Tiêu chuẩn ISO 27001

7 Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định...18 8 Phát triển chỉ tiêu cho các rủi ro có thể ch

Mục lục

I Nhu cầu thực tiễn 4

II Tiêu chuẩn ISO 27001:2005 5

II.1 Giới thiệu chung 5

II.2 Tóm tắt nội dung tiêu chuẩn 6

III Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam 7

III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 tại Việt Nam 7

III.2 Các lợi ích của việc áp dụng tiêu chuẩn ISO 27001 8

IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT 8

IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005 8

IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005 9

IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005 12

IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005 14

V Tiêu chuẩn kỹ thuật “Hệ thống quản lý ATTT” 15

V.1 Các yêu cầu chung 15

V.2 Yêu cầu đối với quá trình thiết lập hệ thống ISMS 18

1) bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc cho việc đảm bảo an toàn thông tin, 18

2) chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật, 18

3) đưa vào các đến các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng, 18

4) thực hiện sự thiết lập và duy trì hệ thống ISMS như một phần trong chiến lược quản lý rủi ro của tổ chức, 18

5) thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra, 18

6) được ban quản lý phê duyệt 18

7) Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS,

và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định 18 8) Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được 19 9) Xác định các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài sản này 19 10) Xác định các mối đe doạ có thể xảy ra đối với tài sản 19 11) Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên 19 12) Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng 19 13) Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản 19 14) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện 19 15) Ước lượng các mức độ của rủi ro 19 16) Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục 4.2.1.c.2 20 17) Áp dụng các biện pháp quản lý thích hợp 20 18) Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức 20 19) Tránh các rủi ro 20 20) Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp v.v 20 21) Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 4.2.1g) và các cơ sở tiến hành lựa chọn; 21

22) Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện; 21

23) Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này 21

V.3 Yêu cầu đối với quá trình điều hành hoạt động hệ thống ISMS 21

V.4 Yêu cầu đối với quá trình giám sát và đánh giá hệ thống ISMS 22

24) Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý 22

25) Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin 22

26) Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không 22

27) Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết 22

28) Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin 22

29) Tổ chức; 23

30) Công nghệ; 23

31) Mục tiêu và các quá trình nghiệp vụ; 23

32) Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định; 23

33) Tính hiệu quả của các biện pháp quản lý đã thực hiện; 23

34) Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội 23

V.5 Yêu cầu đối với quá trình duy trì và mở rộng hệ thống ISMS 23

V.6 Sự phù hợp của ISO 27001:2005 và tiêu chuẩn quản lý khác 24

VI Bản dự thảo TCVN “Hệ thống quản lý an toàn thông tin” 26

I Nhu cầu thực tiễn

Trong nền kinh tế tri thức, thông tin là tài sản quan trọng, đóng vai trò quyết định sự thành bại của một cơ quan, một tổ chức, một doanh nghiệp Các thông tin nhạy cảm luôn cần được bảo vệ chặt chẽ trước những đe dọa ở tầm rộng, đảm bảo sự liền mạch, giảm thiểu rủi ro và tăng cường năng lực quản lý, kinh doanh, nghiệp vụ Áp dụng các tiêu chuẩn đảm bảo an toàn thông tin cho các cơ quan, tổ chức và doanh nghiệp là biện pháp rất cần thiết để bảo vệ các tài sản thông tin của mình đồng thời chắc chắn sẽ tạo thêm sự tin tưởng của khách hàng và các đối tác

Xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin là một trong những nhiệm vụ trọng tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong các cơ quan nhà nước, nghị định số 64/2007/NĐ-CP

do Chính phủ ban hành ngày 10/4/2007 đã quy định rõ cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin

Trên thực tế các hầu hết các cơ quan/tổ chức/doanh nghiệp đều nhận thức được rất rõ sự cần thiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thông tin, tuy nhiên việc áp dụng trong thực tiễn còn rất hạn chế và gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuật quốc gia về ATTT hiện không đầy đủ; lúng túng trong lựa chọn các tiêu chuẩn áp dụng Do đó năm 2007, Bộ Bưu chính Viễn thông ban hành chỉ thị số 03/2007/CT-BBCVT khuyến cáo các cơ quan, tổ chức và doanh nghiệp tham gia hoạt động Internet ba tiêu chuẩn cần thiết nhất cần nghiên cứu áp dụng trong công tác đảm bảo an toàn thông tin là: TCVN 7562; ISO 17799 và ISO 27001

Hai tiêu chuẩn ISO 17799 và ISO 27001 là bộ tiêu chuẩn đảm bảo an toàn thông tin được áp dụng rộng rãi nhất trên thế giới Nội dụng bộ tiêu chuẩn này

giúp các cơ quan/ tổ chức đưa ra mô hình cho hệ thống quản lý an toàn thông tin cùng với các quy tắc cần thiết phải áp dụng trong công tác đảm bảo an toàn cho hệ thống thông tin Nội dung bộ tiêu chuẩn này rất đầy đủ, sát với thực tiễn cho phép giảm thiểu được nhiều rủi ro an toàn thông tin có thể xảy ra nên

đã được nhiều nước tham khảo và xây dựng các tiêu chuẩn quốc gia

Tiêu chuẩn ISO 17799 phiên bản 2000 cũng đã được Tổng Cục đo lường và Chất lượng sử dụng như tài liệu cơ bản để biên soạn TCKT Việt Nam tương đương là TCVN 7562:2005, tuy nhiên Việt nam hiện chưa có TCKT Việt Nam tương đương với ISO 27001 Việc áp dụng các tiêu chuẩn quốc tế ISO 27001 ở Việt Nam hiện chỉ phù hợp với một số ít các tổ chức có trình độ nhân lực cao thường nằm ở các thành phố lớn, còn lại phần lớn cần thiết phải có tiêu chuẩn Việt Nam tương đương để thuận tiện cho việc áp dụng Do đó việc nhanh chóng xây dựng tiêu chuẩn kỹ thuật Việt Nam tương đương ISO 27001:2005

là rất cần thiết Trung tâm VNCERT xác định như một trong các nhiệm vụ trọng tâm trong năm 2007 nhằm đẩy mạnh tiêu chuẩn hóa công tác đảm bảo an toàn cho hệ thống thông tin, giảm thiểu các rủi ro có thể xảy ra cho các cơ qua,

tổ chức tham gia sử dụng mạng internet

II Tiêu chuẩn ISO 27001:2005

II.1 Giới thiệu chung

Tiêu chuẩn quốc tế “Information security management system” có mã số ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công nghệ thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC

27 thuộc tổ chức ISO Tiêu chuẩn này được ban hành vào tháng 10 năm 2005

để thay thế tiêu chuẩn cùng tên có mã số BS 7799-2:2002 do tổ chức Britist Standard ban hành năm 2002

Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống

quản lý an toàn thông tin (ISMS) Phê chuẩn việc triển khai một hệ thống ISMS sẽ là một quyết định chiến lược của tổ chức Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức Các điều này và các hệ thống

hỗ trợ sẽ cần luôn được cập nhật và thay đổi Đầu tư và triển khai một hệ thống ISMS cần phải phù hợp với nhu cầu thực tiễn của tổ chức

Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận bên ngoài liên quan đến tổ chức

II.2 Tóm tắt nội dung tiêu chuẩn

Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập; triển khai; điều hành; giám sát; bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ hệ thống thông tin và chủ động chuẩn bị các phương án xử lý trước những rủi ro có thể xảy ra Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các biện pháp cần thiết đã được chọn lọc phù hợp cho tổ chức hoặc các bộ phận

Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng v.v…

Các yêu cầu được trình bày trong tiêu chuẩn này là mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan / tổ chức khác nhau Nội dung tiêu chuẩn bao gồm các phần chính :

- Hệ thống quản lý an toàn thông tin

- Trách nhiệm của Ban quản lý

- Kiểm tra nội bộ hệ thống ISMS

- Soát xét hệ thống ISMS

- Nâng cấp hệ thóng ISMS

Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO 9001:2000, TCVN ISO 9001:2000 và ISO 14001:2004 nhằm đảm bảo sự thống nhất và thành công khi triển khai cùng lúc các tiêu chuẩn quản lý khác nhau

III Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt

nam

III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 tại Việt Nam

Tại Việt Nam, tiêu chuẩn kỹ thuật quốc tế ISO 27001 đã được nhiều cơ quan và đơn vị có ứng dụng các hệ thống thông tin nghiên cứu và quan tâm nghiên cứu áp dụng Tuy nhiên do việc chuẩn hóa công tác quản lý nói chung

và quản lý công nghệ thông tin nói riêng là chưa tốt nên phát sinh khá nhiều vướng mắc Mặc dù vậy hiện nay đã có một số công ty mạnh dạn áp dụng và được công nhận phù hợp tiêu chuẩn:

Tháng 1/2007 công ty đầu tiên của Việt Nam là FCG Việt Nam đã được chấp thuận sau đợt kiểm định của tổ chức TUV SUD tiến hành vào giữa tháng 12/2006

Tháng 3/2007 công ty Hệ thống thông tin FPT thông báo đã được công nhận phù hợp tiêu chuẩn này sau 8 tháng triển khai Tiêu chuẩn này đã giúp các công ty giảm thiểu rủi ro an toàn thông tin có thể xảy ra cũng như nâng cao

uy tín của công ty đặc biệt đối với các khách hàng nước ngoài

Việc công ty FCG Việt Nam và công ty hệ thống thông tin FPT ứng dụng thành công tiêu chuẩn ISO 27001:2005 cho thấy sự phù hợp hoàn toàn khi áp dụng tiêu chuẩn này cùng với các tiêu chuẩn quản lý khác như ISO 9001 TL

4000 hay CMMI cấp 5 mà các công ty này đã triển khai trước đó

III.2 Các lợi ích của việc áp dụng tiêu chuẩn ISO 27001

Tiêu chuẩn ISO 27001:2005 đã được đưa vào sử dụng rộng rãi trên thế giới nhiều năm, nội dung tiêu chuẩn đã được sửa đổi nhiều lần để hoàn thiện và đáp ứng được nhiều loại mô hình tổ chức hơn Dưới đây là một số lợi ích cho các

cơ quan và tổ chức khi áp dụng tiêu chuẩn ISO 27001:

- Cho phép các cơ quan, tổ chức xác định được đúng mục tiêu, phạm vi

và vai trò của hệ thống quản lý an toàn thông tin;

- Xây dựng một giải pháp tổng thể đảm bảo an toàn cho hệ thống thông tin, tránh ảnh hưởng tới các hoạt động khác;

- Giảm thiểu các rủi ro và có biện pháp chủ động phòng chống các nguy

cơ có thể xảy ra;

- Đảm bảo hiệu quả đầu tư của hệ thống CNTT nói chung và hệ thống ISMS nói riêng;

- Nâng cao uy tín và sự tin cậy đối với đối tác và khách hàng, nâng cao năng lực cạnh tranh của các doanh nghiệp;

- Nâng cao nhận thức an toàn thông tin cho toàn bộ nhân viên trong tổ chức

IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT

IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005

Tiêu chuẩn việt nam Mã thực hành quản lý an ninh thông tin – TCVN 7562

do Ban kỹ thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố dữ liệu và tài liệu trong thương mại, công nghiệp và hành chính” biên soạn, Tổng cục Đo lường chất lượng đề nghị, Bộ Khoa học và Công nghệ ban hành năm 2005 Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 có tên “code of practice for information security management”và hoàn toàn tương đương với tiêu chuẩn quốc tế này

Nội dung tiêu chuẩn này gồm có mười hai phần, đưa ra các khuyến nghị về công tác quản lý an ninh thông tin cho những người có trách nhiệm cài đặt,

thực thi hoặc duy trì an ninh trong tổ chức của họ Tiêu chuẩn này nhằm cung cấp một cơ sở chung để xây dựng các tiêu chuẩn an ninh trong tổ chức và thực hành quản lý an toàn thông tin một cách hiệu quả và tạo sự tin cậy trong các giao dịch liên tổ chức Các khuyến nghị rút ra từ tiêu chuẩn này được lựa chọn

và sử dụng phù hợp với các luật và quy định liên quan

Tiêu chuẩn TCVN 7562 được trình bày trong mười hai phần bao gồm:

7 An ninh môi trường vật lý;

8 Quản lý truyền thông và hoạt động;

9 Kiểm soát truy cập;

IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005

Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và sau này đổi tên thành tiêu chuẩn ISO/IEC 27002 để áp dụng cùng với các tiêu chuẩn ISO/IEC 27001 (information security management system) và ISO/IEC 27004 (Information security management metrics) thành bộ tiêu chuẩn ISO 27000 (tên tiêu chuẩn ISO/IEC 17799 được giữ lại thêm một thời gian là để cho thấy

sự liên hệ với các tiêu chuẩn gốc BS 7799 và ISO/IEC 17799:2000)

Sự phát triển công nghệ, dịch vụ cũng như sự thay đổi khác trong xã hội đã bộc lộ những vấn đề mà tiêu chuẩn ISO/IEC 17799 phiên bản năm 2000 chưa đáp ứng được Do đó nội dung phiên bản mới ISO/IEC 17799:2005 đã được cập nhật để bổ sung, điều chỉnh một số vấn đề so với phiên bản năm 2000 để đáp ứng được các yêu cầu thực tiễn hiện nay đang đặt ra.

Nội dung phiên bản 2005 của tiêu chuẩn ISO/IEC 17799:2005 đưa ra 133 quy tắc đảm bảo an toàn được chia làm 11 vấn đề Dựa trên việc phân tích các

ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên bản mới có khá nhiều thay đổi so với phiên bản năm 2000 Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việc bảo đảm an toàn thông tin trong thương mại điện tử, các dịch vụ do các đối tác bên ngoài cung cấp, quản lý nhân sự, sử dụng mạng không dây v.v…

Về mặt cấu trúc, tiêu chuẩn ISO/IEC 17799:2005 đã có một số thay đổi phù hợp hơn với thực tế so với tiêu chuẩn ISO/IEC 17799:2000 cũng như tiêu chuẩn TCVN 7562:2005

Bảng so sánh dưới đây thể hiện so sánh giữa các tiêu chuẩn TCVN 7562:2005; ISO 17799:2000 và ISO:17799:2005

TCVN 7562:2000 ISO 17799:2000 ISO 17799:2005

Risk assessment &

treatment

Chính sách an ninh Security policy Security policy

An ninh tổ chức Security organisation Organisation of

information security Phân loại và kiểm soát tài sản Asset classification & control Asset management

An ninh cá nhân Personnel security Human resource security

An ninh môi trường vật lý Physical and environmental

security Physical and environmental security Quản lý truyền thông và hoạt

động Communication and operation management Communications and operations management

Kiểm soát truy cập Access control Access control

Phát triển và duy trì hệ thống System development &

maintenance

Information systems acquisition development and maintenance.

Information security incident management

Quản lý liên tục trong kinh

doanh

Business continuity Business continuity

management

Trên thế giới, tiêu chuẩn quốc tế ISO/IEC 17799 được sử dụng rất rộng rãi với hai phiên bản tiếng Anh và tiếng Pháp Tuy nhiên một số quốc gia khác đã sử dụng như tài liệu tham khảo quan trọng để tiến hành xây dựng các tiêu chuẩn tương thích cho quốc gia như:

Nhật bản

Tiêu chẩn ISO/IEC 17799:2000 đã được dịch tại Nhật Bản vào năm

2002 với được xuất bản với tên gọi JIS X.5080 Nội dung tiêu chuẩn JIS X.5080 hoàn toàn giống với tiêu chuẩn ISO/IEC 17799:2000

Sau khi tiêu chuẩn ISO/IEC 17799:2000 được thay thế bằng tiêu chuẩn ISO/IEC 17799:2005, Nhật Bản cũng đã dịch và xây dựng tiêu chuẩn quốc gia JIS Q 27002:2006 và xuất bản vào năm 2006 Nội dung tiêu chuẩn này được dịch hoàn toàn từ tiêu chuẩn ISO/IEC 17799:2005

Newzealand và Autralia

Tại Australia và NewZealand, tiêu chuẩn AS/NZS ISO/IEC 17799:2006 được xây dựng năm 2006 được xây dựng dựa trên các tiêu chuẩn ISO/IEC 17799:2005 và tiêu chuẩn AS/NZS ISO/IEC 17799:2001 Tiêu chuẩn này hoàn toàn tương thích với tiêu chuẩn ISO/IEC 17799:2005

Về nội dung tiêu chuẩn NZS ISO/IEC 17799:2005 hoàn toàn giống với tiêu chuẩn ISO 17799:2005 tuy nhiên chỉ thay đổi cho phù hợp với các

quy định riêng về cách trình bày tiêu chuẩn của các quốc gia này như tiêu đề, tên tiêu chuẩn, trang bìa, một số ký hiệu v.v….

Ngoài ra tại NewZealand, chính phủ đã ban hành tài liệu hướng dẫn

“đảm bảo an toàn thông tin trong lĩnh vực chính phủ” (Security in government sector) năm 2002 Tài liệu đưa ra các hướng dẫn đảm bảo

an toàn thông tin và bắt buộc áp dụng trong các cơ quan chính phủ Tài liệu này được xây dựng bởi các thành viên đến từ nhiều bộ nghành khác nhau trong chính phủ và sử dụng tài liệu tham khảo chính là tiêu chuẩn AS/NZS ISO/IEC 17799:2001 Ngoài ra nội dung tiêu chuẩn cũng được

cơ quan tình báo quốc gia và văn phòng an toàn truyền thông của chính phủ cũng cung cấp thêm một số các quy trình đảm bảo an toàn thông tin

Tiêu chuẩn DS484:2005 của Đan mạch, UNE 71501 của Tây ban nha, UNIT/ISO 17799:2005 của Uruguay và EVS-ISO/IEC 17799:2003 của Estonia đều được xây dựng từ phiên bản ISO/IEC 17799:2000

ISO/IEC 15408-1 được chuẩn bị bởi Ủy ban kỹ thuật chung ISO/IEC JTC

1, Công nghệ thông tin, Tiểu ban SC 2, Các kỹ thuật an ninh CNTT Tài liệu của ISO/IEC 15408 được xuất bản bởi Các tổ chức tài trợ dự án về tiêu chuẩn thông thường như Tiêu chuẩn thông thường trong đánh giá An ninh CNTT.Phiên bản thứ 2 đã được sửa đổi từ phiên bản thứ nhất (ISO/IEC 15408-1:1999) được sử dụng thay thế cho phiên bản thứ nhất

ISO/IEC 15408 bao gồm ba phần, dưới tiêu đề chung là - CNTT - Kỹ thuật

An ninh - Tiêu chuẩn đánh giá an ninh CNTT

Phần 1: Giới thiệu và mô hình tổng thể (Part 1: Introduction and general model )

Phần 2: Các yêu cầu về chức năng an ninh (Part 2: Security functional requirements)

Phần 3: Các yêu cầu đảm bảo an ninh (Part 3: Security assurance requirements)

ISO/IEC 15408 cho phép thực hiện so sánh các kết quả của các đánh giá

An ninh độc lập Nó cung cấp một tập các nhu cầu thông thường về chức năng

An ninh của sản phẩm và hệ thống CNTT và đảm bảo các tiêu chuẩn để đánh giá này được cung cấp trong suốt thời gian đánh giá An ninh Tiến trình đánh giá thiết lập một mức độ tin cậy cho các chức năng An ninh của các sản phẩm

và hệ thống và đảm bảo các tiêu chuẩn để đánh giá đáp ứng các nhu cầu Các kết quả đánh giá sẽ giúp khách hàng quyết định các sản phẩm và hệ thống CNTT có đáp ứng đủ các yêu cầu về An ninh cho các ứng dụng dự định của mình và khả năng chịu lỗi với các nguy cơ về An ninh tiềm ẩn trong quá trình

sử dụng

ISO/IEC 15408 được sử dụng như một hướng dẫn cho việc phát triển các sản phẩm và hệ thống có các chức năng An ninh CNTT và phục vụ cho việc tìm kiếm các sản phẩm hoặc hệ thống thương mại có chức năng như thế Trong thời gian đánh giá, các sản phẩm hoặc hệ thống CNTT được xem là mục tiêu đánh giá (TOE- Target of Evaluation) Các Mục tiêu đánh giá bao gồm, các hệ điều hành, các mạng máy tính, các hệ thống phân tán và các ứng dụng

ISO/IEC 15408 đề cập đến việc bảo vệ thông tin chống các truy nhập không có quyền, thay đổi hoặc mất mát trong sử dụng Việc phân nhóm bảo vệ liên quan đến 3 kiểu lỗi về An ninh: sự tin cậy, toàn vẹn và sẵn sàng ISO/IEC

15408 cũng có thể được sử dụng cho các đánh giá ngoài ba nhóm trên