Tiêu chuẩn ISO

1

Tiêu chuẩn ISO

• ISO/IEC 27000:2009 — Information security management systems — Overview and vocabulary

• ISO/IEC 27001:2005 — Information security • ISO/IEC 27001:2005 — Information security management systems — Requirements

• ISO/IEC 27002:2005 — Code of practice for information security management

• ISO/IEC 27003:2010 — Information security management system implementation guidance 2

Tiêu chuẩn ISO

• ISO/IEC 27004:2009 — Information security management — Measurement

• ISO/IEC 27005:2011 — Information security risk management management

• ISO/IEC 27006:2011 — Requirements for bodies providing audit and certification of information security management systems

• ISO/IEC 27007:2011 Information technology —Security techniques — Guidelines for information security management systems auditing

3

Tiêu chuẩn ISO

• IEC TR 27008:2011 - Guidelines for auditors on information security management systems controls

• ISO/IEC 27010:2012 - Information security • ISO/IEC 27010:2012 - Information security management for inter-sector and inter-organisational communications

• ISO/IEC 27011:2008 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 4

Tiêu chuẩn ISO

• ISO/IEC 27031:2011 Guidelines for information and communications technology readiness for business continuity

• ISO/IEC 27033-1:2009 - Network security • ISO/IEC 27033-1:2009 - Network security overview and concepts

• ISO/IEC 27034-1:2011 — Information technology — Security techniques —Application security — Overview and concepts

• ISO/IEC 27035:2011 - Information security incident management 5

Tiêu chuẩn ISO

• ISO 27799:2008 - Information security management in health using ISO/IEC 27002

6

Tiêu chuẩn ISO

• ISO/IEC 27000 - Hệ thống quản lý an toàn thông tin – Tổng quan và thuật ngữ

• ISO/IEC 27000 quy định các vấn đề về từ vựng vàthuật ngữ.thuật ngữ.

• Nội dung:

• Tổng quan về bộ các tiêu chuẩn ISMS

• Giới thiệu hệ thống quản lý an toàn thông tin (ISMS)

• Mô tả ngắn gọn về quy trình Lập kế hoạch-Thựchiện-Kiểm tra-Hành động (PDCA)

• Các thuật ngữ và định nghĩa7

Tiêu chuẩn ISO

• ISO/IEC 27001 — Hệ thống quản lý an toàn thôngtin — Các yêu cầu

• Mục tiêu: Tiêu chuẩn này đưa ra một mô hình choviệc thiết lập, triển khai, điều hành, giám sát, soátviệc thiết lập, triển khai, điều hành, giám sát, soátxét, bảo trì và nâng cấp hệ thống quản lý an toànthông tin (ISMS).

• Nội dung: Tiêu chuẩn xác định rõ yêu cầu cho từngquá trình: thiết lập; triển khai và vận hành; giám sátvà soát xét; duy trì và cải tiến một hệ thống ISMS đểbảo vệ hệ thống thông tin và chủ động chuẩn bị cácphương án xử lý trước những rủi ro có thể xảy ra.

8

Tiêu chuẩn ISO

• ISO/IEC 27001 — Hệ thống quản lý an toàn thôngtin — Các yêu cầu

• Hệ thống quản lý an toàn thông tin

• Trách nhiệm của Ban quản lý• Trách nhiệm của Ban quản lý

• Kiểm toán nội bộ hệ thống ISMS

• Soát xét của ban quản lý đối với hệ thống ISMS

• Cải tiến hệ thống ISMS

9

Tiêu chuẩn ISO

• ISO/IEC 27002 — Quy tắc thực hành quản lý an toànthông tin

• Mục tiêu: Tiêu chuẩn này thiết lập các định hướng vànguyên tắc chung cho khởi tạo, triển khai, duy trì vànguyên tắc chung cho khởi tạo, triển khai, duy trì vàcải tiến công tác quản lý an toàn thông tin trong mộttổ chức. Mục tiêu của tiêu chuẩn này là đưa rahướng dẫn chung nhằm đạt được các mục đíchchung đã được chấp nhận trong quản lý an toànthông tin.

10

Tiêu chuẩn ISO

• ISO/IEC 27002 — Quy tắc thực hành quản lý an toànthông tin

• Nội dung: bao gồm 134 biện pháp cho an toàn thông tin và được chia thành 11 nhóm. tin và được chia thành 11 nhóm.

• Nội dung mới được cập nhật đã làm rõ hơn các vấnđề trong việc bảo đảm an toàn thông tin trongthương mại điện tử, các dịch vụ do các đối tác bênngoài cung cấp, quản lý nhân sự, sử dụng mạngkhông dây v.v…

11

Tiêu chuẩn ISO

• ISO/IEC 27002 — Quy tắc thực hành quản lý an toànthông tin

• Tiêu chuẩn này gồm 11 điều về kiểm soát an toànthông tin với tất cả 39 danh mục an toàn chính vàthông tin với tất cả 39 danh mục an toàn chính vàmột điều giới thiệu về đánh giá và xử lý rủi ro. Mỗiđiều gồm một số danh mục an toàn chính:

12

Tiêu chuẩn ISO

• ISO/IEC 27002 — Quy tắc thực hành quản lý an toànthông tin

• Chính sách an toàn thông tin

• Tổ chức đảm bảo an toàn thông tin • Tổ chức đảm bảo an toàn thông tin

• Quản lý tài sản

• An toàn nguồn nhân lực

• Đảm bảo an toàn vật lý và môi trường

• Quản lý truyền thông và vận hành

• Quản lý truy cập

13

Tiêu chuẩn ISO

• ISO/IEC 27002 — Quy tắc thực hành quản lý an toànthông tin

• Tiếp nhận, phát triển và duy trì các hệ thống thôngtin tin

• Quản lý các sự cố an toàn thông tin

• Quản lý sự liên tục của hoạt động nghiệp vụ

• Sự tuân thủ

14

Tiêu chuẩn ISO

• ISO/IEC 27003 - Hệ thống quản lý an toàn thông tin – Hướng dẫn triển khai

• Mục tiêu: Cung cấp hướng dẫn thực hành phát triểnmột kế hoạch triển khai hệ thống quản lý an toànmột kế hoạch triển khai hệ thống quản lý an toànthông tin (ISMS) trong một tổ chức theo ISO/IEC 27001:2005.

15

Tiêu chuẩn ISO

• ISO/IEC 27004 - Hệ thống quản lý an toàn thông tin – Đo lường

• Mục tiêu của ISO/IEC 27004 là giúp các tổ chức đođạc, báo cáo và cải thiện có hệ thống hiệu quả củađạc, báo cáo và cải thiện có hệ thống hiệu quả củacác hệ thống ISMS của họ.

16

Tiêu chuẩn ISO

• ISO/IEC 27005 – Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin

• Mục tiêu của ISO/IEC 27005 là cung cấp các địnhhướng cho quản lý rủi ro an toàn thông tin. ISO/IEC hướng cho quản lý rủi ro an toàn thông tin. ISO/IEC 27005 được thiết kế nhằm hỗ trợ triển khai an toànthông tin một cách thỏa đáng dựa trên phương thứctiếp cận quản lý rủi ro.

17

Tiêu chuẩn ISO

• ISO/IEC 27006 - Hệ thống quản lý an toàn thông tin – Các yêu cầu đối với các cơ quan kiểm tra và cấpchứng nhận các hệ thống quản lý an toàn thông tin

• ISO/IEC 27006 đưa ra các yêu cầu chính thức đối vớiISO/IEC 27006 đưa ra các yêu cầu chính thức đối vớicác tổ chức chứng nhận các tổ chức khác tuân thủISO/IEC 27001.

• Tiêu chuẩn này giúp đảm bảo rằng các chứng chỉISO/IEC 27001 đã được chứng nhận bởi các tổ chứcđược chỉ định là đủ tin cậy.

18

Tiêu chuẩn ISO

• ISO/IEC 27007:2011- Hệ thống quản lý an toànthông tin – Các kỹ thuật an toàn – Hướng dẫn đánhgiá hệ thống quản lý an toàn thông tin

• Tiêu chuẩn này đưa ra hướng dẫn cho các tổ chứcTiêu chuẩn này đưa ra hướng dẫn cho các tổ chứccấp chứng nhận, các đánh giá viên quốc tế, các đánhgiá viên bên ngoài/bên thứ ba và các đánh giá viênkhác về ISMS theo ISO/IEC 27001.

19

Tiêu chuẩn ISO

• ISO/IEC TR 27008:2011- Hệ thống quản lý an toànthông tin – Các kỹ thuật an toàn – Hướng dẫn kiểmtra viên kiểm soát hệ thống quản lý an toàn thôngtin

• Đưa ra Hướng dẫn cho các chuyên gia đánh giá kiểmsoát Hệ thống an ninh thông tin

20

Tiêu chuẩn ISO

• ISO/IEC 27010:2012–Quản lý an toàn thông tin chotruyền thông liên ngành và liên tổ chức

• Đưa ra Hướng dẫn Quản lý An toàn thông tin tronglĩnh vực viễn thônglĩnh vực viễn thông

21

Tiêu chuẩn ISO

• ISO/IEC 270011 - Hệ thống quản lý an toàn thôngtin - Định hướng quản lý an toàn thông tin cho cáctổ chức viễn thông dựa trên ISO/IEC 27002

22

Tiêu chuẩn ISO

• ISO/IEC 27031:2011- Hướng dẫn về sự sẵn sàng củaICT để đạt được sự liên tục về nghiệp vụ

• Đưa ra hướng dẫn về công nghệ thông tin và truyềnthông để đạt được sự liên tục về nghiệp vụ. thông để đạt được sự liên tục về nghiệp vụ.

23

Tiêu chuẩn ISO

• ISO/IEC 27033-1:2009 - Tổng quan và các khái niệmvề an toàn mạng

• Đưa ra tổng quan và các khái niệm về an toàn mạng

24

Tiêu chuẩn ISO

• ISO/IEC 27034-1:2011 - An toàn ứng dụng

• Đưa ra các hướng dẫn về an toàn ứng dụng.

25

Tiêu chuẩn ISO

• ISO/IEC 27035:2011 – Quản lý sự cố an toàn thôngtin

• Thay thế ISO TR 18044 về quản lý sự cố an toànthông tinthông tin

26