BCM tiêu chuẩn quốc tế
được phát triển bởi ISO / TC 223.
ISO/TC 223 đang trong quá trình phát triển của một quản lý kinh doanh liên tục có
liên quan tiêu chuẩn quốc tế (ISO 22301).
Thất bại của các dịch vụ công nghệ thông tin, bao gồm cả sự xuất hiện của các vấn đề
an ninh như hệ thống xâm nhập và lây nhiễm phần mềm độc hại, sẽ ảnh hưởng đến
tính liên tục của hoạt động kinh doanh. Do đó việc quản lý công nghệ thông tin và liên
tục có liên quan và các khía cạnh an ninh khác tạo thành một phần quan trọng của các
yêu cầu kinh doanh liên tục. Hơn nữa, trong phần lớn các trường hợp, các chức năng
kinh doanh quan trọng đòi hỏi phải liên tục kinh doanh thường phụ thuộc vào công
nghệ thông tin. Sự phụ thuộc này có nghĩa rằng sự gián đoạn để ICT có thể cấu thành
rủi ro chiến lược đối với danh tiếng của tổ chức và khả năng của mình để hoạt động.
Sẵn sàng ICT là một thành phần thiết yếu đối với nhiều tổ chức trong việc thực hiện
quản lý kinh doanh liên tục và quản lý an ninh thông tin. Là một phần của việc thực
hiện và hoạt động của một hệ thống quản lý an ninh thông tin (ISMS) được quy định
trong tiêu chuẩn ISO/IEC 27001 và hệ thống quản lý kinh doanh liên tục (BCMS)
tương ứng, nó là rất quan trọng để phát triển và thực hiện một kế hoạch sẵn sàng cho
các dịch vụ công nghệ thông tin để giúp đảm bảo kinh doanh liên tục.
Kết quả là, BCM hiệu quả là thường xuyên phụ thuộc vào sự sẵn sàng ICT hiệu quả để
đảm bảo rằng các mục tiêu của tổ chức có thể tiếp tục được đáp ứng trong thời gian
gián đoạn. Điều này đặc biệt quan trọng là những hậu quả của sự gián đoạn ICT
thường có những biến chứng nhất của việc vô hình và / hoặc khó phát hiện.
Để cho một tổ chức để đạt được sự sẵn sàng cho công nghệ thông tin kinh doanh liên
tục (IRBC), nó cần phải đưa ra một quy trình hệ thống để ngăn chặn, dự đoán và quản
lý gián đoạn ICT và các sự cố có khả năng làm gián đoạn dịch vụ công nghệ thông tin.
Điều này có thể đạt được tốt nhất bằng cách áp dụng các Plan-Do-Check-Act (PDCA)
bước theo chu kỳ như là một phần của một hệ thống quản lý trong lĩnh vực CNTT
IRBC. Bằng cách này IRBC hỗ trợ BCM bằng cách đảm bảo rằng các dịch vụ công
nghệ thông tin như phục hồi phù hợp và có thể được phục hồi trong khoảng thời gian
yêu cầu và thỏa thuận của tổ chức được xác định trước.
1.2 Bộ tiêu chuẩn ISO/IEC 15408
Bộ tiêu chuẩn ISO/IEC 15408 có tên là “Công nghệ thông tin – Các kỹ thuật an toàn –
Các tiêu chí đánh giá cho an toàn CNTT”. ISO/IEC 15408 được biên soạn bởi Ủy ban
kỹ thuật liên hợp ISO/IEC JTC 1 về công nghệ thông tin (Joint Technical Committee
ISO/IEC JTC) và Tiểu ban SC 27 về các kỹ thuật an toàn CNTT (Information
Technology Subcommittee SC 27, IT security techniques). Tài liệu chuẩn ISO/IEC
15408 được xuất bản bởi các tổ chức tài trợ dự án về các tiêu chuẩn chung dưới tiêu đề
“Các tiêu chí chung cho đánh giá an toàn CNTT”.
Tiêu chuẩn ISO/IEC 15408 cho phép thực hiện so sánh các kết quả đánh giá an toàn
độc lập. Tiêu chuẩn cung cấp một tập các yêu cầu đối với chức năng an toàn của các
sản phẩm và hệ thống CNTT, và về các biện pháp đảm bảo áp dụng các yêu cầu trong
quá trình đánh giá an toàn. Tiêu chuẩn cung cấp các tiêu chí tổng quát để đánh giá an
toàn cho các sản phẩm và hệ thống CNTT. Các kết quả đánh giá có thể giúp người
dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn chưa khi đưa vào sử
dụng, và các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận được hay không.
Bộ tiêu chuẩn ISO/IEC 15408 được xây dựng nhằm đáp ứng một nhu cầu thiết thực
của thực tiễn là làm cơ sở cho thực hiện đánh giá năng lực đảm bảo an toàn thông tin
cho các sản phẩm và hệ thống CNTT, và giúp các doanh nghiệp trong việc phát triển
các sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin. Để đạt
được sự so sánh hiệu quả giữa các kết quả đánh giá, các đánh giá cần được thực hiện
theo một khung của mô hình chính thức trong đó có các tiêu chí đánh giá chung. Điều
này làm tăng thêm tính chính xác, nhất quán và khách quan của kết quả đánh giá.
Bộ tiêu chuẩn gồm 3 phần là : ISO/IEC 15408-1, ISO/IEC 15408-2, ISO/IEC 15408-3.
1.2.1 ISO/IEC 15408-1: 2009
ISO/IEC 15408-1: 2009 - Information technology - Security techniques -
Evaluation criteria for IT security - Part 1: Introduction and general model
ISO / IEC 15.408-1: 2009 thiết lập các khái niệm chung và nguyên tắc của công nghệ
thông tin đánh giá an ninh và xác định mô hình chung của đánh giá được đưa ra bởi
các phần khác nhau của tiêu chuẩn ISO/IEC 15408 mà toàn bộ là có nghĩa là để được
sử dụng làm cơ sở cho việc đánh giá an ninh tính chất của các sản phẩm CNTT.
ISO / IEC 15.408-1: 2009 cung cấp một cái nhìn tổng quan của tất các phần trong tiêu
chuẩn ISO/IEC 15408. Nó mô tả các bộ phận khác nhau của tiêu chuẩn, các thuật ngữ
và chữ viết tắt được sử dụng trong tất cả các bộ phận của tiêu chuẩn quốc tế, thiết lập
các khái niệm cốt lõi của một mục tiêu của đánh giá (TOE), bối cảnh đánh giá và mô
tả đối tượng mà các tiêu chí đánh giá được. Giới thiệu các khái niệm bảo mật cơ bản
cần thiết cho việc đánh giá các sản phẩm CNTT được đưa ra. Nó định nghĩa các hoạt
động khác nhaumaf các thành phần chức năng và bảo đảm được đưa ra trong ISO/IEC
15408-2 và ISO/IEC 15408-3 có thể được thay đổi thông qua việc sử dụng các hoạt
động cho phép.
Mục đích :
ISO / IEC 15.408-1: 2009 đưa ra hướng dẫn cho các đặc điểm kỹ thuật của các mục
tiêu an ninh (ST) và cung cấp một mô tả của các tổ chức của các thành phần trong suốt
mô hình. đoành
1.2.2 ISO/IEC 15408-2:2008
ISO/IEC 15408-2:2008- Information technology - Security techniques - Evaluation
criteria for IT security - Part 2: Security functional components
ISO/IEC 15.408-2: 2008 xác định nội dung và trình bày các yêu cầu chức năng an toàn
được đánh giá trong một đánh giá an toàn bằng cách sử dụng tiêu chuẩn ISO/IEC
15408. Nó bao gồm một danh mục toàn diện các thành phần chức năng bảo mật được
xác định trước rằng sẽ đáp ứng nhu cầu bảo mật phổ biến nhất của thị trường. Đây là
những tổ chức sử dụng một cấu trúc phân cấp của các lớp và các thành phần, và được
hỗ trợ bởi người sử dụng ghi chú toàn diện.
Mục đích
Những đối tượng có thể áp dụng phần này của tiêu chuẩn ISO/IEC 15408 bao gồm
người dùng, các nhà phát triển và đánh giá hệ thống và sản phẩm CNTT. Người dùng
sử dụng ISO 15408-2 khi lựa chọn các thành phần chức năng được yêu cầu rõ ràng để
đáp ứng các mục tiêu an ninh hiện trong một hồ sơ bảo vệ hoặc một mục tiêu an ninh.
Các nhà phát triển, hay những người dùng cần đáp ứng yêu cầu an ninh trong thực tế,
hay nhận thức trong việc xây dựng một mục tiêu của đánh giá. Có thể tìm thấy một
phương pháp tiêu chuẩn để hiểu những yêu cầu trong phần này của ISO/IEC 15408.
Họ cũng có thể sử dụng các nội dung của phần này của ISO/IEC 15408 như một cơ sở
để xác định thêm các chức năng bảo mật mục tiêu được đánh giá và cơ chế thực hiện
theo những yêu cầu.
1.2.3 ISO/IEC 15408-3:2008
ISO/IEC 15408-3:2008- Information technology - Security techniques - Evaluation
criteria for IT security - Part 3: Security assurance components.
Xác định các yêu cầu đảm bảo các tiêu chí đánh giá. Nó bao gồm các mức đảm bảo
đánh giá để xác định quy mô để đo, đảm bảo cho các mục tiêu thành phần của đánh giá
(TOE), các gói bảo đảm bao gồm xác định quy mô để đo đảm bảo cho các TOE sáng
tác, các thành phần đảm bảo cá nhân mà từ đó các cấp bảo đảm và các gói được cấu
tạo , và các tiêu chuẩn đánh giá hồ sơ bảo vệ và các mục tiêu an ninh.
Mục đích
Cung cấp hướng dẫn về đặc điểm kỹ thuật của yêu cầu bảo mật tùy chỉnh mà không có
thành phần chức năng bảo mật được xác định trước phù hợp tồn tại.
2 Các tiêu chuẩn quốc gia
2.1 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005
TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 - Công nghệ thông tin - Hệ thống
quản lý an toàn thông tin - Các yêu cầu
TCVN ISO/IEC 27001:2009 hoàn toàn tương đương với ISO/IEC 27001:2005
TCVN ISO/IEC 27001:2009 do Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam biên
soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất
lượng thẩm định, Bộ Khoa học và Công nghệ công bố
Mục đích
Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập; triển khai; điều hành; giám
sát; soát xét; duy trì và cải tiến một hệ thống quản lý an toàn thông tin (ISMS) để đảm
bảo an toàn thông tin trước những rủi ro có thể xảy ra với các hoạt động của tổ chức.
Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản lý an toàn đã
được chọn lọc phù hợp với nhu cầu của tổ chức hoặc bộ phận của tổ chức.
2.2 TCVN 7562:2005 ISO/IEC 17799:2000
TCVN 7562:2005 ISO/IEC 17799:2000 - Công nghệ thông tin - Mã thực hành quản
lý an ninh thông tin
Tiêu chuẩn việt nam Mã thực hành quản lý an ninh thông tin – TCVN 7562 do Ban kỹ
thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố thông tin và tài liệu trong
thương mại, công nghiệp và hành chính” biên soạn, Tổng cục Đo lường chất lượng đề
nghị, Bộ Khoa học và Công nghệ ban hành năm 2005.
Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 có
tên “code of practice for information security management”và hoàn toàn tương đương
với tiêu chuẩn quốc tế này.
Mục tiêu
Tiêu chuẩn này gồm có mười hai phần, đưa ra các khuyến nghị về công tác quản lý an
ninh thông tin cho những người có trách nhiệm cài đặt, thực thi hoặc duy trì an ninh
trong tổ chức của họ. Tiêu chuẩn này nhằm cung cấp một cơ sở chung để xây dựng các
tiêu chuẩn an ninh trong tổ chức và thực hành quản lý an toàn thông tin một cách hiệu
quả và tạo sự tin cậy trong các giao dịch liên tổ chức. Các khuyến Các khuyến nghị rút
ra từ tiêu chuẩn này được lựa chọn và sử dụng phù hợp với các luật và quy định liên
quan.
Tiêu chuẩn TCVN 7562 được trình bày trong mười hai phần bao gồm:
1) Phạm vi áp dụng;
2) Thuật ngữ và định nghĩa;
3) Chính sách an ninh;
4) An ninh tổ chức;
5) Phân loại và kiểm soát tài sản;
6) An ninh cá nhân;
7) An ninh môi trường vật lý;
8) Quản lý truyền thông và hoạt động;
9) Kiểm soát truy cập;
10)Phát triển và duy trì hệ thống;
11)Quản lý liên tục trong kinh doanh;
12)Sự tuân thủ.
Tiêu chuẩn đã đưa ra 127 hướng dẫn đảm bảo an toàn thông tin được phân thành 10
vấn đề chính, bao gồm:
Chính sách an ninh
Mục tiêu là cung cấp phương hướng quản lý và hỗ trợ an ninh thông tin.
Ban quản lý an toàn thông tin (BQL) nên thiết lập một phương hướng chính sách rõ
ràng, công khai hỗ trợ và cam kết ANTT thông qua việc phát hành và duy trì một
chính sách an ninh (CSAN) thông tin trong toàn tổ chức.
Việc xây dựng các chính sách an ninh bao gồm hai nội dung cơ bản:
a) Các cơ quan tổ chức cần tự xây dựng tài liệu CSAN phù hợp với hoạt động thực
tiễn trong đó bao gồm các nội dung:
- Định nghĩa về an ninh thông tin (ANTT), đối tượng, phạm vi, tầm quan trọng;
- Mục đích quản lý, hỗ trợ các mục tiêu và nguyên tắc về ANTT;
- Giải thích các chính sách, nguyên tắc, tiêu chuẩn, yêu cầu đặc biệt của tổ chức
quy định.;
- Xác định trách nhiệm cho việc quản lý và báo cáo;
- Danh mục các tài liệu có thể hỗ trợ.
b) Các cơ quan tổ chức cần thường xuyên soát xét đánh giá hiệu quả của CSAN đã
có.
An ninh tổ chức
a) Hạ tầng an ninh thông tin
Mục tiêu : Quản lý an ninh thông tin trong tổ chức
Khuôn khổ quản lý nên được thiết lập để khởi đầu và kiểm soát việc thực hiện an ninh
thông tin trong tổ chức.
Các diễn đàn quản lý phù hợp với khả năng lãnh đạo của ban quản lý nên được thành
lập để thông qua CSAN, ấn định các vai trò an ninh và phối hợp thực hiện an ninh
trong toàn bộ tổ chức. Nếu cần thiết, một tập hợp các khuyến nghị về an ninh thông tin
nên được thiết lập và sẵn dùng trong tổ chức. Nên phát triển việc cộng tác với các
chuyên gia an ninh bên ngoài để theo kịp các xu hướng công nghiệp, các tiêu chuẩn
giám sát, phương pháp đánh giá và cung cấp các điểm liên lạc phù hợp khi xử lý sự cố
an ninh. Nên khuyến khích sử dụng cách tiếp cận an ninh thông tin đã chiều, ví dụ bao
gồm sự phối hợp và hợp tác của các nhà quản lý, người sử dụng, nhà quản trị, người
thiết kế ứng dụng, kiểm toán viên, nhân viên an ninh và các chuyên gia có kỹ năng
chuyên môn trong nhiều lĩnh vực như bảo hiểm và quản lý rủi ro.
Xây dựng một hạ tầng an ninh thông tin cần thực hiện
- Xây dựng diễn đàn quản lý ANTT;
- Hợp tác về ANTT (Phối hợp thực hiện đảm bảo ANTT giữa các bộ phận,
chuyên gia);
- Phân định trách nhiệm về ANTT;
- Quyền xử lý phương tiện xử lý thông tin;
- Khuyến nghị của chuyên gia ATTT;
- Hợp tác giữa các tổ chức;
- Soát xét ANTT một cách độc lập.
b) An ninh đối với sự truy cập bên thứ ba
Mục tiêu : Duy trì an ninh cho các phương tiện xử lý thông tin của tổ chức và các tài
sản thông tin do các bên thứ ba truy cập.
- Xác định các rủi ro từ việc truy cập của bên thứ ba;
- Các yêu cầu an ninh trong hợp đồng với bên thứ ba.
c) Cung ứng bên ngoài
Mục tiêu : Duy trì an ninh cho các phương tiện xử lý thông tin của tổ chức và các tài
sản thông tin do các bên thứ ba truy cập
- Xác định các rủi ro từ việc truy cập của bên thứ ba;
- Các yêu cầu an ninh trong hợp đồng với bên thứ ba.
Phân loại và kiểm soát tài sản
a) Trách nhiệm giải trình các tài sản
Mục tiêu : Duy trì bảo vệ thích hợp các tài sản của tổ chức
- Tài sản: Thông tin; thiết bị; phần mềm; dịch vụ;
- Toàn bộ tài sản chính nên được giải trình và có người quản lý được bổ nhiệm;
- Thường xuyên kiểm kê, kiểm soát đảm bảo an ninh cho tài sản.
b) Phân loại thông tin
Mục tiêu : Đảm bảo tài sản thông tin có mức bảo vệ thích hợp
- Hướng dẫn phân loại thông tin;
- Dán nhãn quản lý thông tin.
An ninh cá nhân
a) An ninh theo định nghĩa và nguồn công việc
Mục tiêu : Giảm rủi ro do các hành vi sai sót, đánh cắp, gian lận hoặc lạm dụng các
phương tiện
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
- An ninh theo trách nhiệm công việc;
- Chính sách và kiểm tra nhân sự;
- Thỏa thuận về tính bảo mật;
- Các điều khoản và điều kiện tuyển dụng.
b) Đào tạo người sử dụng (NSD)
Mục tiêu : Đảm bảo NSD nhận thức được các mối đe dọa và các vấn đề liên quan đến
ANTT.
c) Đối phó với các sự cố và sự cố an ninh
Mục tiêu : Giảm thiểu thiệt hại từ các trục trặc và sự cố AN, theo dõi và rút kinh
nghiệm.
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
- Báo cáo sự cố (bảo mật);
- Báo cáo các điểm yếu an ninh;
- Báo cáo sự cố (phần mềm);
- Rút kinh nghiệm từ các sự cố;
- Quy trình thiết lập kỷ luật.
An ninh môi trường vật lý
a) Phạm vi an ninh
Mục tiêu : Ngăn ngừa việc truy cập, gây hại và can thiệp trái phép vào vùng và thông
tin nghiệp vụ
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
- Xây dựng vành đai an ninh vật lý;
- Kiểm soát xâm nhập vật lý;
- An ninh văn phòng, phòng và phương tiện;
- Làm việc trong phạm vi an ninh;
- Các khu vực tiếp nhận và phân phối riêng biệt.
b) Kiểm soát chung
Mục tiêu : Ngăn ngừa làm hại hoặc đánh cắp thông tin và các phương tiện xử lý thông
tin
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
- Chính sách bàn sạch và màn hình sạch;
- Di chuyển tài sản.
Quản lý truyền thông và hoạt động
a) Trách nhiệm và thủ tục hoạt động
Mục tiêu : Đảm bảo các phương tiện xử lý thông tin hoạt động đúng và an toàn.
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
- Thủ tục vận hành được tài liệu hóa;
- Kiểm soát thay đổi trong hoạt động;
- Thủ tục quản lý sự cố;
- Phân tách trách nhiệm;
- Phân tách về các phương tiện phát triển và hoạt động;
- Quản lý các phương tiện bên ngoài.
b) Lập kế hoạch hệ thống và sự công nhận
Mục tiêu : Giảm thiểu rủi ro về lỗi hệ thống
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
- Lập kế hoạch về năng lực;
- Chấp nhận hệ thống.
c) Bảo vệ chống lại phần mềm cố ý gây hại
Đối tượng : Để bảo vệ tính toàn vẹn của phần mềm và thông tin
- Kiểm tra chống lại các phần mềm cố ý gây hại.
d) Công việc cai quản
Mục tiêu: Duy trì tính toàn vẹn và sẵn sàng của dịch vụ truyền đạt và xử lý thông tin
- Sao lưu thông tin;
- Các bản ghi của điều hành viên;
- Ghi lại khiếm khuyết.
e) Quản lý mạng
Đối tượng: Đảm bảo viện bảo vệ thông tin trên các mạng và việc bảo vệ hạ tầng hỗ trợ
- Kiểm soát mạng.
f) Trình điều khiển và an ninh môi trường truyền thông
Đối tượng : Để ngăn ngừa tổn hại tới tài sản và gián đoạn các hoạt động của cơ quan.
Phương tiện truyền thông nên được kiểm soát và bảo vệ vật lý
Nội dung tiêu chuẩn đề ra các quy tắc cần thực hiện trong việc:
- Quản lý vủa phương tiện truyền thông máy tính có thể tháo lắp được;
- Sự chuyển nhượng của môi trường truyền thông;
- Các thủ tục của trình điều khiển thông tin.
g) Trao đổi các thông tin và phần mềm
Đối tượng: Ngăn ngừa mất mát, thay đổi hoặc sử dụng sai thông tin được trao đổi
giữa các tổ chức
- Thỏa thuận trao đổi thông tin và phần mềm;
- An ninh môi trường truyền thông tin;
- An ninh thương mại điện tử;
- Các rủi ro;
- Chính sách về thư điện tử;
- An ninh các hệ thống văn phòng điện tử;
- Các hệ thống công cộng sẵn có;
- Các biểu mẫu trao đổi thông tin khác.
Kiểm soát truy cập
a) Yêu cầu kinh doanh đối với kiểm soát truy cập
Đối tượng: Để kiểm soát truy cập thông tin
- Chính sách kiểm soát truy cập;
- Chính sách và yêu cầu kinh doanh (nghiệp vụ);
- Các quy tắc kiểm soát truy cập.
b) Quản lý truy cập người sử dụng
Đối tượng: Ngăn ngừa trái phép cho các truy cập hệ thống thông tin
- Đăng ký người sử dụng;
- Quản lý đặc quyền;
- Quản lý mật khẩu;
- Soát xét các quyền truy cập của người sử dụng.
c) Trách nhiệm của người sử dụng
Đối tượng: Ngăn ngừa người sử dụng truy cập trái phép
- Sử dụng mật khẩu;
- Giám sát thiết bị.
d) Kiểm soát truy cập mạng
Đối tượng: Sự bảo vệ của các dịch vụ được nối mạng
- Chính sách về sử dụng các dịch vụ mạng;
- Đường dẫn bắt buộc;
- Xác thực người sử dụng đối với các kết nối bên ngoài;
- Xác thực nút mạng;
- Bảo vệ cổng chẩn đoán từ xa;
- Tình trạng phân tách trong mạng;
- Kiểm soát kết nối của mạng;
- Kiểm soát định tuyến mạng;
- An ninh của các dịch vụ mạng.
e) Kiểm soát định truy cập hệ điều hành
Đối tượng: Để ngăn ngừa truy cập máy tính trái phép
- Định danh tự động thiết bị đầu cuối;
- Các thủ tục nhập vào thiết bị đầu cuối;
- Định danh và xác thực người sử dụng;
- Hệ thống quản lý mật khẩu;
- Sử dụng các tiện ích của hệ thống;
- Cảnh báo bắt buộc để bảo vệ NSD;
- Thời gian chờ của thiết bị đầu cuối;
- Giới hạn của thời gian kết nối.
f) Kiểm soát truy cập của ứng dụng
Đối tượng: Để ngăn ngừa truy cập trái phép tới thông tin của hệ thống thông tin
- Hạn chế truy cập thông tin;
- Cách ly hệ thống nhạy cảm.
g) Kiểm soát truy cập và sử dụng hệ thống
Đối tượng: Phát hiện hoạt động trái phép
- Ghi lại sự kiện;
- Kiểm tra việc sử dụng hệ thống;
- Đồng bộ hóa đồng hồ.
h) Công tác từ xa và tính toán lưu động
Đối tượng: Để đảm bảo an ninh thông tin khi sử dụng các phương tiện máy tính di
động
- Tính toán lưu động;
- Công tác từ xa.
Phát triển và duy trì hệ thống
a) Các yêu cầu an ninh của hệ thống
Đối tượng: Đảm bảo rằng an ninh được thiết lập trong các hệ thống thông tin
- Phân tích và đặc tả các yêu cầu an ninh.
b) An ninh trong các hệ thống ứng dụng
Đối tượng: Để ngăn ngừa mất mát, thay đổi hoặc lạm dụng thông tin người sử dụng
trong các hệ thống ứng dụng
- Xác định tính hợp lệ của thông tin đầu vào;
- Kiểm soát quá trình nội bộ;
- Xác thực thông điệp;
- Kiểm tra tính hợp lệ của thông tin ra .
c) Các kiểm soát mật mã hóa
Đối tượng: Để bảo vệ tính tin cẩn, xác thực hoặc toàn vẹn của thông tin
- Chính sách về việc sử dụng các kiểm soát mật mã hóa;
- Sự mật mã hóa;
- Các chữ ký điện tử;
- Các dịch vụ không từ chối nhận;
- Quản lý khóa.
d) An ninh các tệp hệ thống
Đối tượng: Để đảm bảo rằng các dự án IT và các hoạt động hỗ trợ được quản lý một
cách an toàn
- Kiểm soát phần mềm thao tác;
- Sự bảo vệ của thông tin thử nghiệm hệ thống;
- Kiểm soát truy cập tới thư viện gốc của chương trình.
e) An ninh quá trình hỗ trợ và phát triển
Đối tượng: Để duy trì an ninh của phần mềm và thông tin hệ thống ứng dụng
- Kiểm soát sự thay đổi các thủ tục;
- Xem xét kỹ thuật của các thay đổi hệ điều hành;
- Các hạn chế thay đổi đối với các gói phần mềm;
- Các kênh chuyển đổi và mã thành Troa;
- Xây dựng phần mềm được cung ứng;
Quản lý liên tục trong kinh doanh
a) Các khía cạnh về quản lý liên tục trong kinh doanh
Đối tượng: Để chống lại sự gián đoạn các hoạt động kinh doanh và để bảo vệ các thủ
tục kinh doanh có tính phê bình khỏi các tác động của các lỗi hoặc các thảm họa lớn
- Quản lý tính liên tục của thủ tục kinh doanh;
- Phân tích tác động và liên tục trong kinh doanh;
- Ghi lại và thực hiện các kế hoạch về tính liên tục;
- Khuôn khổ lập kế hoạch liên tục trong kinh doanh;
- Thử nghiệm, duy trì và đánh giá lại các kế hoạch liên tục của doanh nghiệp.
Sự tuân thủ
a) Tuân thủ các yêu cầu pháp lý
Đối tượng: Để tránh các vi phạm bất kỳ luật hình sự và dân sự, các nghĩa vụ có tính
luật pháp, nguyên tắc hoặc giao kèo và bất kỳ yêu cầu an ninh nào
- Xác định văn bản pháp lý có thể áp dụng;
- Các quyền sở hữu trí tuệ (IPR);
- Bản quyền phần mềm;
- Bảo vệ các báo cáo tổ chức;
- Bảo vệ thông tin đảm bảo bí mật của thông tin cá nhân;
- Ngăn ngừa việc sử dụng sai các phương tiện xử lý thông tin;
- Quy định các kiểm soát mật mã hóa;
- Tập hợp chứng cớ.
b) Soát xét của chính sách an ninh và yêu cầu kỹ thuật
Đối tượng: Để đảm bảo việc tuân thủ của hệ thống với các chính sách và tiêu chuẩn an
ninh của tổ chức
- Sự tuân theo chính sách an ninh;
- Kiểm tra sự tuân theo kỹ thuật.
c) Sự xem xét kiểm tra hệ thống
Đối tượng: Để tối đa tính hiệu lực và để giảm thiểu sự can thiệp tới/từ quy trình kiểm
tra hệ thống đó
- Các kiểm soát kiểm tra hệ thống;
- Sự bảo vệ của các công cụ kiểm tra hệ thống.
2.3 Bộ TCVN 8709
Bô tiêu chuẩn Việt Nam này hoàn toàn tương đương với bộ tiêu chuẩn ISO/IEC
15408. Bộ tiêu chuẩn có chứa một tập hợp chung các yêu cầu cho các chức năng bảo
mật của sản phẩm và các hệ thống, các biện pháp bảo đảm áp dụng cho họ trong quá
trình đánh giá an toàn bảo mật. Nó có thể được áp dụng trong bất kì lĩnh vực nào cần
phải kiểm tra độ an toàn bảo mật của một hệ thống hay một sản phẩm công nghệ thông
tin.
Bao gồm 3 phần TCVN 8709-1, TCVN 8709-2, TCVN 8709-3.
2.3.1 TCVN 8709-1:2011 ISO/IEC 15408-1:2009
TCVN 8709-1:2011 ISO/IEC 15408-1:2009 - Công nghệ thông tin- Các kỹ thuật an
toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng
quát
TCVN 8709-1:2011 hoàn toàn tương đương ISO/IEC 15408-1:2008
TCVN 8709-1:2011 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn,
Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng
thẩm định, Bộ Khoa học và Công nghệ công bố. .
Mục đích
Tiêu chuẩn này cho phép thực hiện so sánh các kết quả đánh giá an toàn độc lập. Tiêu
chuẩn cung cấp một tập các yêu cầu chung về chức năng an toàn cho các sản phẩm
công nghệ thông tin (CNTT), và về các biện pháp đảm bảo áp dụng cho các sản phẩm
này trong quá trình đánh giá an toàn. Các sản phẩm CNTT này có thể dưới dạng phần
cứng, phần sụn hay phần mềm.
Quy trình đánh giá thiết lập một mức tin cậy về việc các chức năng an toàn cho các sản
phẩm CNTT và các biện pháp đảm bảo áp dụng cho chúng thỏa mãn các yêu cầu nêu
trên. Các kết quả đánh giá có thể giúp người dùng xác định xem sản phẩm hoặc hệ
thống CNTT có thỏa mãn yêu cầu đảm bảo an toàn của chúng hay không.
TCVN 8709 là một chỉ dẫn bổ ích cho phát triển, đánh giá và/hoặc đầu tư các sản
phẩm CNTT với chức năng an toàn.
TCVN 8709 có tính mềm dẻo, cho phép áp dụng nhiều phương pháp đánh giá cho
nhiều đặc tính an toàn của đa dạng sản phẩm CNTT. Chính vì vậy, người dùng tiêu
chuẩn này cần thận trọng khi áp dụng để tránh lạm dụng nó. Ví dụ, nếu sử dụng TCVN
8709 kết hợp với các phương pháp đánh giá không phù hợp, các đặc tính an toàn
không thích hợp, hoặc các sản phẩm CNTT không phù hợp sẽ dẫn đến các kết quả
đánh giá vô nghĩa.
Do vậy, thực tế là một sản phẩm CNTT đã được đánh giá chỉ có ý nghĩa trong phạm vi
ngữ cảnh các đặc tính an toàn được đánh giá với các phương pháp đánh giá cụ thể đã
sử dụng. Các cơ quan đánh giá cần kiểm tra thận trọng các sản phẩm, đặc tính và các
phương pháp để xác định rõ việc đánh giá đem lại kết quả có nghĩa. Ngoài ra, người
mua các sản phẩm đã được đánh giá cũng cần xem xét kỹ lưỡng ngữ cảnh này để xác
định xem sản phẩm đã đánh giá có hữu ích và áp dụng được cho trường hợp cụ thể của
mình và đáp ứng yêu cầu hay không.
TCVN 8709 đề cập đến việc bảo vệ tài sản thông tin chống các truy nhập trái phép,
các sửa đổi hoặc mất mát trong sử dụng. Phân loại bảo vệ liên quan đến ba kiểu lỗi an
toàn kể trên tương ứng với tính bí mật, tính toàn vẹn và tính sẵn sàng. TCVN 8709
cũng có thể áp dụng cho các đánh giá ngoài ba nhóm trên. TCVN 8709 áp dụng cho
các rủi ro phát sinh từ các hành vi của con người (ác ý hoặc lý do khác), và cho các rủi
ro không do con người tạo ra. Ngoài an toàn CNTT, TCVN 8709 có thể áp dụng cho
các lĩnh vực CNTT khác, song không có ràng buộc nào khi áp dụng cho các lĩnh vực
đó.
2.3.2 TCVN 8709-2:2011 ISO/IEC 15408-2:2008
TCVN 8709-2:2011 ISO/IEC 15408-2:2008 - Công nghệ thông tin- Các kỹ thuật an
toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an
toàn
TCVN 8709-2:2011 hoàn toàn tương đương IS/IEC 15408-2:2008
TCVN 8709-2:2011 do Trung tâm Ứng cứu khẩn cấp máy tính VIệt Nam biên soạn,
Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng
thẩm định, Bộ Khoa học và Công nghệ công bố.
Mục đích
Các thành phần chức năng an toàn định nghĩa trong tiêu chuẩn này (TCVN 8709-2) là
cơ sở cho các yêu cầu chức năng an toàn biểu thị trong một hồ sơ bảo vệ (PP) hoặc
một đích an toàn (ST). Các yêu cầu này mô tả các hành vi an toàn mong muốn dự kiến
đối với một đích đánh giá (TOE) và nhằm đáp ứng các mục tiêu an toàn đã tuyên bố
trong một PP hoặc một ST. Các yêu cầu này mô tả các đặc tính an toàn mà người dùng
có thể phát hiện ra thông qua tương tác trực tiếp với công nghệ thông tin (CNTT) hoặc
qua phản ứng của CNTT với các tương tác.
2.3.3 TCVN 8709-3:2011 ISO/IEC 15408-3:2008
TCVN 8709-3:2011 ISO/IEC 15408-3:2008 - Công nghệ thông tin- Các kỹ thuật an
toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an
toàn
TCVN 8709-3:2011 hoàn toàn tương đương IS/IEC 15408-2:2008
TCVN 8709-3:2011 do Trung tâm Ứng cứu khẩn cấp máy tính VIệt Nam biên soạn,
Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng
thẩm định, Bộ Khoa học và Công nghệ công bố
Các thành phần đảm bảo an toàn như định nghĩa trong tiêu chuẩn này của TCVN 8709
là cơ sở cho các yêu cầu đảm bảo an toàn được biểu thị trong một hồ sơ bảo vệ (PP)
hoặc một đích an toàn (ST).
3 Tiêu chuẩn áp dụng xây dựng chuẩn
Ở Việt Nam hiện tại đã có một số chuẩn xây dựng liên quan đến việc quản lý an toàn
thông tin. Nhưng các chuẩn ở Việt Nam đã xây dựng chưa đi sát về nội dung quản lý
an toàn thông tin hoặc lại áp dụng theo các phiên bản ISO đã cũ trên thế giới, hiện tại
những phiên bản cũ này đã có bản cập nhật mới hơn, có bố cục trình bày, nội dung
được sửa đổi khác với bản cũ để phù hợp với tình hình phát triển công nghệ thông tin.
Ví dụ như chuẩn ISO/IEC 27001:2009 xây dựng hoàn toàn tương đương ISO/IEC
27001:2005, hiện tại đã có ISO/IEC 27001:2013. Bộ tiêu chuẩn TCVN 8709 xây dựng
hoàn toàn tương đương với bộ tiêu chuẩn ISO/IEC 15408. Vì vậy chúng ta sẽ áp dụng
các bộ chuẩn phiên bản mới nhất để xây dựng bộ tiêu chuẩn quản lý an toàn thông tin.
Những chuẩn thuộc lĩnh vực an toàn quản lý thông tin trên thế giới đã giới thiệu; như
bộ tiêu chuẩn ISO/IEC 15408, có chứa một tập hợp chung các yêu cầu cho các chức
năng bảo mật của sản phẩm và các hệ thống, các biện pháp bảo đảm áp dụng cho họ
trong quá trình đánh giá an toàn bảo mật. Bộ tiêu chuẩn này có thể được áp dụng trong
bất kì lĩnh vực nào cần phải kiểm tra độ an toàn bảo mật của một hệ thống hay một sản
phẩm công nghệ thông tin. Hay bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình
để thiết lập, thực hiện, điều hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản
lý an toàn thông tin (ISMS).
Nhận thấy trong các tiêu chuẩn hay bộ tiêu chuẩn tìm hiểu thì bộ tiêu chuẩn ISO/IEC
27000 là đầy đủ và có nội dung phù hợp nhất để xây dựng bộ tiêu chuẩn quản lý an
toàn thông tin.
Trong bộ tiêu chuẩn nhóm đề tài xây dựng là quản lý an toàn thông tin có một phần là
an toàn toàn trao đổi được trình bày trong phần dự thảo, và áp dụng tiêu chuẩn
27002:2013 để xây dựng.
CHƯƠNG 3. XÂY DỰNG TIÊU CHUẨN KỸ THUẬT QUỐC GIA VỀ QUẢN LÝ AN TOÀN THÔNG TIN
1 Lý do và mục đích xây dựng tiêu chuẩn
1.1 Lý do
Như đã đề cập ở chương 1, nguy cơ mất an toàn thông tin ngày một gia tăng, là một
vấn đề hết sức cấp bách, các cơ quan tổ chức và các đơn vị đang rất cần những tiêu
chuẩn hướng dẫn quản lý an toàn thông tin.
Hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin chưa đầy đủ hoặc chưa
cập nhật so với sự thay đổi trên thế giới. Như TCVN ISO/IEC 27002:2011 bao gồm
các biện pháp quản lý liên quan đến quản lý an toàn trao đổi. Tuy nhiên tiêu chuẩn này
lấy tiêu chuẩn ISO/IEC 27002:2005 làm tài liệu viện dẫn. Sau gần 8 năm ra đời tiêu
chuẩn ISO/IEC 27002:2005, đã có rất nhiều thay đổi trên thế giới về an toàn thông tin,
các mối đe doạ, các điểm yếu kỹ thuật, các rủi ro liên quan đến điện toán đám mây,
thông tin. Do vậy tiêu chuẩn ISO/IEC 27002:2005 đã được cập nhật, bổ sung để thành
tiêu chuẩn ISO/IEC 27002:2013. Tiêu chuẩn ISO/ IEC 27002: 2013 được công bố năm
2013 đã có rất nhiều thay đổi về cấu trúc, nội dung các phần. Nội dung được viết lại
cho tập trung và cô đọng hơn.Mặc dù nội dung cô đọng hơn nhưng phiên bản năm
2013 lại có nhiều phần hơn phiên bản 2005 do đã được cập nhật bổ sung những phần
mới cho phù hợp với tình hình an toàn an ninh hiện tại. Do vậy, những phần bổ sung
thêm chúng ta cần chú ý đảm bảo sử dụng đúng thuật ngữ trong quá trình xây dựng.
Vấn đề cấp thiết là chúng ta cần có những biện pháp quản lý an toàn thông tin đầy đủ
hiệu quả hơn. Tuy nhiên xây dựng biện pháp quản lý như thế nào cho hiệu quả và phù
hợp với điều kiện của Việt Nam thì luôn là một vấn đề đặt ra với các cơ quan tổ chức
và đơn vị có ý định triển khai.
1.2 Mục đích
Xây dựng tiêu chuẩn về quy tắc quản lý an toàn thông tinđể hoàn chỉnh hệ thống tiêu
chuẩn về an toàn thông tin của Việt Nam, làm sở cứ để xây dựng các biện pháp quản
lý an toàn thông tin và tăng cường áp dụng các biện pháp an toàn thông tin tại Việt
Nam
2 Sở cứ xây dựng tiêu chuẩn
Căn cứ vào các chuẩn của Việt Nam cũng như trên thế giới đã được trình bày trong
chương 2. Nhận thấy chỉ có tài liệu ISO/IEC 27000:2014 và ISO/IEC 27002:2013 là
có nội dung phù hợp với quản lý an toàn thông tin, đặc biệt là thông tin số hóa. Với
những phần mục có sự tương đồng như vậy lựa chọn tiêu chuẩn ISO/IEC 27002:2013
là hợp lý.
Do vậy nhóm thực hiện đã xây dựng tiêu chuẩn này dựa trên tiêu chuẩn quốc tế ISO/IEC 27002:2013và ISO/IEC 27000:2014 của Tổ chức tiêu chuẩn hóa quốc tế ISO và Ủy ban kỹ thuật điện quốc tế IEC. Đây cũng là tài liệu đã được nhiều quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia tương đương. Đây là một tiêu chuẩn rất đầy đủ về các kỹ thuật an toàn và quản lý an toàn thông tin.
3 Phương pháp xây dựng tiêu chuẩn
ISO/IEC 27002:2013 là tài liệu tham chiếu làm cơ sở để xây dựng tiêu chuẩn này.
Trên cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về quản lý an toàn thông tin,
cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ qui chuẩn, nhóm đề tài
khuyến nghị xây dựng tiêu chuẩn này theo phương pháp chấp thuận áp dụng
ISO/IEC 27002:2013 (có chỉnh sửa một số yêu cầu kỹ thuật cho phù hợp với điều
kiện tại Việt Nam và bố cục, trình bày lại theo qui định Tiêu chuẩn Quốc gia).
Tên tiêu chuẩn đề xuất:
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC
HÀNH QUẢN LÝ AN TOÀN THÔNG TIN
Information technology – Security techniques – Code of practice for infomation
security management
3.1 Cấu trúc tiêu chuẩn
Dự thảo tiêu chuẩn bao gồm các phần sau:
1 PHẠM VI ÁP DỤNG
2 TÀI LIỆU VIỆN DẪN
3 THUẬT NGỮ VÀ ĐỊNH NGHĨA
4 CẤU TRÚC TIÊU CHUẨN
5 CHÍNH SÁCH AN TOÀN THÔNG TIN
6 TỔ CHỨC ĐẢM BẢO AN TOÀN THÔNG TIN
7 AN TOÀN NGUỒN NHÂN LỰC
8 QUẢN LÝ TÀI SẢN
9 QUẢN LÝ TRUY CẬP
10 MẬT MÃ HÓA
11 ĐẢM BẢO AN TOÀN VẬT LÝ VÀ MÔI TRƯỜNG
12 AN TOÀN VẬN HÀNH
13 AN TOÀN TRUYỀN THÔNG
14 TIẾP NHẬN, PHÁT TRIỂN VÀ DUY TRÌ CÁC HỆ THỐNG THÔNG TIN
15 QUAN HỆ VỚI NHÀ CUNG CẤP
16 QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
17 CÁC KHÍA CẠNH AN TOÀN THÔNG TIN TRONG QUẢN LÝ TÍNH LIÊN
TỤC CỦA HOẠT ĐỘNG NGHIỆP VỤ
18 SỰ TUÂN THỦ
THƯ MỤC TÀI LIỆU THAM KHẢO
3.2 Đối chiếu với tài liệu tham khảo
Dự thảo tiêu chuẩn được xây dựng dựa theo phương pháp chấp thuận áp dụng cơ bản
về nội dung của IOS/IEC 27002:2013. Tuy nhiên cấu trúc của tiêu chuẩn được bố cục
lại theo quy định về trình bày Tiêu chuẩn Việt Nam. Một số chỉ tiêu kỹ thuật cũng
được điều chỉnh, cụ thể:
Bảng 3-1: Bảng đối chiếu tiêu chuẩn viện dẫn
STT Nội dung tiêu
chuẩn
TCVN xxx:201X
Tài liệu
viện dẫn:
ISO/IEC
27002:2013
Sửa đổi, bổ
sung
Giải thích lý do sửa đổi,
bổ sung
1
Phạm vi áp dụng
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
2
Tài liệu viện dẫn
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
3
Thuật ngữ và
định nghĩa
ISO/IEC
27000:2014
Lấy các từ
vựng liên
quan đến
quản lý an
toàn thông tin
Tiêu chuẩn gốc chỉ nêu ra
tham chiếu đến tài liệu
ISO/IEC 27000 :2014.
Việt nam chưa xuất bản
TCVN liên quan đến
ISO/IEC 27000 :2014
4
Cấu trúc tiêu
chuẩn
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Tài liệu chuẩn mô tả cấu
trúc chuẩn cho toàn bộ tài
liệu về quản lý an toàn.
Tiêu chuẩn đang xây
dựng chỉ là một phần
(phần Communication
Control) nên phần cấu
trúc tiêu chuẩn phải sửa
đổi lại
5
Chính sách an
toàn thông tin
ISO/IEC
27002:2013,
mục 5
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
6
Tổ chức đảm bảo
an toàn thông tin
ISO/IEC
27002:2013,
mục 6
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
7
An toàn nguồn
nhân lực
ISO/IEC
27002:2013,
mục 7
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
8
Quản lý tài sản
ISO/IEC
27002:2013,
mục 8
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
9
Quản lý truy cập
ISO/IEC
27002:2013,
mục 9
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
10
Mật mã hóa
ISO/IEC
27002:2013,
mục 10
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
11Đảm bảo an toàn
vật lý và môi
trường
ISO/IEC
27002:2013,
mục 11
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
12 An toàn vận hành ISO/IEC Chấp nhận Sửa đổi số hiệu tham
27002:2013,
mục 12
nguyên vẹn
có sửa đổi các
tham chiếu
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
13
An toàn truyền
thông
ISO/IEC
27002:2013,
mục 13
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
14 Tiếp nhận, phát
triển và duy trì
các hệ thống
thông tin
ISO/IEC
27002:2013,
mục 14
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
15
Quan hệ với nhà
cung cấp
ISO/IEC
27002:2013,
mục 15
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
16
Quản lý sự cố an
toàn thông tin
ISO/IEC
27002:2013,
mục 16
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
17 Các khía cạnh an
toàn thông tin
trong quản lý tính
liên tục của hoạt
động nghiệp vụ
ISO/IEC
27002:2013,
mục 17
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
18
Sự tuân thủ
ISO/IEC
27002:2013,
mục 18
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.
Thư mục tài liệu
tham khảo
Chấp nhận
nguyên vẹn
có sửa đổi các
tham chiếu
Sửa đổi số hiệu tham
chiếu cho phù hợp với
định dạng của tiêu chuẩn.