TCVN TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC xxxx:2015 ISO/IEC 27000:2014 Xuất lần CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN – TỔNG QUAN VÀ TỪ VỰNG Information technology – Security techniques – Information security management system – Overview and Vocabulary HÀ NỘI – 2015 TCVN ISO/IEC xxxx:2015 Mục lục Lời nói đầu Phạm vi áp dụng .9 Thuật ngữ định nghĩa .9 Hệ thống quản lý an tồn thơng tin .24 3.1 Giới thiệu 24 3.2 ISMS ? .25 3.2.1 Tổng quan nguyên tắc 25 3.2.2 Thông tin 25 3.2.3 An tồn thơng tin 26 3.2.4 Quản lý .26 3.2.5 Hệ thống quản lý 26 3.3 Cách tiếp cận quy trình 27 3.4 Tại ISMS lại quan trọng 27 3.5 Thiết lập, giám sát, trì cải thiện hệ thống ISMS 28 3.5.1 Tổng quan 28 3.5.2 Xác định yêu cầu an tồn thơng tin 29 3.5.3 Đánh giá rủi ro an tồn thơng tin .29 3.5.4 Xử lý rủi ro an tồn thơng tin .30 3.5.5 Chọn lựa triển khai biện pháp kiểm soát 30 3.5.6 Giám sát, trì cải thiện hiệu hệ thống ISMS 31 3.5.7 Cải thiện liên tục .31 3.6 Các yếu tố quan trọng định thành công ISMS .32 3.7 Lợi ích họ tiêu chuẩn ISMS 32 Hệ thống tiêu chuẩn ISMS 33 4.1 Thông tin chung 33 4.2 Tiêu chuẩn mô tả tổng quan từ vựng 34 4.2.1 4.3 4.4 TCVN ISO/IEC 27000 (tài liệu tiêu chuẩn này) .34 Tiêu chuẩn mô tả yêu cầu cụ thể .35 4.3.1 TCVN ISO/IEC 27001:2009 .35 4.3.2 ISO/IEC 27006 35 Các tiêu chuẩn mô tả hướng dẫn chung 35 4.4.1 TCVN ISO/IEC 27002:2011 35 4.4.2 TCVN 10541:2014 36 iii TCVN ISO/IEC xxxx:yyyy 4.5 4.4.3 TCVN 10542:2014 36 4.4.4 TCVN 10295:2014 36 4.4.5 ISO/IEC 27007 36 4.4.6 ISO/IEC TR 27008 37 4.4.7 TCVN 9965:2013 37 4.4.8 ISO/IEC 27014 37 4.4.9 ISO/IEC TR 27016 38 Các tiêu chuẩn mô tả hướng dẫn theo lĩnh vực cụ thể 38 4.5.1 TCVN 10543:2014 38 4.5.2 ISO/IEC 27011 38 4.5.3 ISO/IEC TR 27015 39 4.5.4 ISO/IEC 27799 39 Phụ lục A (Tham khảo) Các hình thức quy ước cho việc biểu thị điều khoản .40 Phụ lục B (Tham khảo) Thuật ngữ chủ sở hữu thuật ngữ 41 B.1 Chủ sở hữu thuật ngữ 41 B.2 Thuật ngữ xếp theo tiêu chuẩn 41 Thư mục tài liệu tham khảo .46 iv TCVN ISO/IEC xxxx:2015 Lời nói đầu TCVN ISO/IEC xxxx:2015 hồn tồn tương đương với ISO/IEC 27000:2014 TCVN ISO/IEC xxx:2015 Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TCVN ISO/IEC xxxx:yyyy Giới thiệu chung tiêu chuẩn Tiêu chuẩn cho hệ thống quản lý cung cấp mơ hình phục vụ cho việc thiết lập vận hành hệ thống quản lý Mơ hình kết hợp đặc tính mà chuyên gia lĩnh vực đạt đồng thuận phạm vi quốc tế Nhóm cơng tác ISO/IEC JTC 1/SC 27 trì hội đồng chuyên gia riêng cho việc phát triển tiêu chuẩn quốc tế quản lý an toàn thơng tin, cịn gọi họ tiêu chuẩn hệ thống quản lý an tồn thơng tin (ISMS - Information Security Management System) Thông qua sử dụng họ tiêu chuẩn ISMS, tổ chức xây dựng triển khai khung cho việc quản lý an toàn tài sản thông tin họ, bao gồm thơng tin tài chính, sở hữu trí tuệ, chi tiết nhân sự, thơng tin cần có độ tin cậy cung cấp khách hàng hay bên thứ ba Các tiêu chuẩn dùng cho mục đích chuẩn bị thực đánh giá độc lập cho ISMS áp dụng cho việc bảo vệ thông tin Giới thiệu Họ tiêu chuẩn ISMS Họ tiêu chuẩn ISMS (xem Điều 4) nhằm phục vụ cho việc hỗ trợ tổ chức loại hình, quy mô để triển khai vận hành hệ thống quản lý an tồn thơng tin, bao gồm tiêu chuẩn sau phân loại Công nghệ thông tin - Các kỹ thuật an toàn (sắp xếp theo thứ tự số): ISO/IEC 27000: Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng (Information security management systems - Overview and vocabulary) TCVN ISO/IEC 27001:2009 Hệ thống quản lý an tồn thơng tin - Các yêu cầu (Information security management systems - Requirements) TCVN ISO/IEC 27002:2011: Quy tắc thực hành cho hệ thống quản lý an tồn thơng tin (Code of practice for information security management) TCVN 10541:2014: Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin (Information security management system implementation guidance) TCVN 10542:2014 Quản lý an tồn thơng tin - Đo lường (Information security management Measurement) TCVN 10295:2014: Quản lý rủi ro an tồn thơng tin (Information security risk management) ISO/IEC 27006:2011: Các yêu cầu quan kiểm tốn chứng nhận hệ thống quản lý an tồn thông tin (Requirements for bodies providing audit and certification of information security management systems) ISO/IEC 27007:2011: Hướng dẫn kiểm toán hệ thống quản lý an tồn thơng tin (Guidelines for information security management systems auditing) ISO/IEC TR 27008:2011: Hướng dẫn cho đánh giá viên biện pháp kiểm soát hệ thống quản lý an tồn thơng tin (Guidelines for auditors on information security management systems controls) TCVN ISO/IEC xxxx:2015 TCVN 10543:2014: Quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành (Information security management guidelines for inter-sector and inter-organisational communications) ITU-T X.1051 | ISO/IEC 27011:2008,: Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thông dựa theo ISO/IEC 27002 (Information security management guidelines for telecommunications organisations based on ISO/IEC 27002) TCVN 9965:2013: Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 (Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1) ITU-T X.1054 | ISO/IEC FDIS 27014: Quản trị an tồn thơng tin (Governance of information security) ISO/IEC TR 27015: Hướng dẫn quản lý an tồn thơng tin cho dịch vụ tài (Information security management guidelines for financial services) ISO/IEC WD 27016: Quản lý an toàn thông tin - Kinh tế tổ chức (Information security management - Organisational economics) CHÚ THÍCH: Tiêu đề chung "Cơng nghệ thơng tin - Các kỹ thuật an tồn" biểu thị tiêu chuẩn biên soạn Ủy ban kỹ thuật liên ngành ISO/IEC JTC Công nghệ thông tin, Tiêu ban SC 27, Các kỹ thuật an tồn Cơng nghệ thơng tin Các tiêu chuẩn quốc tế không thuộc tiêu đề chung nêu song thuộc họ tiêu chuẩn ISMS bao gồm: ISO 27799:2008: Tin học y tế - Quản lý an tồn thơng tin y tế sử dụng ISO/IEC 27002 (Health informatics - Information security management in health using ISO/IEC 27002) Mục đích tài liệu tiêu chuẩn Tiêu chuẩn trình bày tổng quan hệ thống quản lý an tồn thơng tin, định nghĩa thuật ngữ liên quan CHÚ THÍCH: Phụ lục A trình bày rõ việc dạng quy ước sử dụng để biểu thị yêu cầu và/hoặc hướng dẫn họ tiêu chuẩn ISMS Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn với nội dung về: a) Xác định yêu cầu hệ thống quản lý an tồn thơng tin (ISMS) việc chứng nhận hệ thống đó; b) Cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết và/hoặc giải nghĩa cho yêu cầu quy trình khái quát để thiết lập, triển khai, trì cải thiện hệ thống quản lý an toàn thơng tin c) Trình bày hướng dẫn theo lĩnh vực cụ thể cho hệ thống quản lý an toàn thơng tin (ISMS); d) Trình bày việc đánh giá tn thủ cho hệ thống quản lý an tồn thơng tin (ISMS) Các thuật ngữ định nghĩa đưa tiêu chuẩn gồm: - Các thuật ngữ định nghĩa sử dụng chung họ tiêu chuẩn ISMS; - Không gồm tất thuật ngữ định nghĩa áp dụng họ tiêu chuẩn ISMS; - Không hạn chế họ tiêu chuẩn ISMS việc đưa thêm thuật ngữ áp dụng TCVN ISO/IEC xxxx:yyyy TCVN ISO/IEC xxxx:2015 TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC xxxx:2015 Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Tổng quan từ vựng Information technology - Security techniques - Infomation security management system Overview and Vocabulary Phạm vi áp dụng Tiêu chuẩn cung cấp tổng quan hệ thống quản lý an toàn thông tin thuật ngữ, định nghĩa thường sử dụng họ tiêu chuẩn ISMS Tiêu chuẩn áp dụng cho tất loại hình quy mơ tổ chức (ví dụ doanh nghiệp thương mại, quan phủ, tổ chức phi lợi nhuận) Thuật ngữ định nghĩa 2.1 Kiểm soát truy cập (Access control) Sự đảm bảo việc truy cập vào tài sản phép bị hạn chế dựa sở yêu cầu an tồn nghiệp vụ 2.2 Mơ hình phân tích (Analytical model) Mơ hình có sử dụng thuật tốn phép tính tốn kết hợp nhiều số đo (2.10) và/hoặc số đo dẫn xuất (2.22) với tiêu chí định liên quan 2.3 Tấn cơng (Attack) Việc tìm cách phá hủy, làm lộ, thay đổi, vơ hiệu hóa, đánh cắp giành quyền truy cập trái phép thực thi việc sử dụng trái phép tài sản 2.4 Thuộc tính (Attribute) Đặc tính đặc điểm đối tượng (2.55) dùng để phân biệt định tính định lượng người phương thức tự động [ISO/IEC 15939:2007] 2.5 TCVN ISO/IEC xxxx:yyyy Kiểm tốn (Audit) Quy trình (2.61) có hệ thống, độc lập lập tài liệu để thu chứng kiểm toán đánh giá chứng cách khách quan để xác định mức độ đáp ứng tiêu chí kiểm tốn CHÚ THÍCH 1: Kiểm tốn kiểm toán nội (bên thứ nhất) kiểm toán bên ngồi (bên thứ hai bên thứ ba) kiểm toán kết hợp (kết hợp hai nhiều nguyên tắc) CHÚ THÍCH 2: "Bằng chứng kiểm tốn" "tiêu chí kiểm tốn" định nghĩa TCVN ISO 19011:2013 2.6 Phạm vi kiểm toán (Audit scope) Mức độ giới hạn việc kiểm toán (2.5) [TCVN ISO 19011:2013] 2.7 Xác thực (Authentication) Cung cấp đảm bảo việc đặc điểm tuyên bố thực thể xác 2.8 Tính xác thực (Authenticity) Đặc tính mà thực thể thứ tuyên bố 2.9 Tính sẵn sàng (Availability) Đặc tính truy cập sử dụng theo yêu cầu thực thể phép 2.10 Số đo (Base measure) Số đo (2.47) xác định thuộc tính (2.4) phương pháp định lượng [ISO/IEC 15939:2007] CHÚ THÍCH 1: Số đo độc lập chức với số đo khác 2.11 Năng lực (Competence) Khả ứng dụng kiến thức kỹ để đạt kết dự kiến 2.12 Tính bí mật (Confidentiality) 10 TCVN ISO/IEC xxxx:2015 Đặc tính thơng tin khơng sẵn sàng cung cấp tiết lộ cho cá nhân, thực thể quy trình (2.61) trái phép 2.13 Sự phù hợp (Conformity) Sự đáp ứng yêu cầu (2.63) CHÚ THÍCH: Thuật ngữ “conformance” đồng nghĩa không dùng 2.14 Hậu (Consequence) Kết kiện (2.25) có ảnh hưởng tác động đến mục tiêu (2.56) [TCVN 9788:2013] CHÚ THÍCH 1: Một kiện dẫn đến loạt hậu CHÚ THÍCH 2: Một hậu chắn khơng chắn thường có tính tiêu cực bối cảnh an tồn thơng tin CHÚ THÍCH 3: Hậu biểu thị định tính định lượng CHÚ THÍCH 4: Hậu ban đầu bị leo thang qua hiệu ứng dây chuyền 2.15 Cải thiện liên tục (continual improvement) Hoạt động có định kỳ để nâng cao hiệu (2.59) 2.16 Kiểm soát (Control) Biện pháp điều chỉnh rủi ro (2.68) CHÚ THÍCH 1: Kiểm sốt bao gồm quy trình, sách, thiết bị, thực hành hành động khác nhằm điều chỉnh rủi ro CHÚ THÍCH 2: Kiểm sốt khơng phải lúc có tác động mong muốn giả định 2.17 Mục tiêu kiểm sốt (Control objective) Tun bố mơ tả cần đạt kết việc thực thi kiểm soát (2.16) 2.18 Khắc phục (Correction) Hành động để loại bỏ điểm không phù hợp (2.53) phát 11 TCVN ISO/IEC xxxx:yyyy Kết soát xét cần thiết để xác định hội để cải thiện Bằng cách này, cải thiện hoạt động liên tục, có nghĩa là: hành động lặp lại thường xuyên Phản hồi từ khách hàng bên quan tâm khác, kiểm toán soát xét hệ thống quản lý an tồn thơng tin sử dụng để xác định hội cải tiến 3.6 Các yếu tố quan trọng định thành cơng ISMS Có nhiều yếu tố quan trọng cho việc thực thành công hệ thống ISMS cho phép đáp ứng mục tiêu kinh doanh tổ chức Ví dụ yếu tố thành cơng quan trọng bao gồm: Có nhiều yếu tố quan trọng cho việc thực thành công hệ thống ISMS cho phép đáp ứng mục tiêu kinh doanh tổ chức Ví dụ yếu tố thành cơng quan trọng bao gồm: a) sách an tồn thơng tin, mục tiêu hoạt động phù hợp với mục tiêu; b) cách thức tiếp cận khung cho việc thiết kế, thực hiện, giám sát, bảo trì cải thiện an tồn thơng tin phù hợp với văn hóa doanh nghiệp; c) hỗ trợ cam kết rõ ràng từ tất cấp quản lý, đặc biệt từ cấp quản lý cao nhất; d) hiểu biết nhu cầu bảo vệ tài sản thông tin đạt thông qua việc áp dụng quản lý rủi ro an tồn thơng tin (xem TCVN 10295:2014); e) chương trình nâng cao nhận thức giáo dục đào tạo an tồn thơng tin hiệu quả, thơng báo cho tất nhân viên bên liên quan khác nghĩa vụ an tồn thơng tin đặt sách an tồn thơng tin, tiêu chuẩn vv, động viên họ để có hành động phù hợp; f) quy trình quản lý cố an tồn thơng tin hiệu quả; g) cách thức tiếp cận quản lý trì liên tục kinh doanh hiệu quả; h) hệ thống đo lường sử dụng để ước lượng hiệu suất quản lý an tồn thơng tin ý kiến phản hồi để cải thiện Hệ thống ISMS làm tăng khả cho tổ chức liên tục đạt yếu tố thành công quan trọng cần thiết để bảo vệ tài sản thơng tin 3.7 Lợi ích họ tiêu chuẩn ISMS Lợi ích việc thực hệ thống ISMS chủ yếu kết việc giảm thiểu rủi ro an tồn thơng tin (tức giảm khả /hoặc tác động gây cố an tồn thơng tin) Đặc biệt, lợi ích thực tế cho tổ chức để đạt thành công bền vững từ việc áp dụng hệ thống tiêu chuẩn ISMS bao gồm: a) cách thức hệ thống để hỗ trợ quy trình xác định, thực hiện, vận hành trì hệ thống ISMS tồn diện, hiệu quả, có giá trị, tích hợp xếp nhằm đáp ứng nhu cầu tổ chức hoạt động địa điểm khác nhau; 32 TCVN ISO/IEC xxxx:2015 b) hỗ trợ nhà quản lý việc quản lý thống hoạt động cách có trách nhiệm hướng quản lý an tồn thơng tin, ngữ cảnh quản lý rủi ro quản trị doanh nghiệp, bao gồm giáo dục đào tạo cho chủ sở hữu hệ thống quản lý an tồn thơng tin tồn diện; c) thúc đẩy việc chấp nhận toàn cầu thực hành an tồn thơng tin hữu hiệu theo cách khơng tắc, cho phép tổ chức hội áp dụng cải thiện biện pháp kiểm soát liên quan phù hợp với hoàn cảnh cụ thể họ để trì chúng đối mặt với thay đổi nội từ bên ngoài; d) cung cấp ngôn ngữ chung tảng nhận thức an tồn thơng tin, tạo khả thuận lợi để tin cậy đối tác kinh doanh với hệ thống ISMS phù hợp, đặc biệt họ yêu cầu cấp giấy chứng nhận với tiêu chuẩn TCVN ISO/IEC 27001:2009 quan chứng nhận; e) tăng tin tưởng bên liên quan với tổ chức; f) đáp ứng nhu cầu kỳ vọng xã hội; g) quản lý kinh tế hiệu với khoản đầu tư an tồn thơng tin 4.1 Hệ thống tiêu chuẩn ISMS Thông tin chung Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn liên quan đến nhau, công bố, phát triển có chứa số thành phần cấu trúc quan trọng Các thành phần tập trung vào tiêu chuẩn quy định mô tả yêu cầu hệ thống ISMS (TCVN ISO/IEC 27001:2009) yêu cầu quan chứng nhận (ISO/IEC 27006) việc chứng nhận phù hợp với tiêu chuẩn TCVN ISO/IEC 27001:2009 Các tiêu chuẩn khác cung cấp hướng dẫn khía cạnh khác thực thi hệ thống ISMS, đề cập quy trình chung, hướng dẫn liên quan đến việc kiểm soát hướng dẫn lĩnh vực cụ thể Mối quan hệ tiêu chuẩn ISMS minh họa Hình (1) Trong biên soạn tiêu chuẩn này, tiêu chuẩn ISO/IEC 27007 27008 phát triển 33 TCVN ISO/IEC xxxx:yyyy Hình – Mối quan hệ hệ thống tiêu chuẩn ISMS a) Mỗi tiêu chuẩn thuộc họ ISMS mơ tả kiểu (hoặc vai trị) họ tiêu chuẩn ISMS tham chiếu số Các điều khoản áp dụng là: tiêu chuẩn mô tả tổng quan thuật ngữ (xem 4.2) b) tiêu chuẩn xác định yêu cầu (xem 4.3); c) tiêu chuẩn mô tả nguyên tắc chung (xem 4.4); d) tiêu chuẩn mô tả hướng dẫn lĩnh vực cụ thể (xem 4.5) 4.2 4.2.1 Tiêu chuẩn mô tả tổng quan từ vựng TCVN ISO/IEC 27000 (tài liệu tiêu chuẩn này) Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng Phạm vi: Tiêu chuẩn cung cấp cho tổ chức, cá nhân: a) tổng quan họ tiêu chuẩn ISMS; b) giới thiệu hệ thống quản lý an tồn thơng tin (ISMS); c) từ ngữ định nghĩa sử dụng họ tiêu chuẩn ISMS 34 TCVN ISO/IEC xxxx:2015 Mục tiêu: Tiêu chuẩn TCVN ISO/IEC 27000 mô tả nguyên tắc hệ thống quản lý an tồn thơng tin, tạo thành chủ đề họ tiêu chuẩn ISMS xác định điều khoản liên quan 4.3 4.3.1 Tiêu chuẩn mô tả yêu cầu cụ thể TCVN ISO/IEC 27001:2009 Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các yêu cầu Phạm vi: Tiêu chuẩn quy định yêu cầu cho việc thiết lập, thực hiện, điều hành, giám sát, sốt xét, trì cải thiện hệ thống quản lý an tồn thơng tin (ISMS) ngữ cảnh hoạt động nghiệp vụ tổng thể có rủi ro tổ chức Nó xác định yêu cầu việc thực biện pháp kiểm sốt an tồn thông tin tùy chỉnh theo nhu cầu tổ chức cụ thể phận chúng Tiêu chuẩn sử dụng tất tổ chức, loại hình, quy mơ tính chất Mục tiêu: ISO/IEC 27001 cung cấp yêu cầu bắt buộc để phát triển vận hành hệ thống ISMS, bao gồm tập biện pháp kiểm soát để kiểm soát giảm thiểu rủi ro liên quan đến tài sản thông tin mà tổ chức tìm cách bảo vệ thơng qua vận hành hệ thống ISMS Các tổ chức vận hành hệ thống ISMS kiểm tốn chứng nhận việc tuân thủ Các mục tiêu kiểm soát biện pháp kiểm soát Phụ lục A (TCVN ISO/IEC 27001:2009) cần lựa chọn phần quy trình ISMS phải phù hợp để bao quát yêu cầu đặt Các mục tiêu kiểm soát biện pháp kiểm soát liệt kê Bảng A.1 (TCVN ISO/IEC 27001:2009) có nguồn gốc trực tiếp từ phù hợp với điều khoản liệt kê tiêu chuẩn TCVN ISO/IEC 27002:2011, điều khoản đến 18 4.3.2 ISO/IEC 27006 Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu quan cung cấp kiểm toán chứng nhận hệ thống quản lý an tồn thơng tin Phạm vi: Tiêu chuẩn quy định yêu cầu hướng dẫn cho quan cung cấp kiểm toán chứng nhận ISMS theo tiêu chuẩn TCVN ISO/IEC 27001:2009, yêu cầu nêu ISO / IEC 17021 Nó chủ yếu dùng để hỗ trợ việc công nhận cho quan chứng nhận cung cấp giấy chứng nhận ISMS theo tiêu chuẩn TCVN ISO/IEC 27001:2009 Mục tiêu: ISO/IEC 27006 bổ trợ cho ISO / IEC 17021 việc cung cấp yêu cầu mà tổ chức chứng nhận cơng nhận, cho phép tổ chức cung cấp chứng nhận tuân thủ quán với yêu cầu đặt tiêu chuẩn TCVN ISO/IEC 27001:2009 4.4 4.4.1 Các tiêu chuẩn mô tả hướng dẫn chung TCVN ISO/IEC 27002:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin 35 TCVN ISO/IEC xxxx:yyyy Phạm vi: Tiêu chuẩn cung cấp danh sách mục tiêu kiểm soát chấp nhận rộng rãi biện pháp thực hành tốt sử dụng cho việc hướng dẫn thực lựa chọn triển khai biện pháp kiểm sốt nhằm đảm bảo an tồn thông tin Mục tiêu: TCVN ISO/IEC 27002:2011 đưa hướng dẫn việc thực biện pháp kiểm soát an tồn thơng tin Cụ thể điều khoản đến 18 đưa tư vấn triển khai cụ thể hướng dẫn thực hành tốt để hỗ trợ biện pháp kiểm soát quy định điều khoản A.5 đến A.18 tiêu chuẩn TCVN ISO/IEC 27001:2009 4.4.2 TCVN 10541:2014 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin Phạm vi: Tiêu chuẩn đưa hướng dẫn triển khai thực tế cung cấp thêm thông tin để xác lập, thực hiện, vận hành, giám sát, sốt xét, trì cải thiện hệ thống ISMS theo TCVN ISO/IEC 27001:2009 Mục tiêu: TCVN 15041:2014 cung cấp phương pháp tiếp cận theo định hướng quy trình nhằm thực thành công hệ thống ISMS theo TCVN ISO/IEC 27001:2009 4.4.3 TCVN 10542:2014 Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý an tồn thơng tin - Đo lường Phạm vi: Tiêu chuẩn cung cấp hướng dẫn tư vấn phát triển sử dụng phép đo để đánh giá hiệu hệ thống ISMS, mục tiêu kiểm soát biện pháp kiểm soát sử dụng để thực quản lý an tồn thơng tin, theo quy định TCVN ISO/IEC 27001:2009 Mục tiêu: TCVN 10542:2014 cung cấp khung đo lường cho phép đánh giá hiệu hệ thống ISMS theo TCVN ISO/IEC 27001:2009 4.4.4 TCVN 10295:2014 Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý rủi ro an tồn thơng tin Phạm vi: Tiêu chuẩn cung cấp hướng dẫn quản lý rủi ro an tồn thơng tin Phương pháp tiếp cận mô tả tiêu chuẩn hỗ trợ khái niệm định TCVN ISO/IEC 27001:2009 Mục tiêu: TCVN 10295:2014 hướng dẫn triển khai tiếp cận quản lý rủi ro theo định hướng quy trình nhằm hỗ trợ thỏa đáng thực hoàn thành yêu cầu quản lý rủi ro an tồn thơng tin TCVN ISO/IEC 27001:2009 4.4.5 ISO/IEC 27007 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn kiểm tốn hệ thống quản lý an tồn thơng tin Phạm vi: Tiêu chuẩn cung cấp hướng dẫn thực kiểm toán ISMS, hướng dẫn lực kiểm toán viên cho hệ thống quản lý an tồn thơng tin, ngồi hướng dẫn có TCVN ISO 19011:2013 dành cho hệ thống quản lý nói chung 36 TCVN ISO/IEC xxxx:2015 Mục tiêu: ISO/IEC 27007 cung cấp hướng dẫn cho tổ chức cần thực để kiểm toán nội kiểm tốn độc lập bên ngồi cho hệ thống ISMS để quản lý chương trình kiểm tốn ISMS so với yêu cầu quy định TCVN ISO/IEC 27001:2009 4.4.6 ISO/IEC TR 27008 Công nghệ thông tin - Các kỹ thuật an tồn - Hướng dẫn cho kiểm tốn viên biện pháp kiểm sốt an tồn thơng tin Phạm vi: Báo cáo kỹ thuật cung cấp hướng dẫn rà soát việc thực hoạt động biện pháp kiểm soát, bao gồm việc tuân thủ kỹ thuật kiểm tra biện pháp kiểm sốt hệ thống thơng tin, tn thủ với tiêu chuẩn an tồn thơng tin thiết lập tổ chức Mục tiêu: Báo cáo kỹ thuật tập trung vào việc rà soát biện pháp kiểm soát an tồn thơng tin, bao gồm kiểm tra việc tn thủ kỹ thuật theo tiêu chuẩn an tồn thơng tin triển khai tổ chức Tài liệu không nhằm cung cấp hướng dẫn cụ thể việc kiểm tra tuân thủ liên quan đến đo lường, đánh giá rủi ro hay kiểm toán hệ thống ISMS theo quy định ISO/IEC 27004, 27005 27007 tương ứng Báo cáo kỹ thuật không dành cho kiểm toán hệ thống quản lý 4.4.7 TCVN 9965:2013 Công nghệ thông tin - Các kỹ thuật an tồn - Hướng dẫn tích hợp triển khai ISO/IEC 27001 ISO/IEC 20000 - Phạm vi: Tiêu chuẩn cung cấp hướng dẫn việc kết hợp triển khai ISO / IEC 27001 ISO / IEC 20.000-1 cho tổ chức có ý định sau đây: a) triển khai TCVN ISO/IEC 27001:2009 triển khai ISO/IEC 20.000-1 trước ngược lại; b) triển khai đồng thời hai tiêu chuẩn TCVN ISO/IEC 27001:2009 ISO / IEC 20.000-1; c) đồng TCVN ISO/IEC 27001:2009 ISO/IEC 20000-1 triển khai cho hệ thống quản lý Mục tiêu: Để cung cấp cho tổ chức thông tin đặc điểm tương đồng khác biệt tiêu chuẩn TCVN ISO/IEC 27001:2009 ISO / IEC 20.000-1 nhằm hỗ trợ lập kế hoạch hệ thống quản lý tích hợp tuân thủ với hai tiêu chuẩn quốc tế 4.4.8 ISO/IEC 27014 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý nhà nước an tồn thơng tin Phạm vi: Tiêu chuẩn cung cấp hướng dẫn nguyên tắc, quy trình quản trị an tồn thơng tin, theo tổ chức ước lượng, điều hành giám sát việc quản lý an tồn thơng tin Mục tiêu: An tồn thơng tin trở thành vấn đề quan trọng cho tổ chức Khơng có u cầu pháp lý tăng mà thất bại biện pháp an tồn thơng tin tổ chức có tác động trực tiếp đến uy tín tổ chức Vì vậy, quan quản lý, với phần trách nhiệm quản lý họ, 37 TCVN ISO/IEC xxxx:yyyy ngày đòi hỏi phải giám sát an tồn thơng tin để đảm bảo đạt mục tiêu đề tổ chức 4.4.9 ISO/IEC TR 27016 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Quản lý an tồn thơng tin - Kinh tế tổ chức Phạm vi: Báo cáo kỹ thuật cung cấp phương pháp cho phép tổ chức hiểu rõ mặt kinh tế việc xác định xác giá trị tài sản thơng tin cụ thể họ, giá trị rủi ro tiềm tàng tài sản thơng tin đó, đánh giá cao giá trị mà biện pháp kiểm sốt bảo vệ thơng tin mang đến cho tài sản thông tin xác định mức độ tối ưu nguồn lực cần áp dụng cho bảo vệ tài sản thông tin Mục tiêu: Báo cáo kỹ thuật bổ sung cho họ tiêu chuẩn ISMS thơng qua cách nhìn từ quan điểm kinh tế việc bảo vệ tài sản thông tin tổ chức môi trường xã hội ngày rộng lớn hơn, tổ chức hoạt động cung cấp hướng dẫn cách áp dụng kinh tế tổ chức an tồn thơng tin thơng qua sử dụng mơ hình ví dụ 4.5 4.5.1 Các tiêu chuẩn mô tả hướng dẫn theo lĩnh vực cụ thể TCVN 10543:2014 Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành Phạm vi: Tiêu chuẩn cung cấp hướng dẫn hướng dẫn đưa họ tiêu chuẩn ISO/IEC 27000 để thực quản lý an tồn thơng tin cộng đồng chia sẻ thông tin, cung cấp thêm biện pháp kiểm soát hướng dẫn cụ thể liên quan đến khởi tạo, triển khai, trì cải thiện an tồn thơng tin truyền thơng tin lĩnh vực tổ chức Mục tiêu: Tiêu chuẩn áp dụng cho tất hình thức trao đổi chia sẻ thơng tin nhạy cảm, cho lĩnh vực công cộng tư nhân, nước quốc tế, cho lĩnh vực sản xuất/kinh doanh tương tự lĩnh vực Đặc biệt, áp dụng để trao đổi chia sẻ thông tin liên quan đến việc cung cấp, trì bảo vệ tổ chức sở hạ tầng quan trọng quốc gia 4.5.2 ISO/IEC 27011 Công nghệ thông tin - Các kỹ thuật an tồn - Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thông dựa theo TCVN ISO/IEC 27002:2011 Phạm vi: Tiêu chuẩn cung cấp hướng dẫn hỗ trợ thực quản lý an tồn thơng tin tổ chức viễn thông Mục tiêu: ISO/IEC 27011 cung cấp cho tổ chức viễn thông với gồm hướng dẫn tương thích với TCVN ISO/IEC 27002:2011, dành riêng cho lĩnh vực viễn thông bao gồm hướng dẫn bổ sung nhằm hoàn thiện yêu cầu nêu TCVN ISO/IEC 27001:2009, Phụ lục A 38 TCVN ISO/IEC xxxx:2015 4.5.3 ISO/IEC TR 27015 Công nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn quản lý an tồn thơng tin cho dịch vụ tài Phạm vi: Báo cáo kỹ thuật cung cấp hướng dẫn bổ sung cho hướng dẫn đưa họ tiêu chuẩn ISO / IEC 27000 để khởi tạo, triển khai, trì cải thiện an tồn thơng tin tổ chức cung cấp dịch vụ tài Mục tiêu: Báo cáo kỹ thuật bổ sung đặc biệt cho TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27002:2011 dùng cho tổ chức cung cấp dịch vụ tài để hỗ trợ công tác: a) Khởi tạo, triển khai, trì cải thiện hệ thống quản lý an tồn thơng tin dựa theo TCVN ISO/IEC 27001:2009 b) Thiết kế thực biện pháp kiểm soát theo quy định TCVN ISO/IEC 27002:2011 tiêu chuẩn 4.5.4 ISO/IEC 27799 Tin học y tế - Quản lý an tồn thơng tin lĩnh vực y tế sử dụng TCVN ISO/IEC 27002:2011 Phạm vi: Tiêu chuẩn cung cấp hướng dẫn hỗ trợ thực quản lý an tồn thơng tin tổ chức y tế Mục tiêu: ISO / IEC 27799 cung cấp cho tổ chức y tế hướng dẫn thực tiêu chuẩn ISO / IEC 27002 dùng riêng cho lĩnh vực này, bổ sung cho hướng dẫn đưa nhằm đáp ứng yêu cầu TCVN ISO/IEC 27001:2009, Phụ lục A 39 TCVN ISO/IEC xxxx:yyyy Phụ lục A (Tham khảo) Các hình thức quy ước cho việc biểu thị điều khoản Mỗi tài liệu họ tiêu chuẩn ISMS không áp đặt đối thực Tuy nhiên, áp đặt việc bắt buộc áp dụng, ví dụ thơng qua văn pháp luật hợp đồng Để yêu cầu tuân thủ theo tài liệu, người sử dụng cần có khả xác định yêu cầu cần thiết cần thỏa mãn Người sử dụng cần có khả phân biệt yêu cầu từ khuyến nghị khác, có khả tự lựa chọn định Bảng làm rõ việc tài liệu họ tiêu chuẩn ISMS phải diễn giải việc biểu thị quy ước theo cách yêu cầu khuyến nghị Bảng dựa quy định Chỉ thị JTC1, Phần 2, Quy định cấu trúc soạn thảo tiêu chuẩn quốc tế, Phụ lục H CHỈ DẪN Yêu cầu GIẢI THÍCH Các cụm từ "phải" "khơng phải" biểu thị yêu cầu chặt chẽ cần phải tuân theo để đảm bảo tuân thủ với tài liệu không cho phép sai lệch Các cụm từ "nên" "khơng nên" biểu thị khả có thể, có khả khuyến nghị phù hợp hơn, mà không đề cập đến Khuyến nghị loại trừ khả khác biểu thị chu trình hành động định cần ưu tiên song không cần thiết phải bắt buộc biểu thị (theo nghĩa phủ định) khả hay chu trình hành động định đề nghị song ngăn cấm Cho phép Khả Các cụm từ "có thể" "khơng cần" biểu thị chu trình hành động phép phạm vi tài liệu Các cụm từ "có khả năng" "khơng có khả năng" biểu thị khả điều xảy 40 TCVN ISO/IEC xxxx:2015 Phụ lục B (Tham khảo) Thuật ngữ chủ sở hữu thuật ngữ B.1 Chủ sở hữu thuật ngữ Chủ sở hữu thuật ngữ họ tiêu chuẩn ISO/IEC 27000 tiêu chuẩn khởi tạo định nghĩa thuật ngữ Chủ sở hữu thuật ngữ có trách nhiệm trì định nghĩa, nghĩa là: - cung cấp; - sốt xét; - cập nhật, - gỡ bỏ CHÚ THÍCH 1: TCVN ISO/IEC 27001:2009 không xác định chủ sở hữu thuật ngữ CHÚ THÍCH 2: TCVN ISO/IEC 27001:2009 ISO/IEC 27006 tiêu chuẩn quy định (nghĩa là: chứa đựng yêu cầu) chiếm ưu chủ sở hữu thuật ngữ tương ứng B.2 Thuật ngữ xếp theo tiêu chuẩn B.2.1 TCVN ISO/IEC 27001:2009 Kiểm toán (Audit) 2.5 Phép đo (Measurement) 2.48 Tính sẵn sàng (Availability) Năng lực (Competence) 2.9 Giám sát (Monitoring) 2.52 2.11 Điểm khơng phù hợp (Nonconformity) 2.53 Tính bí mật (Confidentiality) 2.12 Mục tiêu (Objective) 2.56 Sự phù hợp (Conformity) 2.13 Tổ chức (Organization) 2.57 2.15 Th ngồi (outsource) 2.58 Kiểm sốt (Control) 2.16 Hiệu (performance) 2.59 Khắc phục (Corrective) 2.18 Chính sách (Policy) 2.60 2.19 Quy trình (Process) 2.61 2.23 Yêu cầu (Requirement) 2.63 2.24 Soát xét (Review) 2.65 2.33 Rủi ro (Risk) 2.68 Tính tồn vẹn (Integrity) 2.40 Chủ thể rủi ro (Risk owner) 2.78 Bên quan tân (Interested party) 2.41 Cải thiện liên tục (continual improvement) Hành động khắc phục (Corrective action) Thông tin lập tài liệu (documented information) Hiệu (Effectiveness) An tồn thơng tin (Information security) Hệ thống quản lý Bộ phận quản management) lý cấp cao (Top 2.84 2.46 41 TCVN ISO/IEC xxxx:yyyy (management system) B.2.2 TCVN ISO/IE 27002:2009 Kiểm soát truy cập (Access control) 2.1 Tấn cơng (Attack) 2.3 Sự 2.7 an tồn thông tin thông tin (Information security event) Sự cố an toàn (Information security incident) Quản Xác thực (Authentication) kiện lý cố an tồn thơng 2.35 2.36 tin (Information security incident management 2.37 ) Tính xác thực (Authenticity) 2.8 Hệ thống thơng tin (Information system) 2.39 Mục tiêu kiểm sốt (Control objective) 2.17 Chống chối bỏ (Non-repudiation) 2.54 2.32 Tính tin cậy (Reliability) 2.62 Hàm đo lường (Measurement function) 2.49 Các phương tiện xử lý thông tin (Information processing facilities) Tính liên tục an tồn thơng tin (information security continuity) 2.34 B.2.3 TCVN 10541:2014 Dự án ISMS (ISMS project) 2.43 B.2.4 TCVN 10542:2014 Mơ hình phân tích (Analytical model) 2.2 Thuộc tính (Attribute) 2.4 Số đo (Base measure) 2.10 Kết đo (Measurement results) 2.51 Dữ liệu (Data) 2.20 Đối tượng (Object) 2.55 Tiêu chí định (Decision criteria) 2.21 Thang giá trị (Scale) 2.80 Số đo dẫn xuất (Derived measure) 2.22 Đơn vị đo lường (Unit of measurement) 2.86 Chỉ báo (Indicator) 2.30 Sự công nhận (Validation) 2.87 Nhu cầu thông tin (Information need) 2.31 Sự xác minh (Verification) 2.88 Số đo (Measure) 2.47 Phương pháp đo lường (Measurement method) 2.50 B.2.5 TCVN 10295:2014 Tư vấn truyền thông rủi ro Hậu (Consequence) 2.14 Sự kiện (Event) 2.25 Tiêu chí rủi ro (Risk criteria) 2.73 2.27 Ước lượng rủi ro (Risk evaluation) 2.74 Ngữ cảnh bên (Internal context) 2.42 Nhận biết rủi ro (Risk identification) 2.75 Mức rủi ro (Level of risk) 2.44 Quản lý rủi ro (Risk management) 2.76 Khả xảy (Likelihood) 2.45 Ngữ cảnh bên (External context) 42 (Risk communication and consultation) Quy trình quản lý (Risk management process) rủi ro 2.72 2.77 TCVN ISO/IEC xxxx:2015 Rủi ro tồn đọng (Residual risk) 2.64 Xử lý rủi ro (Risk treatment) 2.79 Chấp nhận rủi ro (Risk acceptance) 2.69 Mối đe dọa (Threat) 2.83 Phân tích rủi ro (Risk analysis) 2.70 Điểm yếu (Vulnerability) 2.89 Đánh giá rủi ro (Risk assessment) 2.71 B.2.6 ISO/IEC 27006 Chứng nhận (Certificate) Tổ chức chứng nhận (Certification Nhãn hiệu (Mark) body) Tài liệu chứng nhận (Certification Tổ chức (organization) document) B.2.7 ISO/IEC 27007 Phạm vi kiểm toán (Audit scope) 2.6 B.2.8 ISO/IEC 27008 Đối tượng soát xét (Review object) 2.66 Mục tiêu soát xét (Review objective) 2.67 Chuẩn thực thi an toàn (Security implementation standard) 2.81 B.2.9 TCVN 10543:2014 Cộng đồng chia sẻ thông tin (Information sharing community) 2.38 Thực thể thông tin truyền thông tin cậy (Trusted information communication entity) 2.85 B.2.10 ISO/IEC 27011 Kết hợp theo thứ tự (Collocation) Phương tiện viễn thông (Telecommunications facilities) Trung tâm truyền thông Tổ chức viễn thông (Telecommunications (Communication centre) organizations) Truyền thông cần thiết (Essential Bản ghi viễn thông (Telecommunication communications) records) Chống tiết lộ truyền thông (Non- Dịch vụ viễn thông (Telecommunications disclosure of communications) services) Thông tin cá nhân (Personal Khách hàng dịch vụ viễn thông information) (Telecommunications service customer) Cuộc gọi ưu tiên (Priority call) Ứng dụng viễn thông (Telecommunications applications) Nghiệp vụ viễn thông (Telecommunications business) Người dùng dịch vụ viễn thông (Telecommunications service user) Phương tiện đầu cuối (Terminal facilities) Người dùng (User) Phịng thiết bị viễn thơng (Telecommunications equipment 43 TCVN ISO/IEC xxxx:yyyy room) B.2.11 ISO/IEC 27014 Bộ phận quản lý thực thi (Exucutive management) Quản trị an tồn thơng tin (Governance of information security) 2.26 Cơ quan chủ quản (Governing body) 2.29 2.28 Bên liên quan (Stakeholder) 2.82 B.2.12 ISO/IEC 27015 Các dịch vụ tài (Financial services) B.2.13 ISO/IEC 27016 Tính tốn giá trị tổn thât hàng năm (Annulized Loss Expectancy (ALE)) Giá trị trực tiếp (Direct value) Phép so sánh kinh tế (Economic comparison) Nhân tố kinh tế (Economic factor) Biện minh kinh tế (Economic justification) Giá trị kinh tế gia tăng (Economic value added) Kinh tế học (Economics) Giá trị mong đợi (Expected value) Giá trị mở rộng (Extended value) Giá trị gián tiếp (Indirect value) Kinh tế học an tồn thơng tin (Information security economics) Tổn thất (Loss) Giá trị thị trường (Market value) Giá trị (Net present value) Lợi nhuận phi kinh tế (Non economic benefit) Giá trị (Present value) Chi phí hội (Opportunity cost) Giá trị hội (Opportunity value) Các yêu cầu điều tiết (Regulatory requirements) Tỉ lệ hoàn vốn đầu tư (Return on investment) Giá trị xã hội (Societal value) Giá trị (Value) Quản lý an tồn thơng tin IMS (Information security management IMS) 44 Quản trị rủi ro (value-at-risk) TCVN ISO/IEC xxxx:2015 Thư mục tài liệu tham khảo [1] TCVN ISO/IEC 17021:2011, Đánh giá phù hợp - Yêu cầu tổ chức đánh giá chứng nhận hệ thống quản lý [2] ISO 9000:2005, Quality management systems — Fundamentals and vocabulary [3] TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý [4] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các yêu cầu [5] TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành cho hệ thống quản lý an tồn thơng tin [6] TCVN 10541:2014, Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin [7] TCVN 10542:2014, Cơng nghệ thơng tin - Kỹ thuật an tồn - Quản lý an tồn thơng tin - Đo lường [8] TCVN 10295:2014, Cơng nghệ thơng tin - Kỹ thuật an tồn - Quản lý rủi ro an tồn thơng tin [9] ISO/IEC 27006:2011, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems [10] ISO/IEC 27007:2011, Information technology — Security techniques — Guidelines for information security management systems auditing [11] ISO/IEC TR 27008:2011, Information technology — Security techniques Guidelines for auditors on information security controls [12] TCVN 10543:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành [13] ISO/IEC 27011:2008, Information technology —Securitytechniques —Information security management guidelines for telecommunications organisations based on ISO/IEC 27002 [14] TCVN 9965:2013, Công nghệ thông tin - Kỹ thuật an tồn - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 [15] ISO/IEC FDIS 27014, Information technology — Security techniques — Governance of informatio n security [16] ISO/IEC DTR 27015, Information technology — Security techniques — Information security management guidelines for financial services 45 TCVN ISO/IEC xxxx:yyyy [17] ISO/IEC TR 27016:—2), Information technology — Security techniques — Information security management — Organizational economics [18] ISO 27799:2008, Health informatics — Information security management in health using ISO/IEC 27002 [19] TCVN 9788:2013, Quản lý rủi ro - Từ vựng [20] ISO/IEC 15939:2007, Systems and software engineering — Measurement process 46