BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỤC AN TỒN THƠNG TIN -  - THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN ỨNG DỤNG TIÊU CHUẨN ISO/IEC 27001 THEO LĨNH VỰC CỤ THỂ – CÁC YÊU CẦU ” (Information technology – Security techniques – Spector-specific application of ISO/IEC 27001 – Requirements) Hà Nội, 2020 MỤC LỤC Tên gọi và ký hiệu tiêu chuẩn .3 Đặt vấn đề .3 2.1 Tình hình tiêu chuẩn hóa về quản lý an toàn thông tin (Bộ tiêu chuẩn ISO/IEC 27xxx) 2.2 Vai trò và mối quan hệ ISO/IEC 27009:2016 họ tiêu chuẩn ISO/IEC 27xxx 16 Lý xây dựng tiêu chuẩn 20 3.1 Mục tiêu .20 3.2 Lý 20 Nhu cầu thực tế và khả áp dụng .22 Sở xây dựng tiêu chuẩn 23 Nội dung dự thảo tiêu chuẩn kỹ thuật .24 6.1 Giới thiệu ISO/IEC 27009:2016 24 6.2 Cấu trúc và nội dung Dự thảo tiêu chuẩn 24 6.3 Bảng đối chiếu tiêu chuẩn viện dẫn .25 TÀI LIỆU KHAM KHẢO 27 Tên gọi và ký hiệu tiêu chuẩn Tên tiêu chuẩn quốc gia: “Công nghệ thông tin - Các kỹ thuật an toàn – Ứng dụng tiêu chuẩn ISO/IEC 27001 theo lĩnh vực cụ thể – Các yêu cầu” Kí hiệu: TCVN XXXX:2020 Mục tiêu việc xây dựng tiêu chuẩn: Tiêu chuẩn xác định yêu cầu việc sử dụng ISO/IEC 27001:2013 lĩnh vực cụ thể (ngành, miền ứng dụng khu vực thị trường) Tiêu chuẩn hướng dẫn cách thức bổ sung, hiệu chỉnh cho yêu cầu ISO/IEC 27001:2013 cách thức thêm vào các biện pháp kiểm soát tập biện pháp kiểm sốt bổ sung ngồi Phụ lục A ISO/IEC 27001: 2013 Hoàn thiện Bộ tiêu chuẩn quốc gia an tồn thơng tin 27xxx Đặt vấn đề 2.1Tình hình tiêu chuẩn hóa quản lý an toàn thông tin (Bộ tiêu chuẩn ISO/IEC 27xxx) 2.1.1 Tình hình chuẩn hóa về an toàn thông tin giới Việc triển khai áp dụng Hệ thống Quản lý An tồn Thơng tin (ISMS: Information Security Management System) theo nguyên tắc tiêu chuẩn quốc tế ISO/IEC 27xxx biết đến biện pháp phòng ngừa cố ATTT hữu hiệu Có thể nói rằng, ISO/IEC 27000 phần hệ thông quản lý chung tổ chức, thực dựa nguyên tắc tiếp cận rủi ro hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, sốt xét, trì cải tiến đảm bảo an tồn thơng tin tổ chức Bộ tiêu chuẩn ISO/IEC 27xxx áp dụng cho tổ chức với quy mơ loại hình khác Tất tổ chức khuyến khích đánh giá rủi ro an tồn thơng tin tổ chức, sau triển khai biện pháp kiểm sốt an tồn thơng tin phù hợp theo nhu cầu họ dựa hướng dẫn gợi ý liên quan Theo cập nhật năm 2019, Bộ tiêu chuẩn ISO/IEC 27xxx hệ thống quản lý an tồn thơng tin đã có 70 tiêu chuẩn, ¾ số tiêu chuẩn đã ban hành số khác xây dựng Cụ thể bảng 01 đây: Bảng 1: Các tiêu chuẩn hệ thống quản lý an toàn thông tin STT Ký hiệu tiêu chuẩn ISO/IEC Tên tiêu chuẩn ISO/IEC 27000:2018 Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an tồn thơng tin – Tổng quan từ vựng ISO/IEC 27001:2013 Công nghệ thông tin – Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin — Các yêu cầu ISO/IEC 27002:2013 Công nghệ thơng tin – Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin ISO/IEC 27003:2017 Công nghệ thông tin – Các kỹ thuật an toàn Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin ISO/IEC 27004:2016 Cơng nghệ thơng tin – Các ký thuật an toàn - Quản lý an tồn thơng tin – Đo lường đánh giá ISO/IEC 27005:2018 Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý rủi ro an tồn thơng tin ISO/IEC 27006:2015 Công nghệ thông tin – Các kỹ thuật an toàn - Các yêu cầu tổ chức đánh giá cấp chứng nhận hệ thống quản lý an tồn thơng tin ISO/IEC 27007:2017 Cơng nghệ thơng tin – Các kỹ thuật an tồn Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin ISO/IEC TR 27008:2019 Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn đánh giá viên đánh giá biện pháp kiểm soát hệ thống quản lý an tồn thơng tin 10 ISO/IEC 27009:2016 Công nghệ thông tin – Các kỹ thuật an toàn – Ứng dụng ISO/IEC 27001 cho ngành cụ thể - Các yêu cầu 11 ISO/IEC 27010:2015 Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin cho truyền thơng liên ngành liên tổ chức 12 ISO/IEC 27011:2016 Công nghệ thông tin – Các kỹ thuật an toànHướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thơng dựa ISO/IEC 27002 13 ISO/IEC 27013:2015 Công nghệ thông tin – Các kỹ thuật an toànHướng dẫn triển khai tích hợp ISO/IEC 27001 ISO/IEC 20000-1 14 ISO/IEC 27014:2013 Cơng nghệ thơng tin – Các kỹ thuật an tồn – Quản trị an tồn thơng tin 15 ISO/IEC TR 27016:2014 Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Tổ chức kinh tế ISO/IEC 27017:2015 Công nghệ thông tin – Các kỹ thuật an toàn — Quy tắc thực hành biện pháp kiểm soát ATTT dựa ISO/IEC 27002 dịch vụ đám mây ISO/IEC 27018:2019 Công nghệ thơng tin – Các kỹ thuật an tồn — Quy tắc thực hành bảo vệ thông tin định danh cá nhân (PII) đám mây công cộng hoạt động có vai trị vi xử lý PII 18 ISO/IEC TR 27019:2017 Công nghệ thông tin – Các kỹ thuật an toàn — Hướng dẫn quản lý ATTT dựa ISO/IEC 27002 hệ thống kiểm sốt xử lý dành cho cơng nghiệp lượng 19 ISO/IEC 27021:2017 Công nghệ thông tin – Các kỹ thuật an toàn — Các yêu cầu lực chun gia quản lý an tồn thơng tin 20 ISO/IEC 27022 (dự thảo) Quy trình ISMS 21 ISO/IEC 27030 (dự thảo) Hướng dẫn an toàn quyền riêng tư IoT 16 17 22 ISO/IEC 27031:2011 Công nghệ thơng tin – Các kỹ thuật an tồn Hướng dẫn sẵn sàng ICT để đạt liên tục nghiệp vụ 23 ISO/IEC 27032:2012 Công nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn an tồn khơng gian mạng 24 ISO/IEC 27033- Tổng quan khái niệm an toàn mạng 1:2015 25 ISO/IEC 27033- Hướng dẫn thiết kế triển khai an toàn mạng 2:2012 26 ISO/IEC 27033- Các kịch kết nối mạng tham chiếu – Nguy cơ, 3:2010 kỹ thuật thiết kế vấn đề kiểm soát 27 ISO/IEC 27033- An tồn truyền thơng mạng sử dụng cổng 4:2014 an tồn 28 ISO/IEC 27033- An tồn truyền thơng mạng sử dụng mạng 5:2013 riêng ảo 29 ISO/IEC 27033- An tồn truy cập mạng IP khơng dây 6:2016 30 ISO/IEC 27034- An toàn ứng dụng - Tổng quan khái niệm 1:2011 31 ISO/IEC 27034- Khuôn dạng chuẩn tổ chức (FDIS) 2:2015 32 ISO/IEC 3:2018 33 ISO/IEC 27034-4 Cơng nhận an tồn ứng dụng (dự thảo) 34 ISO/IEC 27034- Các giao thức cấu trúc liệu kiểm sốt an tồn 5:2017 ứng dụng 35 ISO/IEC 27034- Các giao thức cấu trúc liệu kiểm soát an toan 5-1:2018 ứng dụng, lược đồ XML 36 37 27034- Quy trình quản lý an tồn ứng dụng ISO/IEC 27034-6: Các tình 2016 ISO/IEC 27034- Khung dự đốn đảm bảo an tồn ứng dụng 7:2018 38 ISO/IEC 27035- Quy tắc quản lý cố an toàn thông tin 1:2016 39 ISO/IEC 270352:2016 40 ISO/IEC 27035-3 Hướng dẫn cho hoạt động ứng cứu cố ICT (dự thảo) (công nghệ thông tin truyền thông – Dự thảo 41 ISO/IEC 27036-1: An tồn thơng tin cho mối quan hệ cung ứng - Tổng 2014 quan khái niệm 42 ISO/IEC 27036-2: Yêu cầu chung 2014 Hướng dẫn lập kế hoạch chuẩn bị ứng cứu cố 43 ISO/IEC 270363:2013 Hướng dẫn an toàn chuỗi cung ứng ICT 44 ISO/IEC 27036– Hướng dẫn an tồn thơng tin cho dịch vụ đám mây 4:2016 45 ISO/IEC 27037:2012 Hướng dẫn xác định, thu thập, chép bảo quản chứng số 46 ISO/IEC 27038:2014 Công nghệ thông tin – Các kỹ thuật an tồn – Cơng nghệ thơng tin - Kỹ thuật an tồn - Chỉ dẫn kỹ thuật biên soạn kỹ thuật số 47 ISO/IEC 27039:2015 Cơng nghệ thơng tin – Các kỹ thuật an tồn – Lựa chọn, triển khai vận hành hệ thống phát ngăn chặn xâm nhập (IDPS) 48 ISO/IEC 27040:2015 Công nghệ thông tin – Các kỹ thuật an tồn – An tồn lưu trữ 49 ISO/IEC 27041:2015 Cơng nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn đảm bảo phù hợp đầy đủ theo phương pháp điều tra cố 50 ISO/IEC 27042:2015 Cơng nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn phân tích làm sáng tỏ chứng số 51 ISO/IEC 27043:2015 Công nghệ thông tin – Các kỹ thuật an tồn – Quy trình ngun tắc điều tra số 52 ISO/IEC 27045 (dự thảo) Tính riêng tư an tồn liệu lớn 53 ISO/IEC 27050 -1:2016 Công nghệ thông tin – Các kỹ thuật an toàn – Phát điện tử – Tổng quan khái niệm 54 ISO/IEC 27050 -2:2018 Công nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn quản trị quản lý phát điện tử 55 ISO/IEC 270503 : 2017 Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành cho phát điện tử 56 ISO/IEC 27050-4 Tính sẵn sàng ICT cho phát điện tử (bản dự thảo) 57 ISO/IEC 27070 (bản dự thảo) Yêu cầu an toàn để thiết lập gốc (nguồn) ảo hóa 58 ISO/IEC 27071 (bản dự thảo) Kết nối tin cậy thiết bị dịch vụ (nền tảng đám mây) 59 ISO/IEC 27099 (bản dự thảo) Hạ tầng khóa cơng khai – khung sách thực hành 60 ISO/IEC 27100 (bản dự thảo) Không gian mạng – Tổng quan khái niệm 61 ISO/IEC 27101 (bản dự thảo) Hướng dẫn phát triển khung an tồn khơng gian mạng 62 ISO/IEC 27102: 2019 Quản lý an tồn thơng tin – Hướng bảo hiểm không gian mạng 63 ISO/IEC TR 27103: 2018 64 ISO/IEC 27550 (bản dự thảo) Kỹ thuật riêng tư 65 ISO/IEC 27551 (bản dự thảo) Các yêu cầu để xác thực thực thể khơng liên kết dựa thuộc tính 66 ISO/IEC 27553 (bản dự thảo) Yêu cầu an toàn cho xác thực sinh trắc học thiết bị di động 67 ISO/IEC 27554 (bản dự thảo) Áp dụng ISO 31000 để đánh giá rủi ro liên quan đến quản lý định danh Không gian mạng tiêu chuẩn IEC ISO 68 ISO/IEC 27555 (bản dự thảo) Thiết lập khái niệm xóa PII tổ chức 69 ISO/IEC 27556 (bản dự thảo) Khung cho người dùng để xử lý PII dựa tùy chọn riêng tư 70 ISO/IEC 27570 (bản dự thảo) Hướng dẫn bảo mật cho thành phố thông minh 71 ISO/IEC 27701:2019 Mở rộng ISO/IEC 27001 ISO/IEC 27002 để quản lý tính riêng tư- Hướng dẫn yêu cầu 72 ISO 27799:2008 Thơng tin sức khỏe - Quản lý an tồn thơng tin lĩnh vực y tế áp dung ISO/IEC 27002 Như với 72 tiêu chuẩn thuộc họ tiêu chuẩn ISO/IEC 27xxx đã, tiếp tục xây dựng (bao gồm chuẩn đã công bố xây dựng dự thảo) thấy chuẩn họ 27xxx ngày tổ chức quan tâm lĩnh vực an tồn, an ninh thơng tin Trong năm 2019, đã cập nhật, bổ sung, ban hành thêm chuẩn cụ thể: Bổ sung, cập nhật nội dung cho 02 tiêu chuẩn: - ISO/IEC 27008: Hướng dẫn chun gia đánh giá kiểm sốt hệ thống an tồn thông tin (bổ sung thêm số nội dung so với phiên năm 2011 cách thức đánh giá phần hệ thống quản lý an toàn thông tin) - ISO/IEC 27018: Quy tắc thực hành để kiểm sốt, bảo vệ thơng tin định danh cá nhân xử lý dịch vụ điện toán đám mây (bổ sung thêm phần tổng quan phụ lục so với phiên năm 2014) Ban hành 02 tiêu ch̉n: - ISO/IEC 27102: Quản lý an tồn thơng tin- Hướng dẫn bảo hiểm không gian mạng; tư vấn việc mua bảo hiểm để phục hồi số chi phí phát sinh từ cố mạng - ISO/IEC 27701: Mở rộng ISO/IEC 27001 ISO/IEC 27002 để quản lý tính riêng tư - Hướng dẫn yêu cầu; tập trung giải thích tiện ích mở rộng cho ISMS theo 27k để quản lý tính riêng tư Tính đến năm 2019 cịn 17 dự thảo chuẩn tiếp tục hoàn thiện chờ công bố Trong số 17 dự thảo có nội dung cho chuẩn về: thành phố thơng minh (27570), dự thảo an tồn không gian mạng (27100 - Tổng quan khái niệm, 27101- Hướng dẫn khung phát triển an tồn khơng gian mạng) tiêu chuẩn định danh cá nhân, tảng đám mây (cloud) liệu lớn (bigdata)… 2.1.2 Tình hình chuẩn hóa về an toàn thông tin Việt Nam Hiện Việt Nam đã có nhiều quan tổ chức thực áp dụng tiêu chuẩn an tồn thơng tin (bộ tiêu chuẩn quản lý an tồn thơng tin ISO/IEC 27000, tiêu chuẩn đánh giá an tồn thơng tin TCVN 8709:2011 (ISO/IEC 15408)) để xây dựng quy chế đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin Thời gian gần Bộ Thông tin Truyền thơng đã có nhiều biện pháp nhằm đẩy mạnh hoạt động nghiên cứu xây dựng ban hành tiêu chuẩn an tồn thơng tin dự án xây dựng 31 tiêu chuẩn an tồn thơng tin dạng đề tài nghiên cứu khoa học năm 2014, hay năm giao cho số đơn vị Bộ thực nghiên cứu xây dựng tiêu chuẩn như:, Cục An tồn thơng tin, Học viện Cơng nghệ bưu viễn thơng, Viện Khoa học kỹ thuật Bưu điện… Trong năm 2017 2018 Bộ Thông tin Truyền thông giao số nhiệm vụ cho đơn vị thực xây dựng tiêu chuẩn kỹ thuật an tồn thơng tin dự án “Nâng cao suất chất lượng sản phẩm hàng hóa nghành Thơng tin Truyền thơng” Bên cạnh Luật an tồn thơng tin mạng có hiệu lực năm 2015 quy định, định hướng tiêu chuẩn hóa an tồn thơng tin (thực quản lý an tồn thơng tin theo cấp độ, áp dụng biện pháp quản lý kỹ thuật) Tính đến thời điểm Danh mục chuẩn an toàn thông tin đã xây dựng công bố 22 chuẩn Bộ 27xxx; 01 chuẩn tiêu chuẩn cấp độ; 03 chuẩn tiêu chí chung; 03 chuẩn chống chối bỏ; 02 chuẩn cho DNSSEC; 03 chuẩn lĩnh vực đánh giá ATTT; 01 chuẩn cho biện pháp quản lý dịch vụ an toàn 03 chuẩn định danh tính riêng tư 10 10 Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn đảm bảo sẵn sàng công nghệ thông tin truyền thơng cho tính liên tục hoạt động Cơng nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn an tồn khơng gian mạng Cơng nghệ thông tin – Kỹ thuật an ninh – An ninh mạng Phần 1: Tổng quan khái niệm Công nghệ thơng tin – Các kỹ thuật an tồn- An tồn mạng - Phần 2: Hướng dẫn thiết kế triển khai an tồn mạng Cơng nghệ thơng tin – Kỹ thuật an toàn – An toàn mạng – Phần 3: Các kịch kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế vấn đề kiểm sốt Cơng nghệ thơng tin – Các kỹ thuật an tồn – Quản lý cố an tồn thơng tin Cơng nghệ thơng tin – Các kỹ thuật an tồn – Chọn lựa, triển khai vận hành hệ thống phát xâm nhập ISO/IEC 27031:2011 TCVN ISO/IEC 27031:2017 ISO/IEC TCVN 27032:2012 11780:2017 ISO/IEC 270331:2009 TCVN 98011:2013 ISO/IEC 270332:2012 TCVN 98012:2015 ISO/IEC 270333:2010 TCVN 98013:2014 ISO/IEC 27035:2011 TCVN 11239:2015 ISO/IEC 27039:2015 Đã hủy có Phiên Bảng Chuẩn cấp độ STT Tên tiêu chuẩn Tài liệu tham khảo 13 Đang hoàn thiện Đã công bố Công nghệ thông tin – NIST SP 800Các kỹ thuật an toàn - 53 Yêu cầu an tồn hệ thống thơng tin theo cấp độ TCVN 11930:2017 Bảng Danh mục chuẩn tiêu chí chung STT Tên tiêu chuẩn Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn CNTT - Phần 1: Giới thiệu mơ hình tổng qt Cơng nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức an tồn Cơng nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn CNTT - Phần 3: Các thành phần đảm bảo an toàn Tài liệu tham khảo ISO/IEC 15408-1:2009 Đã công bố ISO/IEC 15408-2:2008 TCVN 87092:2011 ISO/IEC 15408-3:2008 TCVN 87093:2011 TCVN 87091:2011 Bảng 05 Chuẩn yêu cầu an toàn một số loại sản phẩm IT STT Tên tiêu chuẩn TCVN yêu cầu kỹ thuật an tồn cho trình duyệt web Tài liệu tham Đã cơng bố khảo Extended TCVN Package for 12637:2019 Web Browsers v2.0 Bảng Chuẩn An toàn thông tin khác STT I Tài liệu tham khảo Tên tiêu chuẩn Tiêu chuẩn mật mã 14 Đã công bố Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 1: Tổng quan Cơng nghệ thơng tin - Các kỹ thuật an tồn - Chống chối bỏ - Phần 2: Các chế sử dụng kỹ thuật đối xứng Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 3: Các chế sử dụng kỹ thuật bất đối xứng Các yêu cầu bảo mật DNS (DNSSEC) An toàn hệ thống bảo mật DNS (DNSSEC) - Thay đổi giao thức ISO/IEC 13888-1:2009 ISO/IEC 13888-2:2009 ISO/IEC 13888-3:2009 TCVN 11393-1:2016 TCVN 11393-2:2016 TCVN 11393-3:2016 TCVN 12044:2017 TCVN 11818:2r017 II Tiêu chuẩn lĩnh vực đánh giá an toàn thông tin Công nghệ thông tin – Các kỹ thuật an toàn – Đánh giá an toàn cho hệ thống vận hành Công nghệ thông tin – Các kỹ thuật an toàn – Khung cho đảm bảo an tồn cơng nghệ thơng tin – Phần 1: Giới thiệu khái niệm Công nghệ thông tin – Các kỹ thuật an toàn – Khung cho đảm bảo an toàn cơng nghệ thơng tin – Phần 2: Phân tích III IV ISO/IEC TR TCVN 19791:2010 12210:2018 ISO/IEC TR TCVN 1177815443-1:2012 1:2017 ISO/IEC TR TCVN 1177815443-2:2012 2:2017 Tiêu chuẩn biện pháp quản lý và dịch vụ an toàn Khuôn dạng liệu trao đổi mô tả RFC 5070:2007 cố an toàn mạng RFC 6684:2012 TCVN 12043:2017 Tiêu chuẩn quản lý định danh và tính riêng tư Công nghệ thông tin - Các kỹ thuật ISO/IEC an toàn - Đánh giá an toàn sinh trắc 19792:2009 15 TCVN 11385:2016 học Công nghệ thông tin – Các kỹ thuật ISO/IEC TCVN an toàn – Ngữ cảnh xác thực cho 24761:2009 12042:2017 sinh trắc học Công nghệ thông tin – Các kỹ thuật ISO/IEC TR TCVN an tồn – Mật mã hóa xác thực 19772:2009 1297:2018 2.2Vai trò và mối quan hệ ISO/IEC 27009:2016 họ tiêu chuẩn ISO/IEC 27xxx 2.2.1 Vai trò ISO/IEC 27009 họ tiêu chuẩn 27xxx Về tiêu chuẩn ISO/IEC 27xxx chia thành nhóm sau hình đây: Hình Vai trò ISO/IEC họ tiêu chuẩn 27xxx Nhóm 1: Tiêu chuẩn tổng quan từ vựng: ISO/IEC 27000 Nhóm 2: Các tiêu chuẩn yêu cầu: ISO/IEC 27001; ISO/IEC 27006; ISO/IEC 27009 16 Nhóm 3: Các tiêu chuẩn đưa hướng dẫn hỗ trợ hệ thống quản lý an tồn thơng tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008, ISO/IEC 27013, ISO/IEC 27014, ISO/IEC 27016 ISO/IEC 27021 Nhóm 4: Các tiêu chuẩn đưa hướng dẫn cho lĩnh vực cụ thể: ISO/IEC 27009 ISO/IEC 27010; ISO/IEC 27011; ISO/IEC 27017; ISO/IEC 27018, ISO/IEC 27019, ISO/IEC 27099 Nhóm 5: Các tiêu chuẩn hướng dẫn kiểm soát cụ thể: ISO/IEC 2703x, 2704x 2705x Như thấy tiêu chuẩn ISO/IEC 27009 nằm nhóm số chuẩn đưa yêu cầu việc áp dụng ISO/IEC 27001 cho ngành/lĩnh vực cụ thể Theo chuẩn hướng dẫn cho lĩnh vực cụ thể (trong nhóm 04) tuân thủ yêu cầu chung 27009, cụ thể cách trình bày tuân theo mẫu quy định phụ A 27009 liên quan đến yêu cầu tiêu chuẩn ISO/IEC 27001 hướng dẫn tiêu chuẩn ISO/IEC 27002 2.2.2 Mối quan hệ ISO 27009 và tiêu chuẩn họ 27xxx Tại mục 2.2.1 nhận thấy vai trò ISO/IEC 27009:2016 tiêu chuẩn đưa yêu cầu chung cho lĩnh vực cụ thể áp dụng ISO/IEC 27001 Theo nhóm tiêu chuẩn theo lĩnh vực cụ thể đã xây dựng tổ chức quốc tế ban hành Hình thể mối quan hệ tiêu chuẩn yêu cầu chung hướng dẫn việc áp dụng ISO27001 cho lĩnh vực cụ thể: 17 ISO/IEC 27009 Hướng dẫn áp dụng ISO 27001cho lĩnh vực cụ thể ISO/IEC 27010 Lĩnh vực liên ngành, liên tổ chức ISO/IEC 27011 Lĩnh vực viễn thông ISO/IEC 27017 Dịch vụ tảng đám mây ISO/IEC 27018 Định danh thông tin cá nhân ISO/IEC 27799 Lĩnh vực y tế ISO/IEC 27019 Công nghiệp lượng Hình Quan hệ ISO/IEC 27009 với tiêu chuẩn hướng dẫn lĩnh vực cụ thể - ISO/IEC 27010, Quản lý an tồn thơng tin cho truyền thơng liên ngành liên tổ chức - ISO/IEC 27011, Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thơng dựa ISO/IEC 27002 - ISO/IEC 27017, Quy tắc thực hành kiểm sốt an tồn thơng tin dựa ISO/IEC 27002 cho dịch vụ đám mây; - ISO/IEC 27018, Quy tắc thực hành để bảo vệ thông tin định danh cá nhân (PII) đám mây công cộng có chức xử lý PII - ISO/IEC 27019, Hướng dẫn quản lý ATTT dựa ISO/IEC 27002 hệ thống kiểm sốt, xử lý dành cho cơng nghiệp lượng - ISO/IEC 27799, Quản lý an toàn thông tin y tế áp dụng ISO/IEC 27002 Các tiêu chuẩn cụ thể theo lĩnh vực phải phù hợp với yêu cầu hệ thống quản lý an tồn thơng tin Việc xây dựng tiêu chuẩn cho lĩnh vực cụ thể áp dụng ISO/IEC 27001 xây dựng dựa yêu cầu cách bổ sung, hiệu chỉnh giải thích yêu cầu ISO/IEC 27001 cách bổ sung sửa đổi hướng dẫn ISO/IEC 27002 để sử dụng theo lĩnh vực cụ thể Cách thức xây dựng chuẩn lĩnh vực cụ thể tuân thủ theo cấu 18 trúc đã quy định chung theo PHỤ LỤC tiêu chuẩn yêu cầu chung ISO/IEC 27009 Việc mở rộng yêu cầu ISO 27001 biện pháp kiểm soát ISO 27002 lĩnh vực cụ thể tuân thủ theo hướng: Các yêu cầu bổ sung, hiệu chỉnh giải thích ISO/IEC 27001: Các yêu cầu ISO/IEC 27001 Các yêu cầu bổ sung/hiệu chỉnh/giải thích Các yêu cầu theo lĩnh vực cụ thể Hình Cách thức xây dựng yêu cầu theo lĩnh vực cụ thể 19 Các hướng dẫn bổ sung sửa đổi theo ISO/IEC 27002 Hướng dẫn ISO/IEC 27002 Hướng dẫn bổ sung/sửa đổi Hướng dẫn theo lĩnh vực cụ thể Hình Cách thức xây dựng hướng dẫn cho lĩnh vực cụ thể Như lĩnh vực cụ thể xác định yêu cầu bổ sung, giải thích hiệu chỉnh ISO 27001 hướng dẫn bổ sung ISO 27002 để hoàn thiện yêu cầu hướng dẫn cho lĩnh vực cụ thể Lý xây dựng tiêu chuẩn 3.1 Mục tiêu Tiêu chuẩn xác định yêu cầu việc sử dụng ISO/IEC 27001:2013 lĩnh vực cụ thể (ngành, miền ứng dụng khu vực thị trường) Tiêu chuẩn hướng dẫn cách thức bổ sung, hiệu chỉnh cho yêu cầu ISO/IEC 27001:2013 cách thức thêm vào các biện pháp kiểm soát tập biện pháp kiểm sốt bổ sung ngồi Phụ lục A ISO/IEC 27001: 2013 Tiêu chuẩn đảm bảo yêu cầu bổ sung hiệu chỉnh không mâu thuẫn với yêu cầu ISO/IEC 27001:2013 Tiêu chuẩn áp dụng cho việc xây dựng tiêu chuẩn theo lĩnh vực cụ thể liên quan đến ISO/IEC 27001:2013 3.2 Lý Tại Việt Nam vấn đề an toàn thông tin diễn phức tạp, tiềm ẩn nhiều nguy an tồn thơng tin quốc gia trật tự an toàn xã hội Cụ thể thời gian qua có nhiều cơng diện rộng với quy mơ lớn có chủ đích đã xảy ra, điển hình năm 2018 thiệt hại virut máy tính gây người dùng Việt Nam 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều 21% so với mức thiệt hại năm 2017 (Đây kết đưa từ chương trình 20 đánh giá an ninh mạng Tập đồn cơng nghệ Bkav thực tháng 12/2018), 1,6 triệu lượt máy tính Việt Nam bị liệu năm 2018 hai dòng mã độc phổ biến Việt Nam khiến người dùng bị liệu dòng mã độc mã hóa tống tiền ransomware dịng virus xóa liệu USB Chỉ riêng năm số lượng lỗ hổng an ninh phần mềm, ứng dụng công bố tăng đột biến với 15.700 lỗ hổng, gấp khoảng 2,5 lần năm trước Như thấy nhận thức an tồn thơng tin nước ta đã phát triển nhiên chưa kịp so với phương thức hậu công mạng đã xảy Qua thực tiễn triển khai Việt Nam kinh nghiệm số công ty tư vấn tiêu chuẩn ISO/IEC 27xxx cho thấy tiêu chuẩn có tính chất tồn diện, bao quát khía cạnh: sách quản lý, quy trình quản lý, đưa biện pháp quản lý an toàn, hướng dẫn khác đo lường hiệu năng, yêu cầu kiểm toán, biện pháp bảo vệ… đồng thời tiêu chuẩn tổ chức ISO/IEC định kỳ cập nhật, bổ sung, hoàn chỉnh theo kịp với vấn đề phát triển công nghệ, mạng lưới Tuy nhiên việc áp dụng tiêu chuẩn thực tế gặp nhiều khó khăn, đặc biệt chưa có quy định cụ thể việc lựa chọn biện pháp quản lý; tiêu chuẩn hướng dẫn biện pháp bảo vệ cịn mang tính phương pháp luận chưa cụ thể Do việc nghiên cứu xây dựng tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – áp dụng tiêu chuẩn ISO/IEC 27001 lĩnh vực cụ thể – Các yêu cầu bước đầu xác định yêu cầu chung việc sử dụng tiêu chuẩn ISO/IEC 27001 lĩnh vực cụ thể có từ có chuẩn lĩnh vực cụ thể như: lĩnh vực y tế, viễn thông, định danh thông tin cá nhân- PII dịch vụ đám mây… 21 Nhu cầu thực tế và khả áp dụng 4.1 Nhu cầu thực tế Tiêu chuẩn này: Xác định yêu cầu việc sử dụng ISO/IEC 27001:2013 lĩnh vực cụ thể; Hướng dẫn cách thức bổ sung, hiệu chỉnh cho yêu cầu ISO/IEC 27001:2013 cách thức thêm vào các biện pháp kiểm soát tập biện pháp kiểm sốt bổ sung ngồi Phụ lục A ISO/IEC 27001: 2013 Đây tiêu chuẩn yêu cầu chung theo đã có chuẩn hướng dẫn cho lĩnh vực cụ thể như: ISO/IEC 27010 (cho liên ngành, liên tổ chức), ISO/IEC 27011(cho tổ chức viễn thông dựa ISO/IEC 27002), ISO/IEC 27017 (cho dịch vụ đám mây dựa ISO/IEC 27002), ISO/IEC 27018 (bảo vệ thông tin định danh cá nhân (PII) đám mây), ISO/IEC 27019 (trong công nghiệp lượng áp dụng 27002) ISO/IEC 27799 (trong y tế áp dụng ISO/IEC 27002) Như yêu cầu chung để quản lý hệ thống an tồn thơng tin có ISO 27001 hướng dẫn có 27002 ngành/lĩnh vực có đặc thù riêng cần có để đưa yêu cầu, hướng dẫn cho ngành/lĩnh vực 4.2 Phạm vi và khả áp dụng Kết nghiên cứu dự thảo TCVN cung cấp, hỗ trợ quan tổ chức lĩnh vực cụ thể (y tế, công nghiệp ) xác định yêu cầu áp dụng tiêu chuẩn ISO/IEC 27001 lĩnh vực cụ thể sở yêu cầu bổ sung, hiệu chỉnh giải thích ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27009 chuẩn yêu cầu tượng tự ISO/IEC 27001 nhiên phạm vi nhỏ hướng dẫn việc áp dụng ISO 27001 theo lĩnh vực cụ thể Hiện nhiều tổ chức đã xin chứng nhận an tồn thơng tin cho hệ thống quản lý an tồn thơng tin theo chuẩn 27001 nhiều, 22 Tổ chức ISO ban hành ISO/IEC 27009 mang tính chất hướng dẫn cho lĩnh vực cụ thể chưa phải chuẩn để sử dụng để chứng nhận hệ thống cho lĩnh vực đặc thù Việc xác định yêu cầu chung cho hệ thống đặc thù xuất phát từ thực tế sử dụng khai thác hệ thống ISMS quan tổ chức, ISO/IEC 27009 áp dụng cho quan, tổ chức, doanh nghiệp áp dụng chuẩn ISO/IEC 27001 để quản lý hệ thống thông tin theo lĩnh vực cụ thể, đặc thù như: Y tế, Công nghiệp lượng Sở xây dựng tiêu chuẩn 5.1 Lựa chọn tiêu chuẩn tham chiếu Xây dựng tiêu chuẩn dựa phương pháp chấp nhận nguyên vẹn tiêu chuẩn quốc tế (ISO/IEC 27009: 2016 Information technology – Security techniques – Spector-specific application of ISO/IEC 27001 – Requirements) Kết hợp phân tích nhu cầu xây dựng tiêu chuẩn lựa chọn, đánh giá tài liệu tham khảo để xây dựng tiêu chuẩn nhằm đảm bảo tính khả thi áp dụng 5.2 Phương pháp xây dựng tiêu chuẩn Dự thảo tiêu chuẩn TCVN ISO/IEC XXXX:2020 xây dựng từ tiêu chuẩn quốc tế ISO/IEC 27009:2016 sở rà soát tiêu chuẩn Việt nam quốc tế hệ thống quản lý an tồn thơng tin, tham khảo phương pháp xây dựng tiêu chuẩn/ quy chuẩn, nhóm chủ trì đã xây dựng dự thảo tiêu chuẩn TCVN ISO/IEC XXXX:2020 theo phương pháp chấp thuận nguyên vẹn nội dung tiêu chuẩn quốc tế ISO/IEC 27009:2016 (có chỉnh sửa thể thức trình bày theo quy định hành trình bày Tiêu chuẩn quốc gia) 23 Nội dung dự thảo tiêu chuẩn kỹ thuật 6.1 Giới thiệu ISO/IEC 27009:2016 Tiêu chuẩn xác định yêu cầu chung cho việc áp dụng ISO/IEC 27001 cho lĩnh vực cụ thể Tiêu chuẩn hướng dẫn cách thức bổ sung cho yêu cầu ISO/IEC 27001, cách thức hiệu chỉnh yêu cầu ISO/IEC 27001 cách thức kiểm soát tập biện pháp kiểm sốt nội dung bổ sung ngồi Phụ lục A ISO/IEC 27001: 2013 Tiêu chuẩn đảm bảo yêu cầu bổ sung hiệu chỉnh không mâu thuẫn với yêu cầu ISO/IEC 27001 áp dụng cho việc xây dựng tiêu chuẩn theo lĩnh vực cụ thể liên quan đến ISO/IEC 27001 6.2 Cấu trúc và nội dung Dự thảo tiêu chuẩn Tiêu chuẩn bao gồm 06 điều 01 phụ lục (tham khảo) với nội dung cụ thể sau: Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ và định nghĩa Tổng quan Yêu cầu bổ sung, hiệu chỉnh giải thích ISO/IEC 27001 5.1 Tổng quan 5.2 Yêu cầu bổ sung 5.3 Yêu cầu hiệu chỉnh 5.4 Yêu cầu giải thích Hướng dẫn bổ sung sửa đổi ISO/IEC 27002 6.1 Tổng quát 24 6.2 Hướng dẫn bổ sung 6.3 Hướng dẫn sửa đổi Phụ lục A (quy định) Mẫu để phát triển tiêu chuẩn dành riêng cho lĩnh vực liên quan đến ISO/IEC 27001: 2013 ISO/IEC 27002: 2013 Thư mục tài liệu tham khảo 6.3 Bảng đối chiếu tiêu chuẩn viện dẫn Dự thảo tiêu chuẩn TCVN ISO/IEC XXXX:2020 xây dựng dựa theo phương pháp chấp thuận nguyên vẹn nội dung tiêu chuẩn quốc tế ISO/IEC 27009:2016 Bảng đối chiếu dự thảo tiêu chuẩn quốc gia với ISO/IEC 27009:2016 NỘI DUNG TIÊU CHUẨN TÀI LIỆU VIỆN DẪN ISO/IEC 27009:2016 SỬA ĐỔI, BỔ SUNG Phạm vi áp dụng Scope Chấp thuận nguyên vẹn Tài liệu viện dẫn Normative references Chấp thuận nguyên vẹn Thuật ngữ định nghĩa Tổng quan tiêu chuẩn 4.1 Tổng quát Terms and definitions Overview of this International Standard 4.1 General Chấp thuận nguyên vẹn 4.2 Cấu trúc tiêu chuẩn Chấp thuận nguyên vẹn Yêu cầu bổ sung, hiệu chỉnh giải thích ISO/IEC 27001 4.2 Structure of this International Standard Expanding ISO/IEC 27001 requirements or ISO/IEC 27002 controls Additional, refined or interpreted ISO/IEC 27001 requirements 5.1 Tổng quan 5.1 General Chấp thuận nguyên vẹn 5.2 Yêu cầu bổ sung 5.2 Additional requirements Chấp thuận nguyên vẹn 25 Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn Chấp thuận nguyên vẹn