Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 36 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
36
Dung lượng
638,5 KB
Nội dung
Công ty luật Minh Khuê www.luatminhkhue.vn TIÊU CHUẨN QUỐC GIA TCVN 9965 : 2013 ISO/IEC 27013 : 2012 CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - HƯỚNG DẪN TÍCH HỢP TRIỂN KHAI TCVN ISO/IEC 27001 VÀ ISO/IEC 20000-1 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Lời nói đầu TCVN 9965:2013 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC1 "Công nghệ Thông tin" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Cơng nghệ cơng bố TCVN 9965:2013 hồn tồn tương đương với ISO/IEC 27013:2012 Lời giới thiệu Mối quan hệ an ninh thông tin quản lý dịch vụ chặt chẽ mà nhiều tổ chức nhận diện lợi ích việc đáp ứng hai tiêu chuẩn: TCVN ISO/IEC 27001 an ninh thông tin ISO/IEC 20000-1 quản lý dịch vụ Với tổ chức, điều phổ biến để tăng cường cách thức vận hành để phù hợp với yêu cầu Tiêu chuẩn quốc tế tạo nâng cấp sau để phù hợp với yêu cầu tiêu chuẩn khác Một số lượng ưu điểm việc triển khai hệ thống quản lý tích hợp khơng chia thành dịch vụ cung cấp mà cho việc bảo vệ tài sản thông tin Các lợi ích trải nghiệm tiêu chuẩn triển khai trước tiêu chuẩn khác, hai tiêu chuẩn triển khai đồng thời Đặc biệt, việc quản lý quy trình tổ chức dẫn đến lợi ích từ điểm giống Tiêu chuẩn quốc tế mục tiêu chung chúng Các lợi ích triển khai tích hợp bao gồm: a) Sự tin tưởng cho khách hàng bên bên tổ chức, dịch vụ an ninh hiệu quả; b) Giá thành thấp chương trình tích hợp hai dự án, việc hướng tới quản lý dịch vụ an ninh thông tin thành phần chiến lược tổ chức; c) Một giảm thiểu thời gian triển khai dựa việc phát triển tích hợp quy trình phổ biến từ hai tiêu chuẩn; d) Việc loại bỏ trùng lặp không cần thiết; e) Sự hiểu biết quản lý dịch vụ cá nhân an ninh quan điểm bên; f) Một tổ chức chứng nhận TCVN ISO/IEC 27001 dễ dàng đáp ứng yêu cầu an ninh thông tin ISO/IEC 20000-1:2011, Điều 6.6 hai Tiêu chuẩn bổ sung theo yêu cầu Hướng dẫn dựa phiên công bố hai tiêu chuẩn quốc tế TCVN ISO/IEC 27001 ISO/IEC 20000-1:2011 Tiêu chuẩn hướng đến việc sử dụng cá nhân có hiểu biết hai tiêu chuẩn quốc tế, hai tiêu chuẩn TCVN ISO/IEC 27001 ISO/IEC 20000-1 không thuộc tiêu chuẩn Tiêu chuẩn mong đợi tất người đọc truy cập để chép hai tiêu chuẩn quốc tế Do đó, tiêu chuẩn khơng tái sử dụng phần tiêu chuẩn khác Tương tự, tiêu chuẩn không mô tả tất phần tiêu chuẩn quốc tế cách toàn diện Các phần vấn đề trùng lặp mô tả chi tiết Tiêu chuẩn không đưa hướng dẫn tương tự với thay đổi luật pháp quy định bên ngồi kiểm sốt tổ chức Điều thay đổi tùy theo quốc gia tác động việc hoạch định hệ thống quản lý tổ chức CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - HƯỚNG DẪN TÍCH HỢP TRIỂN KHAI TCVN ISO/IEC 27001 VÀ ISO/IEC 20000-1 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Phạm vi áp dụng Tiêu chuẩn cung cấp hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 cho tổ chức có ý định hoặc: a) Triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 triển khai, ngược lại; b) Triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 nhau; c) Tích hợp hệ thống quản lý TCVN ISO/IEC 27001 ISO/IEC 20000-1 có Tiêu chuẩn nêu bật điểm khác biệt việc tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 Thực tế, TCVN ISO/IEC 27001 ISO/IEC 20000-1 tích hợp với hệ thống quản lý khác TCVN ISO 9001 TCVN ISO 14001 Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) TCVN ISO/IEC 27001:2009 Cơng nghệ thơng tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Các yêu cầu (ISO/IEC 27001 : 2005; Information technology - Security techniques - Information security management systems - Requirements) ISO/IEC 20000-1:20111 Information technology - Service management - Service management system requirements (Công nghệ thông tin - Quản lý dịch vụ - Các yêu cầu hệ thống quản lý dịch vụ) ISO/IEC 27000:2009 Information technology - Sercurity techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Tổng quan từ vựng) Thuật ngữ, thuật ngữ viết tắt định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu ISO/IEC 27000:2009 ISO/IEC 20000-1 thuật ngữ, định nghĩa sau: ISMS - hệ thống quản lý an ninh thông tin (information security management system) (từ TCVN ISO/IEC 27001:2005) SMS - hệ thống quản lý dịch vụ (service management system) (từ ISO/IEC 20000-1) Phụ lục A tiêu chuẩn so sánh nội dung TCVN ISO/IEC 27001 ISO/IEC 20000-1:2011 theo Điều Phụ lục B tiêu chuẩn so sánh thuật ngữ định nghĩa trong: • ISO/IEC 27000:2009, Bảng thuật ngữ dùng cho TCVN ISO/IEC 27001; • Thuật ngữ dùng TCVN ISO/IEC 27001; • Thuật ngữ định nghĩa dùng ISO/IEC 20000-1:2011 Tổng quan TCVN ISO/IEC 27001 ISO/IEC 20000-1 4.1 Hiểu biết tiêu chuẩn quốc tế Một tổ chức nên có am hiểu đặc trưng, giống khác TCVN ISO/IEC 27001 ISO/IEC 20000-1 trước hoạch định hệ thống quản lý tích hợp Điều giúp tối đa hóa thời gian nguồn lực sẵn có cho việc triển khai Các Điều từ 4.2 tới 4.4 tiêu chuẩn giới thiệu khái niệm làm tảng cho hai tiêu chuẩn, không dùng thay cho việc soát xét chi tiết 4.2 Khái niệm TCVN ISO/IEC 27001 TCVN ISO/IEC 27001 đưa mơ hình cho việc thiết lập, thực thi, vận hành, giám sát, xem xét, trì cải tiến ISMS để bảo vệ tài sản thông tin Tài sản thông tin bao gồm thông tin Hiện nay, hệ thống tiêu chuẩn quốc gia có TCVN 8695:2011 Công nghệ thông tin - Quản lý dịch vụ - Phần 1: Các yêu cầu (ISO/IEC 20000-1:2005 Information technology - Service management - Specification) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn dạng nào, lưu giữ hình thức, dùng cho mục đích bởi, bên tổ chức Để phù hợp với TCVN ISO/IEC 27001, tổ chức phải triển khai ISMS dựa quy trình đánh giá rủi ro để nhận diện rủi ro tài sản thông tin Tổ chức phải chọn lựa, thiết lập, giám sát xem xét loạt biện pháp để quản lý rủi ro phần công việc Các biện pháp biết tới kiểm soát Tổ chức phải xác định mức chấp nhận rủi ro, tính tới yêu cầu doanh nghiệp u cầu ràng buộc từ bên ngồi Ví dụ yêu cầu ràng buộc từ bên yêu cầu pháp lý quy định nghĩa vụ hợp đồng TCVN ISO/IEC 27001 dùng cho tất tổ chức thuộc loại hình quy mơ 4.3 Khái niệm ISO/IEC 20000-1 ISO/IEC 20000-1 dùng cho tổ chức thành phần tổ chức, có sử dụng cung cấp dịch vụ Tiêu chuẩn mang lại lợi ích cho khách hàng bên cung cấp dịch vụ Tuy nhiên, tất quy trình tiêu chuẩn kiểm soát bên cung cấp dịch vụ, bên cung cấp dịch vụ cần phù hợp với tiêu chuẩn Tiêu chuẩn chủ yếu liên quan tới việc đảm bảo dịch vụ thỏa mãn yêu cầu dịch vụ mang lại lợi ích cho khách hàng bên cung cấp dịch vụ Việc quản lý dịch vụ chi phối kiểm soát tài nguyên hoạt động bên cung cấp dịch vụ việc thiết kế, phát triển, chuyển đổi, chuyển giao cải tiến dịch vụ để thỏa mãn yêu cầu dịch vụ thỏa thuận với (các) khách hàng Để thỏa mãn đầy đủ yêu cầu tiêu chuẩn này, bên cung cấp dịch vụ nên thực thi dải quy trình quản lý dịch vụ cụ thể Các quy trình bao gồm quản lý cố, quản lý thay đổi quản lý vấn đề quản lý khác Quản lý an ninh thơng tin quy trình quản lý dịch vụ ISO/IEC 20000-1 ISO/IEC 20000-1 dùng cho tất tổ chức thuộc loại hình quy mơ 4.4 Điểm giống khác Quản lý dịch vụ quản lý an ninh thông tin thường xem không liên kết hay độc lập Về khía cạnh khơng liên kết, quản lý dịch vụ thường liên quan đến tính hiệu tính lợi nhuận, đó, quản lý an ninh thông tin thường không hiểu tảng sở việc chuyển giao dịch vụ hiệu Kết quản lý dịch vụ thường thực thi Tuy nhiên, Hình 1, yêu cầu quản lý dịch vụ theo ISO/IEC 20000-1, bao gồm nhiều mục tiêu biện pháp kiểm soát theo Phụ lục A TCVN ISO/IEC 27001 Quản lý an ninh thông tin quản lý dịch vụ rõ ràng đề cập đến quy trình hoạt động giống nhau, hệ thống quản lý nêu bật số chi tiết so với chi tiết khác Chi tiết xem phụ lục A Khi sử dụng hai tiêu chuẩn này, nên hiểu chúng có đặc trưng khác biệt nhiều khía cạnh Ví dụ, phạm vi chúng khác nhau, xem Điều 5.2 tiêu chuẩn Chúng có mục đích khác ISO/IEC 20000-1 thiết kế để đảm bảo tổ chức cung cấp dịch vụ hiệu quả, TCVN ISO/IEC 27001 thiết kế cho phép tổ chức quản lý rủi ro an ninh thơng tin phịng ngừa cố an ninh LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Hình - So sánh khái niệm TCVN ISO/IEC 27001 ISO/IEC 20000-1 Cách tiến cận cho việc tích hợp triển khai 5.1 Tổng quan Việc hoạch định tổ chức để triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 rơi vào ba tình huống: • Có xếp quản lý chun trách bao gồm quản lý an ninh thông tin quản lý dịch vụ (các hệ thống quản lý thức tồn cho lĩnh vực khác, quản lý chất lượng); • Có hệ thống quản lý dựa tiêu chuẩn; • Có hệ thống quản lý tách biệt dựa hai tiêu chuẩn, khơng tích hợp Tổ chức hoạch định việc triển khai hệ thống quản lý tích hợp phải cân nhắc điểm sau: a) (Các) hệ thống quản lý khác sử dụng (như hệ thống quản lý chất lượng); b) Tất dịch vụ, quy trình phụ thuộc chúng hồn cảnh hệ thống quản lý tích hợp; c) Các thành phần tiêu chuẩn hợp cách thức chúng hợp nhất; d) Các thành phần tách biệt; e) Tác động hệ thống quản lý tích hợp khách hàng, bên cung cấp bên khác; f) Tác động lên công nghệ sử dụng; g) Tác động lên, gây rủi ro cho dịch vụ quản lý dịch vụ; h) Tác động lên, gây rủi ro cho việc an ninh thông tin quản lý an ninh thông tin; i) Giáo dục đào tạo hệ thống quản lý tích hợp; j) Các giai đoạn trình tự việc tiến hành hoạt động 5.2 Xem xét phạm vi áp dụng LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Phạm vi mà hai tiêu chuẩn khác đáng kể vấn đề phạm vi áp dụng, cụ thể tài sản gì, quy trình phần tổ chức nên bao gồm hệ thống quản lý ISO/IEC 20000-1 đề cập tới yêu cầu: thiết kế, chuyển dịch, chuyển giao cải tiến dịch vụ để thỏa mãn yêu cầu Điều triển khai thông qua tập quy trình Do phạm vi ISO/IEC 20000-1 bao gồm quy trình quản lý bên tổ chức, dịch vụ cung cấp TCVN ISO/IEC 27001 liên quan đến cách thức quản lý rủi ro an ninh thông tin Phạm vi TCVN ISO/IEC 27001 bao quát thành phần hoạt động mà tổ chức mong muốn an tồn Theo đó, phạm vi triển khai hai tiêu chuẩn mơ tả khác Do triển khai TCVN ISO/IEC 27001 với phạm vi với ISO/IEC 20000-1, ISO/IEC 20000-1 áp dụng cho toàn tổ chức tổ chức hồn tồn bên cung cấp dịch vụ Do số quy trình, tài sản vai trị tổ chức bị loại bỏ khỏi phạm vi cho ISMS phát triển để đáp ứng với TCVN ISO/IEC 27001 Với ISO/IEC 20000-1, điều khơng bị loại bỏ khỏi phạm vi chúng phần, góp phần vào, dịch vụ phạm vi SMS Phạm vi ISMS xác định cách gianh giới vật lý rõ ràng, vành đai an ninh Trong số trường hợp, hai tiêu chuẩn khơng thiết lập cho tất cả, hay chí thành phần nào, hoạt động tổ chức Ví dụ, tổ chức khơng thể tuân thủ theo yêu cầu ISO/IEC 20000-1 khơng quản trị quy trình vận hành bên khác Tổ chức triển khai SMS ISMS với số trùng lặp phạm vi áp dụng khác Trong đó, hoạt động nằm phạm vi áp dụng hai tiêu chuẩn này, hệ thống quản lý tích hợp phải tính tới hai tiêu chuẩn này, xem Phụ lục A tiêu chuẩn Khác biệt phạm vi áp dụng làm nảy sinh số dịch vụ bao gồm SMS bị loại trừ ISMS Tương tự, SMS loại trừ quy trình chức ISMS Ví dụ, số tổ chức chọn triển khai ISMS với chức truyền thông vận hành, dịch vụ quản lý ứng dụng bao gồm SMS Ngược lại, ISMS bao gồm tất dịch vụ, SMS bao gồm dịch vụ cho khách hàng số dịch vụ cho tất khách hàng Tổ chức phải cân đối phạm vi tiêu chuẩn nhiều để đảm bảo hệ thống quản lý tích hợp thành cơng CHÚ THÍCH: Hướng dẫn xác định phạm vi cho ISO/IEC 20000-1 sẵn có ISO/IEC 200003:2012, Hướng dẫn xác định phạm vi tính áp dụng ISO/IEC 20000-1 5.3 Các kịch tiền triển khai 5.3.1 Tổng quan Tổ chức hoạch định hệ thống quản lý tích hợp ba tình huống, mô tả Điều từ 5.3.2 tới 5.3.4 tiêu chuẩn Trong tất trường hợp, tổ chức có số dạng quy trình quản lý, khơng tổ chức khơng tồn Các điều bên cung cấp gợi ý cho việc triển khai ba trạng thái mô tả Điều 5.1 tiêu chuẩn 5.3.2 Khơng có tiêu chuẩn sử dụng làm sở cho hệ thống quản lý Dễ dàng giả định nơi không tiêu chuẩn thực khơng có sách, quy trình thủ tục, thế, tình đơn giản để giải Không may, quan niệm sai Các tổ chức khơng có hệ thống quản lý dựa TCVN ISO/IEC 27001 ISO/IEC 20000-1 có dạng hệ thống quản lý Dạng sau thích nghi để đạt tới việc phù hợp với hai tiêu chuẩn Quyết định liên quan đến thứ tự theo hai hệ thống quản lý thực phải dựa nhu cầu doanh nghiệp Các định bị ảnh hưởng liệu khuyến khích việc vị trí cạnh tranh dùng tiêu chuẩn hay tiêu chuẩn khác, hay nhu cầu để chứng tỏ yêu cầu tiêu chuẩn hay tiêu chuẩn khác cho khách hàng có khách hàng Quyết định quan trọng khác liệu việc triển khai hệ thống quản lý dựa hai tiêu chuẩn từ lúc bắt đầu, hay thiết lập hệ thống quản lý dựa tiêu chuẩn sau mở rộng để bao quát yêu cầu tiêu chuẩn kia, xem Điều 5.3.3 tiêu chuẩn Cả hai tiêu chuẩn triển khai đồng thời, hoạt động nỗ lực triển khai phối hợp trùng lặp giảm thiểu Tuy nhiên, tùy theo chất tổ chức, cần thận trọng để bắt đầu với tiêu chuẩn sau triển khai tiêu chuẩn Các cân nhắc minh họa kịch sau a) tổ chức cung cấp dịch vụ bắt đầu với việc triển khai ISO/IEC 20000-1 sau đó, khai thác từ học rút việc triển khai đó, mở rộng hệ thống quản lý bao gồm TCVN ISO/IEC 27001 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn b) Tổ chức sử dụng bên cung cấp, bao gồm bên khác, để chuyển giao vài thành phần dịch vụ tập trung trước tiên vào ISO/IEC 20000-1 Điều cung cấp nhiều yêu cầu cho bên khác, kể việc quản lý bên cung cấp Điều cho phép giải vấn đề quản lý bên cung cấp kiểm sốt quy trình Tổ chức sau phải chuyển sang TCVN ISO/IEC 27001 c) Tổ chức nhỏ tập trung vào tiêu chuẩn TCVN ISO/IEC 27001, ISO/IEC 20000-1, tùy theo độ tin cậy vào hệ thống dịch vụ an ninh thông tin d) Tổ chức lớn với việc chuyển giao dịch vụ nội triển khai dự án Nếu việc được, phải phân chia việc thực thành hai dự án song song bên chương trình bao qt tồn cơng việc Mỗi dự án phải quản lý tiêu chuẩn, tích hợp triển khai dự án Nếu cách tiếp cận chọn Điều quan trọng cần đảm bảo việc thực tương thích chúng phát triển Điều đưa vào tổng phí phụ rủi ro thêm cho kết nên dùng khơng có phương án khác e) Bất kỳ tổ chức coi tầm quan trọng an ninh thông tin mức cao phải thực ISMS trước hết mà tuân thủ yêu cầu TCVN ISO/IEC 27001 Giai đoạn nên việc mở rộng hệ thống quản lý để đáp ứng yêu cầu ISO/IEC 20000-1, hỗ trợ an ninh thông tin Cuộc họp nhóm cơng tác tích hợp q trình triển khai hai tiêu chuẩn giúp đảm bảo việc liên kết hai tiêu chuẩn 5.3.3 Tồn hệ thống quản lý thỏa mãn đầy đủ yêu cầu hai tiêu chuẩn Khi hệ thống quản lý phù hợp với hai tiêu chuẩn rồi, mục đích phải tích hợp với yêu cầu tiêu chuẩn Điều phải thực mà không gây tổn thất dịch vụ gây nguy hiểm cho an ninh thông tin dịch vụ Tuy nhiên, hệ thống quản lý tồn phải chia nhỏ thành phần riêng lẻ Điều phải lên kế hoạch kỹ lưỡng từ trước, với tài liệu có chuyên gia tiêu chuẩn có xem xét để xem cần đưa vào, xem xét chuyên gia tiêu chuẩn triển khai Tổ chức phải nhận diện thuộc tính hệ thống quản lý thực hiện, bao gồm phần sau: a) Phạm vi áp dụng; b) Cấu trúc tổ chức; c) Các sách; d) Các hoạt động hoạch định; e) Thẩm quyền trách nhiệm; f) Thực hành; g) Phương thức quản lý rủi ro; h) Các quy trình; i) Các thủ tục; j) Thuật ngữ định nghĩa; k) Tài nguyên Các thuộc tính phải xem xét để thiết lập cách chúng áp dụng cho hệ thống quản lý tích hợp Nếu cách tiếp cận hai - bước sử dụng, với hệ thống quản lý xem bước một, bước hai hệ thống quản lý triển khai Phạm vi áp dụng cho bước phải định rõ chấp thuận trước bắt đầu triển khai công việc 5.3.4 Tồn hệ thống quản lý riêng rẽ thỏa mãn đầy đủ yêu cầu tiêu chuẩn Trường hợp cuối có lẽ phức tạp Điều giải thích cho vấn đề phạm vi, xem Điều 5.2 tiêu chuẩn Điều tổ chức triển khai TCVN ISO/IEC 27001 lĩnh vực tổ chức, triển khai ISO/IEC 20000-1 cho lĩnh vực khác Tổ chức định áp dụng tiêu chuẩn tiêu chuẩn toàn phạm vi hoạt động rộng Tại số thời điểm, hệ thống quản lý triển khai hoạt động Theo phương án khác, hai tổ chức hoạch định để hợp Một tổ chức chứng tỏ phù hợp với TCVN ISO/IEC 270001, tổ chức chứng tỏ phù hợp với ISO/IEC 20000-1 Việc xem xét thiết lập từ điểm bắt đầu, nhằm đạt tới điểm sau: LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn a) Nhận diện dẫn chứng phạm vi có đề nghị, theo tiêu chuẩn áp dụng đặc biệt ý tới điểm khác biệt b) So sánh hệ thống quản lý có thiết lập có khía cạnh khơng tương thích lẫn nào; c) Bắt đầu đưa bên liên quan hai hệ thống quản lý tham gia vào với bên kia; 1) Bắt đầu với kế hoạch đề cương rộng; 2) Xem xét Điều mức khác tổ chức để bổ sung chi tiết; 3) Cung cấp thông tin phản hồi giải pháp gợi ý cho mức thẩm quyền tương ứng phép định đưa Mặc dù có nhiều cách để tích hợp hệ thống quản lý trì phù hợp, pha lập kế hoạch mở rộng phải hoàn thành Xem xét triển khai tích hợp 6.1 Tổng quan Trong tất trường hợp, mục đích tổ chức phải tạo hệ thống quản lý tích hợp có khả phù hợp với hai tiêu chuẩn Mục đích khơng phải so sánh tiêu chuẩn hay xác định tốt Khi quan điểm xung đột Điều phải giải theo cách thỏa mãn yêu cầu hai tiêu chuẩn, đảm bảo tổ chức đạt cải tiến liên tục ISMS SMS Hệ thống quản lý tích hợp lý tưởng phải dựa cách tiếp cận hiệu hai tiêu chuẩn, áp dụng cách thích hợp Điều hỗ trợ việc sử dụng chi tiết bổ sung tiêu chuẩn để hỗ trợ cho tiêu chuẩn Nên ý trì điều cần thiết cho phù hợp với hai tiêu chuẩn Phải trì tính truy xuất nguồn gốc liệu hệ thống quản lý tích hợp yêu cầu tiêu chuẩn tách biệt Để giảm cơng sức, tập tài liệu tạo cho hệ thống quản lý tích hợp Để hỗ trợ cho điều này, tổ chức tạo tài liệu truy xuất ma trận truy xuất Điều cách rõ ràng hệ thống quản lý tích hợp tuân thủ yêu cầu tiêu chuẩn Lợi ích cách tiếp cận bao gồm việc cho phép theo dõi hoạt động cần để chứng minh phù hợp với tiêu chuẩn 6.2 Các thách thức tiềm ẩn 6.2.1 Việc sử dụng ý nghĩa tài sản Trong ISO/IEC 20000-1, tài sản khác với tài sản thông tin TCVN ISO/IEC 27001 Tài sản thuật ngữ định nghĩa ISO/IEC 20000-1, dùng theo nghĩa tiếng Anh thơng thường giá trị Trong vài điều ISO/IEC 20000-1:2011 việc sử dụng tài sản liên kết với tài sản tài chính, cấp phép phần mềm Trong điều khác, tài sản tham chiếu tới tài sản thông tin Ngược lại, TCVN ISO/IEC 27001 dựa khái niệm việc bảo vệ thơng tin có định nghĩa thức cho tài sản thơng tin Trong phần cịn lại Điều 6.2 tiêu chuẩn này, điểm khác biệt tương đồng việc sử dụng ý nghĩa hai tiêu chuẩn thảo luận Bao gồm gợi ý cách tích hợp hai tiêu chuẩn ISO/IEC 20000-1 sử dụng thuật ngữ định nghĩa, khoản mục cấu hình (CI), phần tử cần kiểm soát để chuyển giao nhiều dịch vụ Do tổ chức phải định nghĩa CI theo mục đích riêng nó, có tính tới nhu cầu tính hiệu "Tài sản thơng tin" bao hàm định nghĩa Trong ISO/IEC 20000-1, sở liệu quản lí cấu hình (CMDB) kho liệu tất CI liên hệ lẫn chúng Một số tài sản tổ chức khơng có CMDB (như máy tính để bàn khơng dùng để chuyển giao dịch vụ) Tương tự, số CI khơng coi tài sản theo ISO/IEC 20000-1 ví dụ: người Tài sản ISO/IEC 20000-1 thường có giá trị tiền bạc Với TCVN ISO/IEC 27001, tài sản thông tin định nghĩa tri thức liệu có giá trị cho tổ chức, dạng thức, như: giấy, điện tử,.v.v Như kết quả, tài sản thơng tin CI CI không thiết phải tài sản thơng tin Ví dụ: dây cáp liệu CI, thường khơng phải tài sản thơng tin Hình cung cấp minh họa cho mối quan hệ CI tài sản thông tin Với hệ thống quản lý thơng tin tích hợp, tài sản thơng tin TCVN ISO/IEC 27001 dùng bởi, phần của, dịch vụ ISO/IEC 200001 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Hình - Mối quan hệ tài sản thông tin TCVN ISO/IEC 27001 CI ISO/IEC 20000-1 Cả hai tiêu chuẩn không yêu cầu CI tài sản thơng tin phải liệt kê riêng rẽ Chúng gộp nhóm thành kiểu, phần cứng, tài liệu Như phần quy trình này, mô tả chúng phải làm quán được, đơn giản phù hợp với hai tiêu chuẩn Ví dụ: lúc đầu cơng việc tích hợp nào, định phải đưa theo cách tài sản phân loại nhận diện Điều đảm bảo tham chiếu rõ ràng thực tài sản Nếu thuật ngữ "tài sản thông tin" sử dụng theo nghĩa TCVN ISO/IEC 27001, tài sản đặc biệt phải cho nhãn bổ sung để đảm bảo trạng thái chúng nhận CI tài sản tài ISO/IEC 20000-1, xem Phụ lục B tiêu chuẩn 6.2.2 Thiết kế chuyển giao dịch vụ ISO/IEC 20000-1:2011, Điều bao quát yêu cầu cho việc thiết kế chuyển giao dịch vụ thay đổi Không có Điều tương đương trực tiếp TCVN ISO/IEC 27001, số khía cạnh việc thiết kế, chuyển dịch chuyển giao dịch vụ bao quát TCVN ISO/IEC 27001, Phụ lục A Tuy nhiên, hệ thống quản lý tích hợp phải đảm bảo an ninh thông tin xem xét chi tiết giai đoạn lập kế hoạch việc thiết kế chuyển giao dịch vụ thay đổi Các chủ đề nên xem xét bao gồm đánh giá tác động dịch vụ thay đổi dịch vụ kiểm soát an ninh thơng tin có, xem ISO/IEC 20000-1:2011, Điều 6.6.2 Điều nên thực cho chấm dứt dịch vụ Việc hoạch định cho tất dịch vụ thay đổi nên bao quát việc cân nhắc hệ lụy an ninh thông tin Điều phải thực dù dịch vụ giảm sút phạm vi ISMS 6.2.3 Đánh giá quản lý rủi ro ISO/IEC 20000-1:2011, Điều 4.5.2 4.5.3 bao quát yêu cầu đánh giá rủi ro, cách xử lý rủi ro liên kết với SMS TCVN ISO/IEC 27001:2009, Điều 4.2.1, đưa yêu cầu việc quản lý tất khía cạnh rủi ro liên quan đến an ninh thông tin Các yêu cầu không bị giới hạn rủi ro liên quan đến ISMS bao quát việc đánh giá xử lý rủi ro khía cạnh khác việc quản lý rủi ro an ninh thông tin Mặc dù rủi ro xem xét TCVN ISO/IEC 27001 ISO/IEC 20000-1, chất rủi ro khác ISO/IEC 20000-1 xem xét rủi ro cho SMS dịch vụ, TCVN ISO/IEC 27001 xem xét rủi ro an ninh thông tin cách thức ảnh hưởng tới tổ chức Tiêu chí đánh giá xử lý rủi ro khác nhau, tùy thuộc vào liệu rủi ro liên quan tới việc chuyển giao dịch vụ, đặc biệt với an ninh thông tin Tuy nhiên, cách thức sử dụng để nhận diện rủi ro hai trường hợp Một vài rủi ro xem xét ISO/IEC 20000-1 ví dụ: rủi ro bên cung cấp không tôn trọng chi phí liên quan đến SLA, khơng coi rủi ro theo quan điểm TCVN ISO/IEC 27001 Vậy rủi ro nhận diện dùng ISO/IEC 200001 khơng thể giả định có liên quan đến an ninh thông tin, ngược lại Việc làm chủ sở hữu rủi ro khác biệt hai cách tiếp cận Ví dụ, ISO/IEC 20000-1 tổ chức bên cung cấp dịch vụ sở hữu rủi ro Khách hàng mong đợi để chấp nhận LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn rủi ro lại phần SLA họ kế hoạch trì tính liên tục dịch vụ Trong TCVN ISO/IEC 27001, vấn đề chủ sở hữu rủi ro không thảo luận rõ ràng, thực tế tổ chức coi người chủ sở hữu rủi ro an ninh thông tin Hiểu lầm tùy chọn quản lý rủi ro nảy sinh khác biệt yêu cầu quản lý rủi ro hai tiêu chuẩn Khi hoạch định tích hợp triển khai cho hai tiêu chuẩn, tổ chức phải lưu tâm khác biệt tiêu chí rủi ro tác động mà khác biệt có nên xử lý rủi ro Tổ chức phải chấp nhận hai cách tiếp cận mô tả bên a) Dùng cách tiếp cận chung cho quản lý rủi ro, kể đánh giá rủi ro, cho hai tiêu chuẩn, tránh trùng lặp Ví dụ: rủi ro việc tính sẵn có tài sản thơng tin chia sẻ phần khác hệ thống quản lý tích hợp Đây cách tiếp cận hiệu để tránh trùng lặp nỗ lực b) Dùng phương thức đánh giá rủi ro tách biệt cho hai tiêu chuẩn Nếu tùy chọn chọn, tổ chức phải sử dụng thuật ngữ làm khác biệt đánh giá rủi ro SMS dịch vụ từ ISMS đánh giá rủi ro an ninh thông tin Khi việc đánh giá rủi ro quản lý rủi ro then chốt tổ chức, việc triển khai TCVN ISO/IEC 27001 nên ưu tiên để tận dụng hướng dẫn quản lý rủi ro đánh giá rủi ro Dù tùy chọn chọn tổ chức phải sử dụng thuật ngữ rõ ràng quán Điều yêu cầu việc diễn đạt yêu cầu từ hai tiêu chuẩn cách khác từ phiên công bố Tuy nhiên tổ chức phải đảm bảo việc truy xuất rõ ràng yêu cầu hai tiêu chuẩn 6.2.4 Các khác biệt mức chấp nhận rủi ro Khi khách hàng giao phó liệu hệ thống họ bên thứ ba trì, có khác biệt mức chấp nhận rủi ro khách hàng bên thứ ba Điều không rõ ràng tiêu chuẩn nào, tổ chức phải nhận biết vấn đề đưa định rõ ràng liên quan đến mức rủi ro kiểm soát bên khác Các vấn đề thức mơ tả a) Khách hàng có cách nhìn liên quan đến mức an ninh Điều chấp nhận cho thơng tin nằm kiểm sốt bên thứ ba Điều khơng tương xứng với mức an ninh mà bên thứ ba coi đủ b) Bên thứ ba có thơng tin riêng họ, như: ghi tài Bên thứ ba có cách nhìn liên quan đến mức an ninh chấp nhận cho thông tin c) Khách hàng bên thứ ba tham gia vào môi trường pháp luật hiệu lực quy định khác nhau, thay đổi theo quốc gia lĩnh vực thị trường Điều dẫn đến quan điểm rủi ro an ninh thông tin khác Các mong đợi trách nhiệm an ninh thông tin khách hàng tổ chức bên thứ ba nên thảo luận hội sớm Các thảo luận quan trọng cho hai bên việc thỏa thuận phạm vi dự án thực hiện, quan trọng tương đương thể chế kiểm sốt vận hành dịch vụ có Bất kỳ xung đột tiềm ẩn phải nhận diện định đưa thỏa thuận, cách lý tưởng trước thực 6.2.5 Quản lý cố vấn đề Điểm để thảo luận vấn đề thuật ngữ Trong TCVN ISO/IEC 27001, có thuật ngữ cho biến cố không mong đợi đáng quan tâm: cố an ninh thơng tin Ngược lại, ISO/IEC 200001 có số thuật ngữ đặc biệt liên kết với quản lý cố Ví dụ, cố, cố an ninh thơng tin, vấn đề, lỗi biết cố chính, xem phụ lục B tiêu chuẩn Những Điều tất cố an ninh thông tin theo TCVN ISO/IEC 27001, tùy theo đặc trưng TCVN ISO/IEC 27001 mơ tả quy trình riêng giải tất cố an ninh thơng tin ISO/IEC 20000-1 khơng có đa dạng thuật ngữ, có đa dạng chế quản lý biến cố quản lý yêu cầu dịch vụ cố, thủ tục cố quản lý vấn đề Trong ISO/IEC 20000-1 biến cố riêng lẻ quản lý nhiều quy trình thủ tục vịng đời ISO/IEC 20000-1 sử dụng định nghĩa TCVN ISO 9000:2007 (ISO/IEC 9000:2005)) cho thủ tục "một cách thức đặc biệt để tiến hành hoạt động quy trình" Với ISO/IEC 20000-1, quy trình mức cao thủ tục, với thủ tục hỗ trợ cho quy trình Hình minh họa mối quan hệ việc quản lý cố an ninh thông tin TCVN ISO/IEC 27001 quản lý cố ISO/IEC 20000-1 LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Kh www.luatminhkhue.vn Hình - Mơ tả mối quan hệ tiêu chuẩn quản lý cố Các biến cố mà TCVN ISO/IEC 27001 phân loại cố an ninh thơng tin, biến cố ISO/IEC 20000-1 không phân loại cố Hai ví dụ cho a) Một tài liệu mật việc tiếp thị sản phẩm tìm thấy bàn sau làm việc, vi phạm sách an ninh thông tin Tài liệu không liên quan tới việc chuyển giao dịch vụ theo cách b) Khóa văn phịng khách hàng tìm thấy bị phá Biến cố coi cố theo TCVN ISO/IEC 27001 Tuy nhiên điều không rơi vào phạm vi ISO/IEC 20000-1 giả định truy cập vào thông tin liên quan đến yêu cầu ISO/IEC 20000-1:2001, Điều 6.6 Một cách tương tự, có biến cố ISO/IEC 20000-1 phân loại cố, phạm vi TCVN ISO/IEC 27001 Ví dụ: a) Việc bảo trì theo lịch vượt q giới hạn SLA; b) Người dùng báo cáo cố hiệu dịch vụ chậm Điểm trùng lặp định nghĩa "sự cố" liên quan tới điều ISO/IEC 20000-1 nói tới "các cố an ninh thơng tin", điều làm nảy sinh tính bảo mật, tính tồn vẹn tính truy cập liên quan tới dịch vụ Để hòa hợp cách nhìn trên, tổ chức phải định cách xử lý cách quản lý cố, nằm phạm vi hai hệ thống quản lý Quản lý vấn đề định nghĩa ISO/IEC 20000-1 tiến trình nhận diện nguyên nhiều cố để giảm thiểu né tránh tác động cố Trong ISO/IEC 20000-1, tiến trình đặc biệt tách rời Trong TCVN ISO/IEC 27001 quản lý vấn đề không bao quát cách rõ ràng, nói đến yêu cầu quản lý cố an ninh thông tin, xử lý rủi ro hoạt động khắc phục Trong hệ thống quản lý tích hợp, quy trình quản lý vấn đề phải xác định Nếu ISMS triển khai trước SMS, điều hữu ích cho việc tích hợp thực hành SMS tốt cho quản lý vấn đề phần ISMS, ích lợi với tất hệ thống quản lý Cả hai tiêu chuẩn yêu cầu tổ chức phải phân tích liệu xu hướng cố Các cố có bao hàm rủi ro an ninh thông tin phải phân loại cố an ninh thông tin Điều quan trọng tương đương tính phù hợp với hai tiêu chuẩn chỗ quy trình quản lý cố phải phản ánh nhu cầu tuân thủ với yêu cầu bổ sung cho an ninh thông tin TCVN ISO/IEC 27001 Cần lưu ý rằng, kiểm soát TCVN ISO/IEC 27001:2011 (ISO/IEC 27001:2009), A.12.2.2 bao quát việc học hỏi từ cố an ninh việc trùng lặp phần với quản lý vấn đề ISO/IEC 20000-1:2011, Điều 8.2 Hơn nữa, việc nhận diện đánh giá dễ tổn thương yêu LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 mức mục tiêu kinh doanh đạt www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn "Tác động" dùng 26 lần ISO/IEC 20000-1 Trong thời tiếng Anh thông thường của: "tác động", danh từ: hiệu ứng áp lực mạnh mẽ Nó sử dụng "tác động" cụ thể ISO/IEC 20000-1 cách thức "tác động" dùng TCVN ISO/IEC 27001 Hầu hết cách sử dụng ISO/IEC 20000-1 liên kết với rủi ro hoàn cảnh thực tế tiêu cực định nghĩa 3.15, Lỗi biết Điều 5: "Bên cung cấp dịch vụ phải sử dụng quy trình cho tất dịch vụ thay đổi dịch vụ có tiềm có tác động lớn dịch vụ khách hàng" Điều 6.3.2: "Bên cung cấp dịch vụ phải đánh giá tác động yêu cầu thay đổi (các) kế hoạch dịch vụ liên tục (các) kế hoạch sẵn có" Sự cố Xem "sự cố an ninh thơng tin" 3.10 Có điểm khác biệt chủ yếu Việc gián đoạn không kế việc sử dụng "sự cố" tiêu hoạch dịch vụ, giảm chuẩn TCVN ISO/IEC 27001 thiểu chất lượng dịch ISO/IEC 20000-1 vụ kiện mà chưa Từ "sự cố" dùng TCVN tác động dịch vụ tới khách ISO/IEC 27001 theo nghĩa "điều hàng sai với an ninh môi trường phạm vi" Trong ISO/IEC 20000-1 từ "sự cố" có ý nghĩa xác định cụ thể TCVN ISO/IEC 27001 Trong ISO/IEC 20000-1 "sự cố" loạt điều khoản liên quan không liên quan tới cố an ninh thông tin Các thuật ngữ khác là: 3.19 Vấn đề Nguyên nhân gốc rễ nhiều cố Nguyên nhân gốc rễ tới thời điểm ghi vấn đề tạo quy trình quản lý vấn đề chịu trách nhiệm cho điều tra sau 3.15 Lỗi biết Vấn đề mà có nguyên nhân gốc rễ định danh phương pháp nhằm giảm thiểu loại bỏ tác động dịch vụ cách làm việc quanh Sự cố lớn (không phải thuật ngữ định nghĩa) cố (hoặc vấn đề) coi chủng loại cao tác động LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn Mỗi "sự cố", "vấn đề", "sự cố lớn" quản lý khác chủ đề cho yêu cầu khác "Lỗi biết" vấn đề nguyên nhân hiểu quản lý quy trình quản lý vấn đề, mà bao gồm yêu cầu áp dụng lần vấn đề trở thành lỗi biết "Sự cố lớn" quản lý quy trình quản lý yêu cầu dịch vụ, với yêu cầu mà có thủ tục đặc biệt cho việc quản lý "các cố lớn" Xem "sự cố an ninh thông tin" Tài sản 2.18 Không định nghĩa thông tin Kiến thức liệu mà có giá trị cho tổ chức Thuật ngữ thuật ngữ định nghĩa dùng ISO/IEC 20000-1, Điều 6.6.2: "Bên cung cấp dịch vụ phải thực vận hành kiểm soát an ninh vật lý, hành kỹ thuật để: a) Duy trì bảo mật, tính tồn vẹn khả truy cập tài sản thông tin." Xem "tài sản" An ninh 2.19 3.11 Trong ISO/IEC 20000-1, từ "tính sẵn thơng tin Sự trì tính Sự trì tính bảo mật, tính có" khơng thể dùng định bảo mật (2.13), tính tồn vẹn khả truy nghĩa an ninh thơng tin Điều tồn vẹn (2.36) tính cập thơng tin 3.11, tính sẵn có thuật ngữ sẵn sàng (2.10) định nghĩa với ý nghĩa khác (xem CHÚ THÍCH 1: Bổ sung, thơng tin "tính sẵn có") Định nghĩa cho an ninh đặc tính khác tính xác thơng tin đáp ứng cho CHÚ THÍCH: Bổ sung, thực, trách nhiệm, chống chối việc sử dụng thuật ngữ "khả truy đặc tính khác bỏ độ tin cậy tham cập" thay Khả truy cập tính xác thực (2.9), gia thực từ định nghĩa ISO/IEC trách nhiệm (2.2), 27000 tính sẵn có "đặc tính CHÚ THÍCH 2: Thuật ngữ chống chối bỏ (2.49) truy cập sử dụng dựa địi hỏi "tính sẵn có" khơng độ tin cậy (2.56) thực thể hợp pháp" dùng định nghĩa tham gia thuật ngữ định nghĩa phần tiêu chuẩn ISO/IEC 20000 mà không phù hợp với định nghĩa CHÚ THÍCH 3: Đáp ứng từ ISO/IEC 27000:2009 Sự kiện an 2.20 Không định nghĩa ninh thông Sự xuất định tin danh hệ thống, dịch vụ trạng thái mạng nhánh tiềm an ninh thông tin (2.19) sách (2.28) lỗi kiểm sốt (2.10), trạng Các kiện an ninh thông tin dùng ISO/IEC 20000-1 phần định nghĩa 3.12: cố an ninh thơng tin Thêm vào đó, kiện 2.15 (không phải kiện an ninh thông tin) dùng trong: a) Định nghĩa rủi ro - xem 3.25 mà bao gồm GHI CHÚ liên quan LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 thái khơng biết trước mà liên quan đến an ninh Ghi sử dụng thuật ngữ hai tiêu chuẩn kiện, b) Định nghĩa "sự liên tục dịch vụ" (3.28) c) ISO/IEC 20000-1 Điều 6.2: báo cáo dịch vụ, d) ISO/IEC 20000-1, Điều 6.3.2: liên tục dịch vụ" kế hoạch sẵn có" Xem "sự kiện": nhiều kiện tạo phần cố an ninh Sự cố an 2.21 3.12 ISO/IEC 20000-1 định nghĩa 3.12 bao ninh thông Một chuỗi Một chuỗi kiện gồm thuật ngữ cố an ninh thông tin tin kiện an ninh thông tin an ninh thông tin không mong ISO/IEC 27000 không mong đợi đợi không mong muốn ISO/IEC 20000-1, Điều 6.6.3 bao gồm khơng mong muốn mà có khả đáng kể yêu cầu: cố an ninh thông (2.20) mà có khả ảnh hưởng đến lựa chọn kinh tin phải quản lý sử dụng thủ đáng kể ảnh doanh đe dọa [ISO/IEC tục quản lý cố, với mức ưu hưởng đến lựa chọn 27000:2009] tiên thích hợp cho rủi ro an ninh kinh doanh đe dọa thơng tin (2.19) Nó không phục vụ cho "thứ sai với dịch vụ" mà nguyên nhân vấn đề, nguyên nhân gốc rễ nhiều cố, nguyên nhân gốc rễ không thường biết đến thời điểm ghi vấn đề tạo quy trình quản lý vấn đề chịu trách nhiệm cho điều tra sau Nó quản lý quy trình quản lý vấn đề, khơng phải việc quản lý cố quy trình yêu cầu dịch vụ Các cố [an ninh thông tin] quản lý quy trình u cầu dịch vụ cố liên quan Sự khác biệt cách thuật ngữ sử dụng hai tiêu chuẩn phức tạp kiện an ninh cố tập phụ loại đặc biệt cố [quản lý dịch vụ] Xem Điều 6.2.5 tiêu chuẩn Quản lý 2.22 Không định nghĩa cố an ninh Các quy trình (2.31) thơng tin để phát hiện, báo cáo, truy cập, chịu trách nhiệm, định học hỏi từ cố an ninh thông tin (2.21) Xem: Hệ thống 2.23 Không định nghĩa quản lý an Phần hệ thống ninh thông quản lý tổng quan tin (ISMS) (2.26), dựa hướng tiếp cận rủi ro kinh doanh để thiết Xem "hệ thống quản lý dịch vụ" "hệ thống quản lý" "Sự cố" "Sự cố an ninh thông tin" "Lỗi biết" "Vấn đề" LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn lập, thực hiện, vận hành, giám sát, đánh giá, bảo trì nâng cấp an ninh thông tin (2.19) Rủi ro an 2.24 Không định nghĩa ninh thông Tiềm mà đe tin dọa (2.45) phát tán lỗ hổng (2.46) tài sản (2.3) nhóm tài sản gây nguy hại cho tổ chức Xem "rủi ro" Tính tồn 2.25 vẹn Đặc tính bảo vệ độ xác đầy đủ tài sản (2.3) Từ "tính tồn vẹn" sử dụng ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường; chất lượng trạng thái tồn khơng bị hư hỏng Không định nghĩa Rủi ro an ninh thông tin không định nghĩa sử dụng phần quản lý an ninh thông tin ISO/IEC 20000-1, Điều 6.6.1 (ví dụ: xem ISO/IEC 20000-1, Điều 6.6.2: "bên cung cấp dịch vụ phải thực vận hành kiểm sốt an ninh thơng tin kỹ thuật, hành vật lý để: a) trì tính bảo mật, tính tồn vẹn khả truy cập tài sản thông tin." ISO/IEC 20000-1, Điều 9.1 bao gồm yêu cầu: "Chúng phải thủ tục tài liệu cho việc ghi, kiểm soát theo dõi biên CI Mức độ kiểm sốt phải trì tính tồn vẹn dịch vụ thành phần dịch vụ yêu cầu dịch có tính đến u cầu dịch vụ rủi ro liên quan tới CI." "Các thay đổi với CI phải truy xuất kiểm tra để đảm bảo tính tồn vẹn CI liệu CMDB." ISO/IEC 20000-1, Điều 9.3 bao gồm yêu cầu: "Bản phát hành phải thực thi mơi trường sống để tính tồn vẹn phần cứng, phần mềm thành phần dịch vụ khác trì suốt thực thi phát hành." Bên liên Không định quan nghĩa 3.13 Xem "bên cung cấp dịch vụ" Cá nhân nhóm có quan tâm đặc biệt hiệu thành công (các) hành động bên cung cấp dịch vụ VÍ DỤ: Các khách hàng, chủ, quản lý, người tổ chức bên cung cấp dịch vụ, bên cung cấp, nhân viên LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn ngân hàng, ủy ban đối tác CHÚ THÍCH 1: Một nhóm bao gồm tổ chức, phần nó, nhiều tổ chức CHÚ THÍCH 2: Đáp ứng theo TCVN ISO 9000:2007 (ISO/IEC 9000:2005)) Nhóm nội Không định nghĩa 3.14 Xem "bên cung cấp dịch vụ" Phần bên cung cấp dịch vụ tổ chức mà tham gia vào thỏa thuận văn với bên cung cấp để đóng góp cho việc thiết kế, chuyển đổi, phân phát nâng cấp nhiều dịch vụ CHÚ THÍCH: Nhóm nội bên phạm vi bên cung cấp dịch vụ SMS Lỗi biết Không định nghĩa 3.15 Xem "sự cố" "vấn đề" Vấn đề mà có nguyên nhân gốc rễ định danh phương pháp giảm thiểu loại bỏ tác động dịch vụ cách làm việc với Hệ thống 2.26 Hệ thống quản lý định Được sử dụng ISO/IEC 20000-1 quản lý nghĩa CHÚ THÍCH để đề cập tới "các hệ thống quản lý Nền tảng của định nghĩa hệ thống quản khác", ISO/IEC 20000-1 đề cập sách (2.28), thủ lý dịch vụ tới "hệ thống quản lý dịch tục (2.30), hướng dẫn vụ" (2.16) tài CHÚ THÍCH 1: Một hệ thống nguyên liên quan để quản lý tập đạt mục tiêu phần tử tương tác có tổ chức liên kết để thiết lập sách mục tiêu để đạt mục tiêu Chống 2.27 Khơng định nghĩa Khơng tương ứng trực tiếp chối bỏ sử dụng Khả chứng minh xuất biến cố công bố (2.15) hành động thực thể gốc để giải tranh cãi xuất hay không xuất biến cố (2.15) hay hành động tham gia thực thể biến cố (2.15) Tổ chức Không định nghĩa 3.17 ISO/IEC 20000-1 sử dụng thuật ngữ "bên cung cấp dịch vụ" "tổ chức" Nhóm người sở với cho thực thể khác nhau, nên sự xếp trách nhiệm, LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn thẩm quyền mối quan hệ khác biệt chủ yếu cho giải thích hệ thống quản lý VÍ DỤ: Đồn thể, tập đồn, kết hợp thương hội, công ty, tổ chức từ thiện, hiệp hội, doanh Xem "bên cung cấp dịch vụ" nghiệp tư nhân thành phần kết hợp với CHÚ THÍCH 1: Nói chung, việc xếp có trật tự CHÚ THÍCH 2: Một tổ chức cơng cộng tư nhân Chính sách 2.28 Khơng định nghĩa Mục đích định hướng tổng thể thực thức việc quản lý Từ "chính sách" dùng ISO/IEC 20000-1 theo nghĩa tiếng Anh thơng thường : (chính sách - số nhiều) kế hoạch hành động, thường dựa quy tắc thực tế, định phận cá nhân quy tắc tập quy tắc cho định bản, chuỗi hành động phải tuân theo Các sách sử dụng ISO/IEC 20000-1 cho hướng tổ chức Một vài yêu cầu ISO/IEC 20000-1, bao gồm sách quản lý dịch vụ Việc sử dụng phần lớn giống hai tiêu chuẩn Hành động 2.29 3.18 Các định nghĩa khác, định phịng nghĩa ISO/IEC 20000-1 Hành động để loại bỏ Hành động để tránh loại ngừa mở rộng bao gồm hành động phòng nguyên nhân bỏ nguyên nhân giảm ngừa mà không loại bỏ nguyên không phù hợp khả xuất nhân, việc xung quanh tiềm ẩn tình khơng phù hợp tiềm ẩn cách để tránh bị tác động; tiềm ẩn khơng tình khơng mong đợi hành động phịng ngừa không loại bỏ mong đợi khác [TCVN khác nguyên nhân, việc xung quanh ISO 9000:2007 CHÚ THÍCH: Đáp ứng cách để tránh bị tác (ISO/IEC 9000:2005)] động TCVN ISO 9000:2007 (ISO/IEC 9000:2005) Thuật ngữ tương tự sử dụng hai tiêu chuẩn, chúng khác biệt ý nghĩa Nó khơng phải ln ln mong muốn để có hành động phòng ngừa quản lý dịch vụ Thay vào đó, tốt hơn/hiệu để tránh dư thừa Hơn nữa, với ISO/IEC 20000-1, định nghĩa TCVN ISO 9000 (ISO 9000:2005) đáp ứng phép khả Các liên kết cho hoạt động sách ISO/IEC 20000-1, định nghĩa 3.6 ISO/IEC 27000 định nghĩa 2.12 Vấn đề Không định nghĩa 3.19 Xem "sự cố" "lỗi biết" Nguyên nhân gốc rễ LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn nhiều cố CHÚ THÍCH: Ngun nhân gốc rễ khơng thường biết đến thời điểm ghi vấn đề tạo quy trình quản lý vấn đề chịu trách nhiệm cho việc điều tra sau Thủ tục 2.30 Cách thức quy định để thực hoạt động quy trình 3.20 Cách thức đặc trưng để thực hoạt động quy trình [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)] [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)] CHÚ THÍCH: Các thủ tục ghi lại khơng Quy trình 2.31 Tập hoạt động tương tác liên kết với nhau, chuyển đổi đầu vào thành đầu 3.31 Tập hoạt động tương tác liên kết với nhau, chuyển đổi đầu vào thành đầu Cả hai định nghĩa dựa TCVN ISO 9000 (ISO 9000:2005), Chúng đa phần giống Chỉ phần CHÚ THÍCH khác biệt, như: thủ tục khơng ghi lại, tham chiếu ISO/IEC 20000-1 để thủ tục hóa tất "thủ tục văn bản" Các thủ tục phần kế hoạch ghi lại phần kế hoạch Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC 9000:2005) [TCVN ISO 9000:2007 [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)] (ISO/IEC 9000:2005)] Bản ghi 2.32 3.22 Tài liệu nêu rõ kết Tài liệu nêu rõ kết đạt đạt cung cung cấp cấp chứng chứng hoạt động hoạt động thực thực hiện [TCVN ISO 9000:2007 [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)] (ISO/IEC 9000:2005)] VÍ DỤ: Các báo cáo kiểm toán, báo cáo cố, báo cáo đào tạo biên họp Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC 9000:2005) Bản phát Không định hành nghĩa sử dụng 3.23 Không tương ứng trực tiếp Sự tin cậy 2.33 Được đề cập an ninh thông tin 3.11 Từ "sự tin cậy" sử dụng ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường: đáng tin 3.24 TCVN ISO/IEC 27001, phụ lục A đề cập tới "quản lý thay đổi" kiểm soát A.0.1.2 Tập hợp nhiều CI thay đổi thiết lập trường thực hệ nhiều thay đổi Tính chất hành vi kết có khả CHÚ THÍCH 1: Thêm vào đó, phù hợp tính chất khác tính ISO/IEC 20000-1, Điều 8.1: "CMDB xác thực, trách nhiệm, chống phải quản lý để đảm bảo độ tin cậy thoái thác độ tin cậy xác nó, bao gồm việc tham gia kiểm sốt truy cập cập nhật" Đề nghị Không định thay đổi nghĩa sử dụng Đề nghị thay đổi tạo cho dịch vụ, thành LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn phần dịch vụ hệ thống Nhiều kiểm soát TCVN ISO/IEC quản lý dịch vụ 27001 đề cập tới việc quản lý kiểm soát thay đổi Ví dụ: A.8.3, A.10.1, CHÚ THÍCH: Một thay đổi A.10.2.3, A.12.5.1 cho dịch vụ bao gồm việc cung cấp dịch vụ gỡ bỏ dịch vụ mà khơng cịn u cầu Rủi ro 2.34 3.25 Việc sử dụng rõ ràng giới hạn "rủi ro" ISO/IEC 20000, Sự kết hợp Hiệu mục tiêu khơng nhiều khía cạnh chủ động việc khả thực tế chắn quản lý dịch vụ nhằm mục đích kiện (2.15) hệ CHÚ THÍCH 1: Một hiệu giảm thiểu rủi ro (ISO/IEC độ lệch so với dự kiến Guider 73 20002] Nó phải thích khái - tích cực và/hoặc tiêu cực niệm "rủi ro" đáp ứng ISO/IEC CHÚ THÍCH 2: Các mục tiêu 27001 sửa đổi tương tự có khía cạnh khác ISO/IEC 20000-1, dựa ISO 31000 (như tài chính, sức khỏe an tồn Xem "lỗ hổng kỹ thuật" mục đích mơi trường) áp dụng mức khác (như: chiến lược, toàn tổ chức, dự án, sản phẩm quy trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng tham chiếu tới kiện hậu tiềm ẩn, kết hợp chúng CHÚ THÍCH 4: Rủi ro thường diễn tả thuật ngữ kết hợp kết hợp hậu kiện (bao gồm thay đổi nhiều tình huống) khả tương ứng với xuất [ISO 31000:2009] Chấp nhận 2.35 Không định nghĩa rủi ro Quyết định chấp nhận rủi ro (2.34) [ISO/IEC Guide 73:2002] Phân tích 2.36 Khơng định nghĩa rủi ro Sử dụng có hệ thống thơng tin để định danh nguồn để đánh giá rủi ro (2.34) [ISO/IEC Guide 73:2002] Cụm từ "sự chấp nhận rủi ro" không định nghĩa sử dụng ISO/IEC 20000-1 Tuy nhiên, ISO/IEC 20000-1 yêu cầu để định nghĩa lĩnh vực chấp nhận rủi ro kế hoạch quản lý dịch vụ, Điều 4.5.2 quy trình quản lý an ninh thơng tin, Điều 6.6.1 Các khái niệm tương đồng Điều 5.4, yêu cầu sử dụng lĩnh vực chấp nhận Xem "đánh giá rủi ro" Việc quan tâm đặc biệt phải áp dụng, phân tích rủi ro định nghĩa khơng giống "chấp nhận rủi ro", xem ISO/IEC 270005 để tham chiếu CHÚ THÍCH: Phân tích rủi ro cung cấp LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn sở cho việc đánh giá rủi ro (2.41), xử lý rủi ro (2.43) chấp nhận rủi ro (2.35) Đánh giá 2.37 Không định nghĩa rủi ro Quy trình tổng thể (2.31) việc phân tích rủi ro (2.36) đánh giá rủi ro (2.41) [ISO/IEC Guide 73:20002] Các tham chiếu ISO/IEC 200001 cho việc đánh giá rủi ro liên quan tới dịch vụ Ví dụ: Điều 4.5.3 (Thiết lập vận hành SMSM (Thực hiện) bao gồm "….d) định danh, đánh giá quản lý rủi ro cho dịch vụ" Điều 5.2 (Lập kế hoạch cho dịch vụ thay đổi mới) bao gồm "…f) định danh, đánh giá quản lý rủi ro." Điều 6.6.1: "d) đảm bảo đánh giá rủi ro thông tin tiến hành khoảng thời gian kế hoạch" Kết nối rủi 2.38 Không định nghĩa ro Việc trao đổi chia sẻ thông tin rủi ro (2.34) người định bên khác Không sử dụng ISO/IEC 20000-1 cách thức liên quan đến rủi ro [ISO/IEC Guide 73:2002] Tiêu chí rủi 2.39 Không định nghĩa ro Các thuật ngữ cho việc tham chiếu tầm quan trọng rủi ro (2.34) đánh giá [ISO/IEC Guide 73 2002] Được sử dụng ISO/IEC 20000-1 cách thức tương tự việc sử dụng TCVN ISO/IEC 27001, ví dụ: ISO/IEC 20000-1, Điều 4.5.2 "Kế hoạch quản lý dịch vụ phải bao gồm tham chiếu cho…j) tiếp cận để thực cho việc quản lý rủi ro tiêu chí chấp nhận rủi ro" Khái niệm tương tự cho hai tiêu chuẩn, có ý nghĩa lớn TCVN ISO/IEC 27001 ISO/IEC 20000 Đánh giá 2.40 Không định nghĩa rủi ro Hoạt động để gán giá trị cho khả hậu rủi ro Xem "đánh giá rủi ro" [ISO/IEC Guide 73 2002] Đánh giá 2.41 Khơng định nghĩa rủi ro Quy trình (2.31) so sánh đánh giá rủi ro (2.34) chống lại tiêu chí rủi ro sẵn có (2.39) để xác định ý nghĩa rủi ro (2.34) Xem "đánh giá rủi ro" LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn [ISO/IEC Guide 73:2002] Quản lý rủi 2.42 Không định nghĩa ro Các hoạt động phối hợp để định hướng kiểm soát tổ chức liên quan đến rủi ro (2.34) Chủ yếu nghĩa hai tiêu chuẩn [ISO/IEC Guide 73:2002] CHÚ THÍCH: Quản lý rủi ro chủ yếu bao gồm việc đánh giá rủi ro (2.37), xử lý rủi ro (2.43), chấp nhận rủi ro (2.35), kết nối rủi ro (2.38), giám sát rủi ro đánh giá rủi ro Xử lý rủi ro2.43 Không định nghĩa Thuật ngữ "xử lý rủi ro" khơng sử dụng ISO/IEC 20000-1, bao trùm thuật ngữ quản lý rủi ro (xem ví dụ "đánh giá rủi ro") 3.26 Không tương ứng trực tiếp Quy trình (2.31) lựa chọn thiết lập tính tốn thay đổi rủi ro (2.34) [ISO/IEC Guide 73:2002] Dịch vụ Không định nghĩa Cách thức phân phối giá trị cho khách hàng cách tạo điều kiện cho kết mà khách hàng muốn đạt CHÚ THÍCH 1: Dịch vụ nhìn chung vơ hình CHÚ THÍCH 2: Một dịch vụ phân phối cho bên cung cấp dịch vụ bên cung cấp, nhóm nội khách hàng vai trị bên cung cấp Thành Khơng định phần dịch nghĩa vụ 3.27 Không tương ứng trực tiếp Đơn vị đơn lẻ dịch vụ mà kết hợp với đơn vị khác phân phối dịch vụ hồn chỉnh VÍ DỤ: Phần cứng, phần mềm, công cụ, ứng dụng, văn bản, thông tin, quy trình dịch vụ hỗ trợ CHÚ THÍCH: Một thành phần dịch vụ bao gồm nhiều CI LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Dịch vụ Không định liên tục nghĩa 3.28 Thỏa Không định thuận mức nghĩa dịch vụ (SLA) 3.29 Ghi sử dụng thuật ngữ hai tiêu chuẩn Xem "lỗ hổng kỹ thuật" "các rủi ro" Khả quản lý rủi ro Xem "kinh doanh liên tục" kiện mà có tác Dịch vụ liên tục xem động nghiêm trọng tập phụ kinh doanh liên tục nhiều dịch vụ thay phân phối liên tục dịch vụ mức thỏa thuận Thuật ngữ không sử dụng TCVN ISO/IEC 27001 Tuy Thỏa thuận văn nhiên, định nghĩa chấp nhận bên cung cấp dịch vụ đề cập đến mục đích kiểm sốt A.10.2 khách hàng mà đích danh khía cạnh an ninh việc dịch vụ đối tượng phân phối trì dịch vụ dịch vụ bên thứ ba liên quan, kiểm soát A.10.2.1 (các mức thỏa thuận dịch vụ CHÚ THÍCH 1: Một thỏa liên tục) thuận mức dịch vụ thực bên cung cấp dịch vụ bên cung cấp, nhóm nội khách hàng đóng vai trị bên cung cấp CHÚ THÍCH 2: Một thỏa thuận mức dịch vụ bao gồm hợp đồng loại khác tài liệu thỏa thuận Quản lý Không định dịch vụ nghĩa 3.30 Hệ thống Không định quản lý nghĩa dịch vụ (SMS) 3.31 Tập khả quy trình để định hướng kiểm soát hoạt động tài nguyên bên cung cấp dịch vụ việc thiết kế, chuyển giao, phân phối nâng cấp dịch vụ để đáp ứng đầy đủ yêu cầu dịch vụ Hệ thống quản lý định hướng kiểm soát hành động quản lý dịch vụ bên cung cấp dịch vụ Mục đích kiểm sốt A.10.2 TCVN ISO/IEC 27001, liên quan đến thuật ngữ Xem "hệ thống quản lý an ninh thơng tin" (ISMS) CHÚ THÍCH 1: Một hệ thống quản lý tập thành phần liên tác liên hợp để thực sách mục tiêu để đạt mục tiêu CHÚ THÍCH 2: SMS bao gồm tất sách quản lý dịch vụ, mục tiêu, kế hoạch, quy trình, văn tài nguyên yêu cầu cho việc thiết kế, chuyển giao, phân phối nâng cấp dịch vụ đáp ứng đầy đủ yêu cầu LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 Ghi sử dụng thuật ngữ hai tiêu chuẩn phần ISO/IEC 20000 CHÚ THÍCH 3: Được đáp ứng từ định nghĩa "hệ thống quản lý chất lượng" TCVN ISO 9000:2007 (ISO/IEC 9000:2005) Nhà cung Không định cấp dịch nghĩa vụ 3.32 Tổ chức hay phần tổ chức mà quản lý phân phối nhiều dịch vụ cho khách hàng Bên cung cấp dịch vụ ISO/IEC 20000-1, định nghĩa 3.32 tổ chức mà nhằm đáp ứng đầy đủ yêu cầu ISO/IEC 20000-1 Thuật ngữ sử dụng đưa điểm khác biệt bên cung CHÚ THÍCH: Một khách hàng cấp dịch vụ nhóm khác, là nội ngoại khách hàng, bên khác (các bên tổ chức bên cung cấp, nhóm nội bộ, khách cung cấp dịch vụ hàng, đóng vai trị bên cung cấp), tổ chức ngoại bộ, bên quan tâm bên cung cấp sản phẩm dịch vụ hỗ trợ vận hành SMS Một bên cung cấp dịch vụ phần tổ chức lớn toàn tổ chức Yêu cầu Không định dịch vụ nghĩa 3.33 Yêu cầu Không định dịch vụ nghĩa 3.34 Không tương ứng trực tiếp Yêu cầu thông tin, lời khuyên, truy cập từ dịch vụ thay đổi tiền - chấp nhận Yêu cầu dịch vụ định nghĩa ISO/IEC 20000-1, định nghĩa Các nhu cầu khách hàng 3.34 người sử dụng dịch vụ, bao gồm yêu cầu mức Trong TCVN ISO/IEC 27001, "yêu dịch vụ, nhu cầu cầu" dùng nghĩa tiếng Anh bên cung cấp dịch vụ thông thường của: nhu cầu, vài thứ mà yêu cầu, cần thiết, u cầu Nó khơng dùng ISO/IEC 20000 "các yêu cầu dịch vụ", có vài sử dụng "các yêu cầu an ninh", yêu cầu pháp lý quy định Bên cung Không định cấp nghĩa 3.35 ISO/IEC 20000-1 bao gồm tham chiếu yêu cầu cho việc quản lý Tổ chức phần của: tổ chức mà bên tổ chức bên cung a) Các bên cung cấp, cấp dịch vụ tham gia b) Các bên cung cấp (quản lý hợp đồng với bên cung bên cung cấp hợp đồng phụ) cấp dịch vụ để góp phần vào việc thiết kế, chuyển giao, c) Các khách hàng (đóng vai trị phân phối nâng cấp bên cung cấp) nhiều dịch vụ Tất đóng góp cho tổng thể dịch quy trình vụ quản lý bên cung cấp CHÚ THÍCH: Các bên cung dịch vụ: cấp bao gồm bên cung Quản lý dịch vụ bao gồm bên LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê Thuật ngữ ISO/IEC 27000:2009 www.luatminhkhue.vn ISO/IEC 20000-1:2011 cấp dẫn đầu không gồm nhà thầu phụ họ Ghi sử dụng thuật ngữ hai tiêu chuẩn cung cấp/ bên cung cấp (và thơng qua bên cung cấp chính, bên cung cấp hợp đồng phụ) Quản lý mức dịch vụ bao trùm việc quản lý nhóm nội khách hàng, đóng vai trị bên cung cấp TCVN ISO/IEC 27001 sử dụng thuật ngữ "bên cung cấp" lần Báo cáo 2.44 Không định nghĩa ISO/IEC 20000-1, Điều 1.2 Ứng dụng áp dụng sử dụng không giống báo cáo áp dụng Báo cáo tài liệu mô tả TCVN ISO/IEC 27001 mục tiêu kiểm soát (2.11) kiểm soát (2.10) mà liên quan chấp nhận cho ISMS tổ chức (2.33) Đe dọa 2.45 Không định nghĩa Nguyên nhân tiềm ẩn rắc rối không mong đợi, dẫn đến việc nguy hại hệ thống tổ chức Chuyển Không định đổi nghĩa Trong ISO/IEC 20000-1, thuật ngữ "đe dọa" sử dụng lần, định nghĩa 3.12: "Sự cố an ninh thông tin: đơn lẻ chuỗi kiện an ninh thông tin không mong muốn mong đợi mà có khả quan trọng ảnh hưởng đến vận hành kinh doanh đe dọa an ninh thông tin" 3.37 Một liên kết tồn việc chuyển đổi, sử dụng ISO/IEC Các hành động liên quan 20000-1, Điều cách thức trong việc di chuyển dịch vài thay đổi kiểm soát dựa vụ thay đổi tới TCVN ISO/IEC 27001 Các quy từ môi trường sống trình kiểm sốt, miêu tả ISO/IEC 20000-1, Điều 9, liên kết chặt chẽ định nghĩa TCVN ISO/IEC 27001 quản lý việc quản lý thay đổi điều sau: A.10.1.2 Quản lý thay đổi thủ tục vận hành trách nhiệm A.10.2.3 Quản lý thay đổi dịch vụ bên thứ ba Lỗ hổng 2.46 Không định nghĩa Không tương ứng trực tiếp an ninh sử dụng Điểm yếu tài sản (2.3) kiểm sốt (2.10) mà bị khai thác đe dọa (2.45) LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO 9000 Quality management systems - Fundamentals and vocabulary [2] ISO 9004 Quality management systems - Guidelines for performance improvements [3] ISO/IEC TS 15504-8 Information technology - Service management - Part 8: Process assessment mode for service management (đang phát triển) [4] TCVN ISO 19011 : 2003 Hệ thống quản lý chất lượng - Hướng dẫn đánh giá hệ thống quản lý chất lượng, môi trường (ISO 19011 Quality management systems - Guidelines for quality and/or environmental management systems auditing) [5] TCVN 8695-2:2011 Công nghệ thông tin - Quản lý dịch vụ - Phần 2: Quy tắc thực hành (ISO/IEC 20000-2 Information technology - Service management - Part 2: Guidance on the application of service management systems) [6] ISO/IEC 20000-3 Information technology - Service management - Part 3: Guidance on the application of scope definition and applicability for ISO/IEC 20000-1 [7] ISO/IEC 20000-4 Information technology - Service management - Part 4: Process referance model for service management [8] ISO/IEC 20000-5 Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1 [9] ISO/IEC TR 900062 Information technology - Guidelines for the application of ISO 9001:2008 to IT service management and it intergration with ISO/IEC 20000-1:2011 [10] TCVN ISO/IEC 27002 Công nghệ thơng tin - Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin (ISO/IEC 27002 Information technology - Security techniques - Information security management systems - Code of practice for information security control) (đang soát xét) [11] ISO/IEC 27003 Information technology - Security techniques - Information security management systems - Information security management system implementation guidance [12] ISO/IEC 27004 Information technology - Security techniques - Information security management systems - Information security management system measurements [13] ISO/IEC 27005 Information technology - Security techniques - Information security management systems - Information security risk management [14] ISO/IEC 27006 Information technology - Security techniques - Information security management systems - Requirements for bodies providing audiit and certification of information security management systems [15] ISO/IEC 27007 Information technology - Security techniques - Information security management systems - Guidelines for information security management system auditing [16] ISO/IEC TR 27008 Information technology - Security techniques - Information security management systems - Guidelines for auditors on information security controls [17] ISO/IEC 27010 Information technology - Security techniques - Information security management systems - Information security management system for inter-sector and inter-organizational communications [18] ISO/IEC 27014 Information technology - Security techniques - Information security management systems - Governance of information security [19] ISO/IEC 31000 Risk management - Principles and Guidelines on Implementation MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ, thuật ngữ viết tắt định nghĩa Đã xuất LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162 Công ty luật Minh Khuê www.luatminhkhue.vn Tổng quan TCVN ISO/IEC 27001 ISO/IEC 20000-1 Cách tiếp cận cho việc tích hợp triển khai Cân nhắc cho việc tích hợp triển khai Phụ lục A (tham khảo) Tương ứng ISO/IEC 27001:2009 ISO/IEC 20000-1:2011 Phụ lục B (tham khảo) So sánh thuật ngữ ISO/IEC 27000:2009 ISO/IEC 20000-1:2011 Thư mục tài liệu tham khảo LUẬT SƯ TƯ VẤN PHÁP LUẬT 24/7 GỌI 1900 6162