Thông tin tài liệu
BỘ THÔNG TIN VÀ TRUYỀN THÔNG - THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN xxxx:xxxx CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN Information technology – Security techniques – Code of practice for infomation security management HÀ NỘI - 9/2010 MỤC LỤC HIỆN TRẠNG QUẢN LÝ AN TỒN THƠNG TIN Ở VIỆT NAM 1.1 Hiện trạng quản lý an tồn thơng tin Việt Nam .3 1.2 Chủ trương sách nhà nước an tồn thơng tin 1.3 Kết luận GIỚI THIỆU VỀ TÀI LIỆU THAM CHIẾU, TIÊU CHUẨN VIỆN DẪN 2.1 ISO/IEC 27002 — Công nghệ thông tin - Quy tắc thực hành quản lý an tồn thơng tin 2.2 TCVN 7562:2005 ISO/IEC 17799:2000- Công nghệ thông tin - Mã thực hành quản lý an ninh thông tin 2.3 So sánh TCVN 7562:2005 ISO/IEC 17799:2000 ISO/IEC 27002: 2005 DỰ THẢO TIÊU CHUẨN QUỐC GIA VỀ QUY TẮC QUẢN LÝ AN TỒN THƠNG TIN .13 3.1 Lý xây dựng tiêu chuẩn: 13 3.2 Nhu cầu thực tế khả áp dụng: .14 3.3 Mục đích: 14 3.4 Sở xây dựng tiêu chuẩn .14 3.5 Phương pháp xây dựng tiêu chuẩn 14 3.6 Các nội dung dự thảo 14 HIỆN TRẠNG QUẢN LÝ AN TỒN THƠNG TIN Ở VIỆT NAM 1.1 Hiện trạng quản lý an tồn thơng tin Việt Nam - Sự bùng nổ Internet thương mại điện tử bên cạnh việc tạo hội lớn nguy rủi ro an tồn thơng tin, ảnh hưởng trực tiếp đến kinh tế xã hội đại Trong giai đoạn đầu trình phát triển thương mại điện tử Việt Nam, vấn đề an tồn thơng tin đánh giá trở ngại lớn - Hiện trạng an tồn thơng tin Việt Nam cịn yếu, nhận thức tầm quan trọng an tồn thơng tin tổ chức, doanh nghiệp chưa cao đa số không trọng đến lĩnh vực - Kiến thức an tồn thơng tin tổ chức, doanh nghiệp thấp (nhiều nơi không rõ động tội phạm tin học định lượng thiệt hại tài bị cơng) - Việc kiểm sốt an tồn thơng tin chủ yếu lệ thuộc vào giải pháp kỹ thuật mà chưa trọng đến yếu tố người Con người người làm CNTT tổ chức, doanh nghiệp, mà tất người tất phận Phải để tất người họ nhận thức an tồn thơng tin quan trọng nắm vai trị định thành công phát triển tổ chức, doanh nghiệp - Hầu hết tổ chức, doanh nghiệp khơng có quy chế an tồn thơng tin quy trình phản ứng có cố 1.2 Chủ trương sách nhà nước an tồn thơng tin - Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan nhà nước quy định quan nhà nước phải xây dựng nội quy bảo đảm an tồn thơng tin; có cán phụ trách quản lý an tồn thơng tin; áp dụng, hướng dẫn kiểm tra định kỳ việc thực biện pháp bảo đảm cho hệ thống thông tin mạng đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật an tồn thơng tin - Năm 2007, Bộ Bưu Viễn thông (nay Bộ Thông tin Truyền thông) có Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 việc tăng cường đảm bảo an ninh thông tin mạng Internet yêu cầu quan, tổ chức, doanh nghiệp viễn thông, internet tham gia hoạt động mạng Internet phải xây dựng quy trình quy chế đảm bảo an ninh thông tin cho hệ thống thông tin, tham khảo chuẩn quản lý an toàn TCVN 7562, ISO 27001, đảm bảo khả truy vết khôi phục thơng tin trường hợp có cố - Ngày 13/1/2010, Thủ tướng Chính phủ ký Quyết định số 63/QĐ-TTg phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020 Quy hoạch đặt mục tiêu tổng quát đến năm 2020, hệ thống thông tin trọng yếu quốc gia đảm bảo ATTT hệ thống bảo mật chuyên dùng có độ tin cậy cao; hình thành mạng lưới điều phối ứng cứu cố an toàn mạng hạ tầng thông tin quốc gia với tham gia thành phần kinh tế; Nhân lực công nghệ thông tin Việt nam đào tạo ATTT với trình độ tương đương với nước dẫn đầu khu vực ASEAN; nhận thức xã hội ATTT phổ cập ngày nâng cao; 100% cán quản trị hệ thống hệ thống thông tin trọng yếu quốc gia đào tạo cấp chứng quốc gia ATTT Năm 2010, ban hành hệ thống tiêu chuẩn tiêu chí đánh giá ATTT cho hệ thống thông tin, để từ năm 2015 tiêu chuẩn áp dụng rộng rãi tồn hệ thống thơng tin trọng yếu quốc gia Cục An tồn thơng tin quốc gia thành lập để quản lý, điều phối hướng dẫn cho hoạt động đảm bảo ATTT phạm vi nước Đồng thời, thành lập Nhóm ứng cứu cố máy tính (CSIRT) quan đơn vị liên kết CSIRT thành mạng lưới tồn quốc nhằm ứng phó kịp thời xảy cố ATTT 1.3 Kết luận Cùng với việc ứng dụng rộng rãi Internet, đặc biệt Internet băng thông rộng, số vụ xâm phạm an toàn bảo mật Việt Nam ngày tăng, đặt mối quan tâm ngày lớn vấn đề an tồn thơng tin Việt Nam ATTT mắt xích liên kết hai yếu tố: yếu tố công nghệ yếu tố người Tuy nhiên, người lại khâu yếu toàn q trình đảm bảo an tồn thơng tin Việc nhận thức kém, thiếu cẩn thận lơ bảo mật ngun nhân gây làm cho tình trạng an tồn thơng tin ngày nghiêm trọng Hầu hết tổ chức, doanh nghiệp khơng có quy chế an tồn thơng tin quy trình phản ứng có cố Do vậy, cần có sách hệ thống tiêu chuẩn, quy chuẩn kỹ thuật an tồn thơng tin làm cho tổ chức xây dựng quy chế an tồn thơng tin tổ chức để bảo vệ thông tin trước mối đe dọa đảm bảo liên tục hoạt động, giảm thiểu rủi ro, đạt tối đa lợi nhuận đầu tư hội kinh doanh GIỚI THIỆU VỀ TÀI LIỆU THAM CHIẾU, TIÊU CHUẨN VIỆN DẪN Bảng 1: Các tiêu chuẩn hệ thống quản lý an tồn thơng tin giới Việt Nam STT Tiêu chuẩn ISO/IEC Tiêu chuẩn quốc gia ISO/IEC 27000 Information security management systems — Overview and vocabulary ISO/IEC 27001 Information security management Công nghệ thông tin - Hệ thống quản lý systems — Requirements an tồn thơng tin – Các u cầu ISO/IEC 27002 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 Code of practice for information security management TCVN 7562:2005 ISO/IEC 17799:2000 Công nghệ thông tin - Mã thực hành quản lý an ninh thông tin ISO/IEC 27003 Information security management system implementation guidance ISO/IEC 27004 Information security risk management ISO/IEC 27005 Information security risk management management systems ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO 27799 2.1 Information security management in health using ISO/IEC 27002 ISO/IEC 27002 — Công nghệ thông tin - Quy tắc thực hành quản lý an tồn thơng tin Phiên tại: ISO/IEC 27002: 2005 Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 tổ chức ISO/IEC thay thức tiêu chuẩn quốc tế ISO/IEC 17799:2005 năm 2007 đổi tên thành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng với tiêu chuẩn khác quản lý an tồn thơng tin tiêu chuẩn hệ thống quản lý an tồn thơng tin ISO/IEC 27000 Mục tiêu Tiêu chuẩn thiết lập định hướng nguyên tắc chung cho khởi tạo, triển khai, trì cải thiện cơng tác quản lý an tồn thông tin tổ chức Mục tiêu đặt tiêu chuẩn đưa hướng dẫn chung nhằm đạt mục đích chung cơng nhận quản lý an tồn thơng tin Các mục tiêu biện pháp kiểm soát tiêu chuẩn triển khai đáp ứng yêu cầu xác định trình đánh giá rủi ro Tiêu chuẩn đóng vai trị định hướng thực hành việc xây dựng tiêu chuẩn an toàn cho tổ chức thực hành quản lý an toàn hiệu giúp tạo dựng tin cậy hoạt động liên tổ chức Nội dung Sự phát triển công nghệ, dịch vụ thay đổi khác xã hội bộc lộ vấn đề mà tiêu chuẩn ISO/IEC 17799: 2000 chưa đáp ứng Nội dung ISO/IEC 27002: 2005 cập nhật để bổ sung, điều chỉnh số vấn đề so với ISO/IEC 17799: 2000 để đáp ứng yêu cầu thực tiễn Nội dung ISO/IEC 27002: 2005 bao gồm 134 biện pháp cho an tồn thơng tin chia thành 11 nhóm Dựa việc phân tích ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên có nhiều thay đổi so với phiên năm 2000 Nội dung cập nhật làm rõ vấn đề việc bảo đảm an tồn thơng tin thương mại điện tử, dịch vụ đối tác bên cung cấp, quản lý nhân sự, sử dụng mạng không dây… Cấu trúc Về mặt cấu trúc, tiêu chuẩn ISO/IEC 27002: 2005 có số thay đổi phù hợp với thực tế so với tiêu chuẩn ISO/IEC 17799 Tiêu chuẩn gồm 11 điều kiểm sốt an tồn thơng tin với tất 39 danh mục an tồn điều giới thiệu đánh giá xử lý rủi ro Mỗi điều gồm số danh mục an tồn chính: • Chính sách an tồn (1) • Tổ chức thực an tồn thơng tin (2) • Quản lý tài sản (2) • An tồn nguồn nhân lực (3) • An tồn vật lý mơi trường (2) • Quản lý khai thác truyền thơng (10) • Kiểm sốt truy cập (7) • Thu thập, phát triển trì hệ thống thơng tin (6) • Quản lý cố an tồn thơng tin (2) • Quản lý tính liên tục nghiệp vụ (1) • Sự tuân thủ (3) Trong tiêu chuẩn nội dung điều không đề cập đến tầm quan trọng chúng Tùy thuộc vào trường hợp cụ thể, tất điều quan trọng, tổ chức áp dụng tiêu chuẩn cần xác định điều khoản thích hợp, tầm quan trọng chúng áp dụng chúng cho trình nghiệp vụ cụ thể Các danh mục tiêu chuẩn không đặt theo thứ tự ưu tiên (trừ thích) ISO/IEC 27002 có tiêu chuẩn hồn toàn tương đương số quốc gia Bảng 2: Các tiêu chuẩn quốc gia tương đương ISO/IEC 27002 Quốc gia Australia Tiêu chuẩn tương đương AS/NZS ISO/IEC 27002:2006 New Zealand Brazil ISO/IEC NBR 17799/2007 - 27002 Czech Republic ČSN ISO/IEC 27002:2006 Denmark DS484:2005 Estonia EVS-ISO/IEC 17799:2003, dịch phiên năm 2005 Japan JIS Q 27002 Lithuania LST ISO/IEC 17799:2005 Netherlands NEN-ISO/IEC 17799:2002 nl, dịch phiên năm 2005 Poland PN-ISO/IEC 17799:2007 Peru NTP-ISO/IEC 17799:2007 South Africa SANS 17799:2005 Spain UNE 71501 Sweden SS 627799 Turkey TS ISO/IEC 27002 United Kingdom BS ISO/IEC 27002:2005 Uruguay UNIT/ISO 17799:2005 Russia ГОСТ/Р ИСО МЭК 17799-2005 China GB/T 22081-2008 2.2 TCVN 7562:2005 ISO/IEC 17799:2000- Công nghệ thông tin - Mã thực hành quản lý an ninh thông tin Tiêu chuẩn xây dựng dựa tiêu chuẩn quốc tế ISO/IEC 17799:2000 hoàn toàn tương đương với tiêu chuẩn quốc tế Đây phiên cũ ISO/IEC 27002 Tiêu chuẩn đưa khuyến nghị công tác quản lý an ninh thông tin cho người có trách nhiệm cài đặt, thực thi trì an ninh tổ chức họ Tiêu chuẩn nhằm cung cấp sở chung để xây dựng tiêu chuẩn an ninh tổ chức thực hành quản lý an tồn thơng tin cách hiệu tạo tin cậy giao dịch liên tổ chức Cũng ISO/IEC 17799:2000, TCVN 7562:2005 ISO/IEC 17799:2000 đưa 127 biện pháp nhằm đảm bảo an tồn thơng tin phân thành 10 nhóm, bao gồm: • Chính sách an ninh • An ninh tổ chức • Phân loại kiểm sốt tài sản • An ninh cá nhân • An ninh mơi trường vật lý • Quản lý truyền thơng hoạt động • Kiểm sốt truy cập • Phát triển trì hệ thống • Quản lý liên tục kinh doanh • Sự tuân thủ 2.3 So sánh TCVN 7562:2005 ISO/IEC 17799:2000 ISO/IEC 27002: 2005 Phần so sánh tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2000 (ISO/IEC 17799:2000) ISO/IEC 27002: 2005 để thấy cải tiến ISO/IEC 27002: 2005 so với phiên cũ đồng thời đánh giá phù hợp khả đáp ứng yêu cầu thực tiễn TCVN 7562:2005 ISO/IEC 17799:2000 Về nội dung: Nội dung ISO/IEC 27002: 2005 cập nhật, bổ sung, điều chỉnh số vấn đề so với ISO/IEC 17799: 2000 Cụ thể: - Bổ sung, điều chỉnh số thuật ngữ: o Bổ sung 14 thuật ngữ o Thuật ngữ “đánh giá rủi ro” ISO/IEC 27002: 2005 định nghĩa “toàn q trình phân tích rủi ro ước lượng rủi ro”, TCVN 7562 “đánh giá mối đe dọa, ảnh hưởng điểm yếu thông tin phương tiện xử lý thông tin khả xảy ra” o Thuật ngữ “quản lý rủi ro” ISO/IEC 27002: 2005 định nghĩa “các hoạt động phối hợp nhằm điều khiển quản lý tổ chức trước rủi ro xảy ra” với lưu ý “Quản lý rủi ro thường gồm đánh giá rủi ro, xử lý rủi ro, thừa nhận rủi ro thông báo rủi ro” - Bổ sung điều đánh giá xử lý rủi ro, quản lý cố an tồn thơng tin - Nội dung điều có ISO/IEC 17799: 2000 đưa vào ISO/IEC 27002: 2005 có bổ sung, điều chỉnh phù hợp Ví dụ, điều 10quản lý khai thác truyền thơng, có bổ sung nội dung trao đổi thông tin làm việc với tổ chức bên ngoài, nội dung dịch vụ thương mại điện tử Ngồi ra, TCVN 7562:2005 ISO/IEC 17799:2000 có số lỗi dịch thuật chưa xác: - Thuật ngữ “an ninh” “an ninh thông tin” sử dụng tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2000 phải dịch “an tồn” “an tồn thơng tin” theo định nghĩa an tồn thơng tin “Sự trì tính bảo mật, tính tồn vẹn tính sẵn sàng thông tin” - Điều TCVN 7562:2005 ISO/IEC 17799:2000 có tên “an ninh cá nhân” xuất phát từ cụm từ “personnel security” Cụm từ “personnel security” tiêu chuẩn có ý nghĩa việc đảm bảo an tồn thơng tin từ nguồn nhân lực Bảng 3: So sánh TCVN 7562:2005 ISO/IEC 17799:2000 ISO/IEC 27002: 2005 10 TCVN 7562:2005 ISO/IEC 17799:2000 ISO/IEC 17799:2005 Thuật ngữ định nghĩa (Terms and Terms and definitions: 17 thuật ngữ definitions): thuật ngữ Risk assessment & treatment Chính sách an ninh (Security policy) Chính sách an ninh thông tin An ninh tổ chức Security policy Information security policy Organisation of information security (Security organization) Hạ tầng an ninh thông tin Internal Organization An ninh truy cập bên thứ ba External parties Cung ứng bên ngồi Phân loại kiểm sốt tài sản (Asset Asset management classification and control) Trách nhiệm giải trình tài sản Responsibility for Assets Phân loại thông tin Information classification An ninh cá nhân (Personnel security) Human resource security An ninh theo đĩnh nghĩa nguồn công việc Prior to employment Đào tạo người sử dụng During employment Đối phó với cố cố an ninh Termination or change employment An ninh môi trường vật lý Physical and environmental security (Physical and environmental security) Phạm vi an ninh Secure areas An ninh thiết bị Equipment security Kiểm sốt chung Quản lý truyền thơng hoạt động (Communication and operation management) Communications management and operations Trách nhiệm thủ tục hoạt động Operational responsibilities Lập kế hoạch hệ thống công nhận Thirt party service delivery management Bảo vệ chống lại phần mềm cố ý gây hại System planning and acceptance Công việc cai quản Protection agains malicious and mobilde code Quản lý mạng Back-up Trình điều khiển an ninh môi trường truyền thông Network security management procedures and 11 Các trao đổi thông tin phần mềm Media handling Exchange of information Electronic commerce services Monitoring Kiểm soát truy cập (Access control) Access control Yêu cầu kinh doanh kiểm soát truy cập Business requirement for access control Quản lý truy cập người sử dụng User access management Trách nhiệm người sử dụng User responsibilities Kiểm soát truy cập mạng Network access control Kiểm soát truy cập hệ điều hành Operating system access control Kiểm soát truy cập ứng dụng Application and information access control Kiểm tra truy cập sử dụng hệ thống Mobile computing and teleworking Công tác từ xa tính tốn lưu động Phát triển trì hệ thống (System development & maintenance) Information systems acquisition development and maintenance Các yêu cầu an ninh hệ thống Security requirements of information systems An ninh hệ thống ứng dụng Correct processing in applications Các kiểm sốt mật mã hóa Cryptographic controls An ninh tệp hệ thống Security of system files An ninh trình hỗ trợ phát triển Sucurity in development and support process Technical vulnerability management Information security incident management Quản lý liên tục kinh doanh Business continuity management (Business continuity) Các khía cạnh quản lý liên tục kinh doanh Sự tuân thủ Information secrity aspects of business continuity management Compliance (Compliance) Tuân thủ yêu cầu pháp lý Compliance with legal requirements Sốt xét sách an ninh yêu cầu kỹ thuật Compliance with security policies and standard, and technical compliance Sự xem xét kiểm tra hệ thống Information systems audit consideration Cấu trúc 12 Về mặt cấu trúc, tiêu chuẩn ISO/IEC 27002: 2005 có nhiều thay đổi so với phiên cũ ISO/IEC 17799:2000 Cấu trúc danh mục ISO/IEC 27002: 2005: Mỗi danh mục bao gồm: • Mục tiêu kiểm sốt cần đạt được; • Một nhiều biện pháp kiểm sốt áp dụng để đạt mục tiêu kiểm sốt Phần mơ tả biện pháp kiểm sốt cấu trúc sau: • Biện pháp kiểm soát: Đưa biện pháp kiểm soát cụ thể để thỏa mãn mục tiêu kiểm sốt • Hướng dẫn triển khai: Cung cấp nhiều thông tin chi tiết để hỗ trợ triển khai biện pháp kiểm soát phù hợp với mục tiêu kiểm soát Một vài số hướng dẫn khơng phù hợp với trường hợp cần lựa chọn phương thức triển khai biện pháp kiểm soát phù hợp • Thơng tin khác: Cung cấp thơng tin sâu cần phải quan tâm, ví dụ vấn đề pháp lý tham chiếu đến tiêu chuẩn khác Như thấy rằng: o Nội dung TCVN 7562:2005 ISO/IEC 17799:2000 chưa phù hợp với phát triển công nghệ dịch vụ giai đoạn bùng nổ thông tin o ISO/IEC 27002:2005 có nhiều điểm cải tiến cấu trúc nội dung Hơn nữa, phiên đời, nhiều quốc gia sử dụng phiên để thay tiêu chuẩn cũ xây dựng dựa phiên năm 2000 DỰ THẢO TIÊU CHUẨN QUỐC GIA VỀ QUY TẮC QUẢN LÝ AN TỒN THƠNG TIN 3.1 Lý xây dựng tiêu chuẩn: - Xây dựng tiêu chuẩn quy tắc quản lý an tồn thơng tin để hồn chỉnh hệ thống tiêu chuẩn an tồn thơng tin Việt Nam, làm sở để xây dựng sách quản lý an tồn thơng tin tăng cường áp dụng biện pháp an tồn thơng tin Việt Nam - Tiêu chuẩn quốc gia TCVN 7562:2005 ISO/IEC 17799:2000 “Công nghệ thông tin – Mã thực hành quản lý an ninh thông tin” xây dựng chấp thuận nguyên vẹn 13 ISO/IEC 17799:2000 phiên cũ ISO/IEC 27002:2005 nên nội dung chưa cập nhật phù hợp với thực tiễn Phiên ISO/IEC 27002 cập nhật, bổ sung, điều chỉnh số vấn đề so với phiên năm 2000, với nhiều thay đổi nội dung cấu trúc phù hợp với việc áp dụng thực tế Chính cần thiết phải rà soát TCVN 7562:2005 ISO/IEC 17799:2000, xây dựng tiêu chuẩn quốc gia thay dựa tiêu chuẩn quốc tế ISO/IEC 27002:2005 3.2 Nhu cầu thực tế khả áp dụng: Tiêu chuẩn TCVN quy tắc thực hành quản lý an tồn thơng tin cần thiết để khuyến khích quan, tổ chức doanh nghiệp áp dụng nhằm bảo vệ tài sản thông tin họ, đồng thời đồng thời tạo thêm tin tưởng khách hàng đối tác 3.3 Mục đích: Xây dựng, ban hành tiêu chuẩn để khuyến nghị áp dụng, làm sở cho quan nhà nước ban hành quy định quản lý an tồn thơng tin áp dụng Việt Nam 3.4 Sở xây dựng tiêu chuẩn Tiêu chuẩn quốc tế ISO/IEC 27002:2005, tài liệu nhiều quốc gia sử dụng làm tài liệu gốc để xây dựng tiêu chuẩn quốc gia tương đương 3.5 Phương pháp xây dựng tiêu chuẩn - Tham chiếu, chấp nhận áp dụng nguyên vẹn tiêu chuẩn ISO/IEC 27002:2005 - Rà soát 7562:2005 ISO/IEC 17799:2000, kế thừa nội dung thuật ngữ, dịch thuật Tên tiêu chuẩn: CƠNG NGHỆ THƠNG TIN – CÁC KỸ THUẬT AN TỒN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TỒN THƠNG TIN Information technology – Security techniques – Code of practice for infomation security management 3.6 Các nội dung dự thảo 14 Dự thảo tiêu chuẩn xây dựng dựa theo phương pháp chấp thuận nguyên vẹn ISO/IEC 27002:2005 nội dung Tuy nhiên cần điều chỉnh cho phù hợp với quy định hành thể thức trình bày tiêu chuẩn quốc gia Bảng 4: Bảng đối chiếu tiêu chuẩn viện dẫn Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an tồn thơng tin” ISO/IEC 27002:2005 “Information technology — Security techniques — Code of practice for information security management” Phạm vi áp dụng 1: Scope Tiêu chuẩn viện dẫn Thuật ngữ định nghĩa Đánh giá xử lý rủi ro 4: Risk assessment and treatment 4.1 Đánh giá rủi ro an toàn 4.1: Assessment security risks 4.2 Xử lý rủi ro an tồn thơng tin 4.2: Treating security risks Chính sách an tồn 5.1 Chính sách an tồn thơng tin 2: Terms and Definitions Tổ chức đảm bảo an tồn thơng tin 5: security policy 5.1: Information security policy 6: Organization of information security 6.1 Tổ chức nội 6.1: Internal Organization 6.2 Các bên tham gia bên 6.2: External parties Quản lý tài sản : Asset management 7.1 Trách nhiệm tài sản 7.1: Responsibility for Assets 7.2 Phân loại thông tin 7.2: Information classification Đảm bảo an toàn tài nguyên người 8: Human resources security 8.1 Trước tuyển dụng 8.1: prior to employment 8.2 Trong thời gian làm việc 8.2: during employment 8.3 Chấm dứt thay đổi công việc 8.3: termination or change employment Đảm bảo an tồn vật lý mơi trường 9: Physical and environmental 15 Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an tồn thơng tin” ISO/IEC 27002:2005 “Information technology — Security techniques — Code of practice for information security management” security 9.1 Các khu vực an toàn 9.1: Secure areas 9.2 Đảm bảo an toàn trang thiết bị 9.2 Equipment security 10 Quản lý truyền thông điều hành 10: Communications and operations management 10.1 Các trách nhiệm thủ tục điều hành 10.1: operational procedures and responsibilities 10.2 Quản lý chuyển giao dịch vụ bên thứ ba 10.2: thirt party service delivery management 10.3 Chấp nhận lập kế hoạch hệ thống 10.3: System planning and acceptance 10.4 Bảo vệ chống lại mã độc hại mã di động 10.4: Protection agains malicious and mobilde code 10.5 Sao lưu 10.5: back-up 10.6 Quản lý an toàn mạng 10.6: network security management 10.7 Quản lý phương tiện 10.7: Media handling 10.8 Trao đổi thông tin 10.8: Exchange of information 10.9 Các dịch vụ thương mại điện tử 10.9: Electronic commerce services 10.10 Giám sát 10.10: Monitoring 11 Quản lý truy cập 11: Access control 11.1 Yêu cầu nghiệp vụ quản lý truy cập 11.1: Business requirement for access control 11.2 Quản lý truy cập người dùng 11.2: User access management 11.3 Các trách nhiệm người dùng 11.3: User responsibilities 11.4 Quản lý truy cập mạng 11.4: Network access control 11.5 Kiểm soát truy cập hệ thống điều hành 11.5: Operating system access control 16 Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an tồn thơng tin” ISO/IEC 27002:2005 “Information technology — Security techniques — Code of practice for information security management” 11.6 Điều khiển truy cập thông tin ứng dụng 11.6: Application and information access control 11.7 Tính tốn di động làm việc từ xa 12 Tiếp nhận, phát triển trì hệ thống thơng tin 11.7: Mobile computing and teleworking 12: Information systems acquisition, development and maintenance 12.1 Yêu cầu đảm bảo an toàn cho hệ 12.1: Security requirements of thống thông tin information systems 12.2 Xử lý ứng dụng 12.2: Correct processing in applications 12.3 Quản lý mã hóa 12.3: Cryptographic controls 12.4 An toàn tệp tin hệ thống 12.4: Security of system files 12.5 Bảo đảm an toàn quy trình 12.5: Sucurity in development and hỗ trợ phát triển support process 12.6 Quản lý điểm yếu kỹ thuật 12.6: Technical vulnerability management 13 Quản lý cố an tồn thơng tin 13: Information security incident management 13.1 Báo cáo kiện an toàn thông tin nhược điểm 13.1: Reporting information secrity events and weaknesses 13.2 Quản lý cố an tồn thơng tin cải tiến 13.2: management of information secrity incidents and improvements 14 Quản lý liên tục hoạt động nghiệp vụ 14: Business continuity management 14.1 Các khía cạnh an tồn thơng tin quản lý liên tục hoạt động nghiệp vụ 14.1: information secrity aspects of business continuity management 15 Sự tuân thủ 15: Compliance 15.1 Sự tuân thủ quy định pháp lý 15.1: Compliance with legal requirements 17 Dự thảo TCVN “Cơng nghệ thơng tin – Các kỹ thuật an tồn – Quy tắc thực hành quản lý an tồn thơng tin” ISO/IEC 27002:2005 “Information technology — Security techniques — Code of practice for information security management” 15.2 Sự tuân thủ sách tiêu chuẩn an tồn, tương thích kỹ thuật 15.2: Compliance with security policies and standard, and technical compliance 15.3 Xem xét việc kiểm toán hệ thống thông tin 15.3: Information systems audit consideration Thư mục tài liệu tham khảo Bibliography 18
Ngày đăng: 01/03/2022, 13:31
Xem thêm:
