Mục lục I Nhu cầu thực tiễn 4 II Tiêu chuẩn ISO 27001:2005 5 II.1 Giới thiệu chung 5 II.2 Tóm tắt nội dung tiêu chuẩn 6 III Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam 7 III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 tại Việt Nam 7 III.2 Các lợi ích của việc áp dụng tiêu chuẩn ISO 27001 8 IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT 8 IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005 8 IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005 9 IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005 12 IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005 14 V Tiêu chuẩn kỹ thuật “Hệ thống quản lý ATTT” 15 V.1 Các yêu cầu chung 15 V.2 Yêu cầu đối với quá trình thiết lập hệ thống ISMS 18 1) bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc cho việc đảm bảo an toàn thông tin, 18 2) chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật, 18 3) đưa vào các đến các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng, 18 4) thực hiện sự thiết lập và duy trì hệ thống ISMS như một phần trong chiến lược quản lý rủi ro của tổ chức, 18 5) thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra, 18 6) được ban quản lý phê duyệt 18 7) Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định 18 8) Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận được 19 9) Xác định các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài sản này 19 10) Xác định các mối đe doạ có thể xảy ra đối với tài sản 19 11) Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên 19 12) Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng 19 13) Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản 19 14) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện 19 15) Ước lượng các mức độ của rủi ro 19 16) Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục 4.2.1.c.2 20 17) Áp dụng các biện pháp quản lý thích hợp 20 18) Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức 20 19) Tránh các rủi ro 20 20) Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp v.v 20 21) Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 4.2.1g) và các cơ sở tiến hành lựa chọn; 21 22) Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện; 21 23) Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải trình cho việc này 21 V.3 Yêu cầu đối với quá trình điều hành hoạt động hệ thống ISMS 21 V.4 Yêu cầu đối với quá trình giám sát và đánh giá hệ thống ISMS 22 24) Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý 22 25) Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin 22 26) Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người đã đem lại có đạt mục tiêu đề ra hay không 22 27) Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết 22 28) Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin 22 29) Tổ chức; 23 30) Công nghệ; 23 31) Mục tiêu và các quá trình nghiệp vụ; 23 32) Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định; 23 33) Tính hiệu quả của các biện pháp quản lý đã thực hiện; 23 34) Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội 23 V.5 Yêu cầu đối với quá trình duy trì và mở rộng hệ thống ISMS 23 V.6 Sự phù hợp của ISO 27001:2005 và tiêu chuẩn quản lý khác 24 VI Bản dự thảo TCVN “Hệ thống quản lý an toàn thông tin” 26 I Nhu cầu thực tiễn Trong nền kinh tế tri thức, thông tin là tài sản quan trọng, đóng vai trò quyết định sự thành bại của một cơ quan, một tổ chức, một doanh nghiệp. Các thông tin nhạy cảm luôn cần được bảo vệ chặt chẽ trước những đe dọa ở tầm rộng, đảm bảo sự liền mạch, giảm thiểu rủi ro và tăng cường năng lực quản lý, kinh doanh, nghiệp vụ. Áp dụng các tiêu chuẩn đảm bảo an toàn thông tin cho các cơ quan, tổ chức và doanh nghiệp là biện pháp rất cần thiết để bảo vệ các tài sản thông tin của mình đồng thời chắc chắn sẽ tạo thêm sự tin tưởng của khách hàng và các đối tác. Xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin là một trong những nhiệm vụ trọng tâm để đảm bảo thành công trong việc ứng dụng công nghệ thông tin trong các cơ quan nhà nước, nghị định số 64/2007/NĐ-CP do Chính phủ ban hành ngày 10/4/2007 đã quy định rõ cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin. Trên thực tế các hầu hết các cơ quan/tổ chức/doanh nghiệp đều nhận thức được rất rõ sự cần thiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thông tin, tuy nhiên việc áp dụng trong thực tiễn còn rất hạn chế và gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuật quốc gia về ATTT hiện không đầy đủ; lúng túng trong lựa chọn các tiêu chuẩn áp dụng. Do đó năm 2007, Bộ Bưu chính Viễn thông ban hành chỉ thị số 03/2007/CT-BBCVT khuyến cáo các cơ quan, tổ chức và doanh nghiệp tham gia hoạt động Internet ba tiêu chuẩn cần thiết nhất cần nghiên cứu áp dụng trong công tác đảm bảo an toàn thông tin là: TCVN 7562; ISO 17799 và ISO 27001. Hai tiêu chuẩn ISO 17799 và ISO 27001 là bộ tiêu chuẩn đảm bảo an toàn thông tin được áp dụng rộng rãi nhất trên thế giới. Nội dụng bộ tiêu chuẩn này giúp các cơ quan/ tổ chức đưa ra mô hình cho hệ thống quản lý an toàn thông tin cùng với các quy tắc cần thiết phải áp dụng trong công tác đảm bảo an toàn cho hệ thống thông tin. Nội dung bộ tiêu chuẩn này rất đầy đủ, sát với thực tiễn cho phép giảm thiểu được nhiều rủi ro an toàn thông tin có thể xảy ra nên đã được nhiều nước tham khảo và xây dựng các tiêu chuẩn quốc gia. Tiêu chuẩn ISO 17799 phiên bản 2000 cũng đã được Tổng Cục đo lường và Chất lượng sử dụng như tài liệu cơ bản để biên soạn TCKT Việt Nam tương đương là TCVN 7562:2005, tuy nhiên Việt nam hiện chưa có TCKT Việt Nam tương đương với ISO 27001. Việc áp dụng các tiêu chuẩn quốc tế ISO 27001 ở Việt Nam hiện chỉ phù hợp với một số ít các tổ chức có trình độ nhân lực cao thường nằm ở các thành phố lớn, còn lại phần lớn cần thiết phải có tiêu chuẩn Việt Nam tương đương để thuận tiện cho việc áp dụng. Do đó việc nhanh chóng xây dựng tiêu chuẩn kỹ thuật Việt Nam tương đương ISO 27001:2005 là rất cần thiết. Trung tâm VNCERT xác định như một trong các nhiệm vụ trọng tâm trong năm 2007 nhằm đẩy mạnh tiêu chuẩn hóa công tác đảm bảo an toàn cho hệ thống thông tin, giảm thiểu các rủi ro có thể xảy ra cho các cơ qua, tổ chức tham gia sử dụng mạng internet. II Tiêu chuẩn ISO 27001:2005 II.1 Giới thiệu chung Tiêu chuẩn quốc tế “Information security management system” có mã số ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công nghệ thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC 27 thuộc tổ chức ISO. Tiêu chuẩn này được ban hành vào tháng 10 năm 2005 để thay thế tiêu chuẩn cùng tên có mã số BS 7799-2:2002 do tổ chức Britist Standard ban hành năm 2002. Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin (ISMS). Phê chuẩn việc triển khai một hệ thống ISMS sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống hỗ trợ sẽ cần luôn được cập nhật và thay đổi. Đầu tư và triển khai một hệ thống ISMS cần phải phù hợp với nhu cầu thực tiễn của tổ chức. Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận bên ngoài liên quan đến tổ chức. II.2 Tóm tắt nội dung tiêu chuẩn Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau. Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập; triển khai; điều hành; giám sát; bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ hệ thống thông tin và chủ động chuẩn bị các phương án xử lý trước những rủi ro có thể xảy ra. Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các biện pháp cần thiết đã được chọn lọc phù hợp cho tổ chức hoặc các bộ phận. Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng v.v… Các yêu cầu được trình bày trong tiêu chuẩn này là mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan / tổ chức khác nhau. Nội dung tiêu chuẩn bao gồm các phần chính : - Hệ thống quản lý an toàn thông tin - Trách nhiệm của Ban quản lý - Kiểm tra nội bộ hệ thống ISMS - Soát xét hệ thống ISMS - Nâng cấp hệ thóng ISMS Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO 9001:2000, TCVN ISO 9001:2000 và ISO 14001:2004 nhằm đảm bảo sự thống nhất và thành công khi triển khai cùng lúc các tiêu chuẩn quản lý khác nhau. III Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 tại Việt Nam Tại Việt Nam, tiêu chuẩn kỹ thuật quốc tế ISO 27001 đã được nhiều cơ quan và đơn vị có ứng dụng các hệ thống thông tin nghiên cứu và quan tâm nghiên cứu áp dụng. Tuy nhiên do việc chuẩn hóa công tác quản lý nói chung và quản lý công nghệ thông tin nói riêng là chưa tốt nên phát sinh khá nhiều vướng mắc. Mặc dù vậy hiện nay đã có một số công ty mạnh dạn áp dụng và được công nhận phù hợp tiêu chuẩn: Tháng 1/2007 công ty đầu tiên của Việt Nam là FCG Việt Nam đã được chấp thuận sau đợt kiểm định của tổ chức TUV SUD tiến hành vào giữa tháng 12/2006. Tháng 3/2007 công ty Hệ thống thông tin FPT thông báo đã được công nhận phù hợp tiêu chuẩn này sau 8 tháng triển khai. Tiêu chuẩn này đã giúp các công ty giảm thiểu rủi ro an toàn thông tin có thể xảy ra cũng như nâng cao uy tín của công ty đặc biệt đối với các khách hàng nước ngoài. Việc công ty FCG Việt Nam và công ty hệ thống thông tin FPT ứng dụng thành công tiêu chuẩn ISO 27001:2005 cho thấy sự phù hợp hoàn toàn khi áp dụng tiêu chuẩn này cùng với các tiêu chuẩn quản lý khác như ISO 9001 TL 4000 hay CMMI cấp 5 mà các công ty này đã triển khai trước đó. III.2 Các lợi ích của việc áp dụng tiêu chuẩn ISO 27001 Tiêu chuẩn ISO 27001:2005 đã được đưa vào sử dụng rộng rãi trên thế giới nhiều năm, nội dung tiêu chuẩn đã được sửa đổi nhiều lần để hoàn thiện và đáp ứng được nhiều loại mô hình tổ chức hơn. Dưới đây là một số lợi ích cho các cơ quan và tổ chức khi áp dụng tiêu chuẩn ISO 27001: - Cho phép các cơ quan, tổ chức xác định được đúng mục tiêu, phạm vi và vai trò của hệ thống quản lý an toàn thông tin; - Xây dựng một giải pháp tổng thể đảm bảo an toàn cho hệ thống thông tin, tránh ảnh hưởng tới các hoạt động khác; - Giảm thiểu các rủi ro và có biện pháp chủ động phòng chống các nguy cơ có thể xảy ra; - Đảm bảo hiệu quả đầu tư của hệ thống CNTT nói chung và hệ thống ISMS nói riêng; - Nâng cao uy tín và sự tin cậy đối với đối tác và khách hàng, nâng cao năng lực cạnh tranh của các doanh nghiệp; - Nâng cao nhận thức an toàn thông tin cho toàn bộ nhân viên trong tổ chức. IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005 Tiêu chuẩn việt nam Mã thực hành quản lý an ninh thông tin – TCVN 7562 do Ban kỹ thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố dữ liệu và tài liệu trong thương mại, công nghiệp và hành chính” biên soạn, Tổng cục Đo lường chất lượng đề nghị, Bộ Khoa học và Công nghệ ban hành năm 2005. Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 có tên “code of practice for information security management”và hoàn toàn tương đương với tiêu chuẩn quốc tế này. Nội dung tiêu chuẩn này gồm có mười hai phần, đưa ra các khuyến nghị về công tác quản lý an ninh thông tin cho những người có trách nhiệm cài đặt, thực thi hoặc duy trì an ninh trong tổ chức của họ. Tiêu chuẩn này nhằm cung cấp một cơ sở chung để xây dựng các tiêu chuẩn an ninh trong tổ chức và thực hành quản lý an toàn thông tin một cách hiệu quả và tạo sự tin cậy trong các giao dịch liên tổ chức. Các khuyến nghị rút ra từ tiêu chuẩn này được lựa chọn và sử dụng phù hợp với các luật và quy định liên quan. Tiêu chuẩn TCVN 7562 được trình bày trong mười hai phần bao gồm: 1. Phạm vi áp dụng; 2. Thuật ngữ và định nghĩa; 3. Chính sách an ninh; 4. An ninh tổ chức; 5. Phân loại và kiểm soát tài sản; 6. An ninh cá nhân; 7. An ninh môi trường vật lý; 8. Quản lý truyền thông và hoạt động; 9. Kiểm soát truy cập; 10. Phát triển và duy trì hệ thống; 11. Quản lý liên tục trong kinh doanh; 12. Sự tuân thủ. Tiêu chuẩn đã đưa ra 127 hướng dẫn đảm bảo an toàn thông tin được phân thành 10 vấn đề chính IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005 Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và sau này đổi tên thành tiêu chuẩn ISO/IEC 27002 để áp dụng cùng với các tiêu chuẩn ISO/IEC 27001 (information security management system) và ISO/IEC 27004 (Information security management metrics) thành bộ tiêu chuẩn ISO 27000 (tên tiêu chuẩn ISO/IEC 17799 được giữ lại thêm một thời gian là để cho thấy sự liên hệ với các tiêu chuẩn gốc BS 7799 và ISO/IEC 17799:2000). Sự phát triển công nghệ, dịch vụ cũng như sự thay đổi khác trong xã hội đã bộc lộ những vấn đề mà tiêu chuẩn ISO/IEC 17799 phiên bản năm 2000 chưa đáp ứng được. Do đó nội dung phiên bản mới ISO/IEC 17799:2005 đã được cập nhật để bổ sung, điều chỉnh một số vấn đề so với phiên bản năm 2000 để đáp ứng được các yêu cầu thực tiễn hiện nay đang đặt ra. Nội dung phiên bản 2005 của tiêu chuẩn ISO/IEC 17799:2005 đưa ra 133 quy tắc đảm bảo an toàn được chia làm 11 vấn đề. Dựa trên việc phân tích các ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên bản mới có khá nhiều thay đổi so với phiên bản năm 2000. Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việc bảo đảm an toàn thông tin trong thương mại điện tử, các dịch vụ do các đối tác bên ngoài cung cấp, quản lý nhân sự, sử dụng mạng không dây v.v…. Về mặt cấu trúc, tiêu chuẩn ISO/IEC 17799:2005 đã có một số thay đổi phù hợp hơn với thực tế so với tiêu chuẩn ISO/IEC 17799:2000 cũng như tiêu chuẩn TCVN 7562:2005. Bảng so sánh dưới đây thể hiện so sánh giữa các tiêu chuẩn TCVN 7562:2005; ISO 17799:2000 và ISO:17799:2005. TCVN 7562:2000 ISO 17799:2000 ISO 17799:2005 Risk assessment & treatment Chính sách an ninh Security policy Security policy An ninh tổ chức Security organisation Organisation of information security Phân loại và kiểm soát tài sản Asset classification & control Asset management An ninh cá nhân Personnel security Human resource security An ninh môi trường vật lý Physical and environmental security Physical and environmental security Quản lý truyền thông và hoạt động Communication and operation management Communications and operations management [...]... xây dựng dựa trên các tiêu chuẩn ISO/ IEC 17799:2005 và tiêu chuẩn AS/NZS ISO/ IEC 17799:2001 Tiêu chuẩn này hoàn toàn tương thích với tiêu chuẩn ISO/ IEC 17799:2005 Về nội dung tiêu chuẩn NZS ISO/ IEC 17799:2005 hoàn toàn giống với tiêu chuẩn ISO 17799:2005 tuy nhiên chỉ thay đổi cho phù hợp với các quy định riêng về cách trình bày tiêu chuẩn của các quốc gia này như tiêu đề, tên tiêu chuẩn, trang bìa, một... hoàn toàn giống với tiêu chuẩn ISO/ IEC 17799:2000 Sau khi tiêu chuẩn ISO/ IEC 17799:2000 được thay thế bằng tiêu chuẩn ISO/ IEC 17799:2005, Nhật Bản cũng đã dịch và xây dựng tiêu chuẩn quốc gia JIS Q 27002:2006 và xuất bản vào năm 2006 Nội dung tiêu chuẩn này được dịch hoàn toàn từ tiêu chuẩn ISO/ IEC 17799:2005 Newzealand và Autralia Tại Australia và NewZealand, tiêu chuẩn AS/NZS ISO/ IEC 17799:2006 được... Phụ lục A: Các mục tiêu quản Phụ lục A: Sự phù hợp giữa các lý và biện pháp quản lý chuẩn ISO 9001:2000 và chuẩn Phụ lục B: Các nguyên tắc ISO 14001:2004 OECD và các tiêu chuẩn Phụ lục C: Sự phù hợp giữa các chuẩn ISO 9001:2000, ISO 14001:2004 và tiêu chuẩn quốc tế này Phụ lục A: Hướng dẫn sử dụng tiêu chuẩn quốc tế này Phụ lục B: Sự phù hợp giữa các chuẩn ISO 9001:2000 và chuẩn ISO 14001:2004 VI Bản... thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra V.6Sự phù hợp của ISO 27001: 2005 và tiêu chuẩn quản lý khác Tiêu chuẩn hệ thống quản lý an toàn thông tin hoàn toàn phù hợp với các tiêu chuẩn quản lý thông dụng ISO 9001:2000 và ISO 14001:2004, bảng dưới đây sẽ đưa ra các thông tin so sánh để chứng minh sự phù hợp giữa các tiêu chuẩn trên ISO 27001: 2005 ISO 9001:2000 0 Giới thiệu 0.1 Tổng quan... khảo chính là tiêu chuẩn AS/NZS ISO/ IEC 17799:2001 Ngoài ra nội dung tiêu chuẩn cũng được cơ quan tình báo quốc gia và văn phòng an toàn truyền thông của chính phủ cũng cung cấp thêm một số các quy trình đảm bảo an toàn thông tin Một số nước khác Một số nước khác cũng đã dịch và xây dựng các tiêu chuẩn quốc gia dựa trên các phiên bản khác nhau của tiêu chuẩn ISO/ IEC 17799 như Tiêu chuẩn NEN -ISO/ IEC 17799:2002... của Hà lan được xây dựng từ ISO/ IEC 17799:2000, bản dịch từ ISO/ IEC 17799:2005 đang được thực hiện Tiêu chuẩn DS484:2005 của Đan mạch, UNE 71501 của Tây ban nha, UNIT /ISO 17799:2005 của Uruguay và EVS -ISO/ IEC 17799:2003 của Estonia đều được xây dựng từ phiên bản ISO/ IEC 17799:2000 IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005 ISO/ IEC 15408-1 được chuẩn bị bởi Ủy ban kỹ thuật chung ISO/ IEC JTC 1, Công nghệ thông... lan Tiêu chuẩn này đưa ra hệ thống các phương pháp đánh giá an toàn thông tin theo các chỉ tiêu mà tiêu chuẩn quốc tế ISO 15408:2005 đưa ra Nội dung của tiêu chuẩn chỉ bao gồm hệ thống các phương pháp đánh giá cho phép đánh giá theo các cấp độ từ EAL 1 tới EAL 4 được quy định trong ISO 15408 Nội dung tiêu chuẩn ISO 18045 bao gồm các phần chính sau: 1 Giới thiệu 2 Phạm vi áp dụng 3 Thuật ngữ và định nghĩa... an ninh CNTT Tài liệu của ISO/ IEC 15408 được xuất bản bởi Các tổ chức tài trợ dự án về tiêu chuẩn thông thường như Tiêu chuẩn thông thường trong đánh giá An ninh CNTT Phiên bản thứ 2 đã được sửa đổi từ phiên bản thứ nhất (ISO/ IEC 154081:1999) được sử dụng thay thế cho phiên bản thứ nhất ISO/ IEC 15408 bao gồm ba phần, dưới tiêu đề chung là - CNTT - Kỹ thuật An ninh - Tiêu chuẩn đánh giá an ninh CNTT... chuẩn liên quan IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005 ISO/ IEC 18045:2005 được chuẩn bị bởi Tiểu ban SC 27 thuộc Ủy ban kỹ thuật chung ISO/ IEC JTC 1 năm 2005 có tên đầy đủ là Methodology for IT security evaluation Việc xây dựng tiêu chuẩn này có sự đóng góp và tham khảo ý kiến của cơ quan chính phủ thuộc nhiều nước: Pháp, Úc, Anh, Mỹ, Nhật, NewZealand, Đức, Tây ban nha và Hà lan Tiêu chuẩn này đưa ra... Trên thế giới, tiêu chuẩn quốc tế ISO/ IEC 17799 được sử dụng rất rộng rãi với hai phiên bản tiếng Anh và tiếng Pháp Tuy nhiên một số quốc gia khác đã sử dụng như tài liệu tham khảo quan trọng để tiến hành xây dựng các tiêu chuẩn tương thích cho quốc gia như: Nhật bản Tiêu chẩn ISO/ IEC 17799:2000 đã được dịch tại Nhật Bản vào năm 2002 với được xuất bản với tên gọi JIS X.5080 Nội dung tiêu chuẩn JIS X.5080 . dụng tiêu chuẩn ISO 27001 8 IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT 8 IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005 8 IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005 9 IV.3 Tiêu chuẩn kỹ thuật ISO. trên các tiêu chuẩn ISO/ IEC 17799:2005 và tiêu chuẩn AS/NZS ISO/ IEC 17799:2001. Tiêu chuẩn này hoàn toàn tương thích với tiêu chuẩn ISO/ IEC 17799:2005. Về nội dung tiêu chuẩn NZS ISO/ IEC 17799:2005. Internet ba tiêu chuẩn cần thiết nhất cần nghiên cứu áp dụng trong công tác đảm bảo an toàn thông tin là: TCVN 7562; ISO 17799 và ISO 27001. Hai tiêu chuẩn ISO 17799 và ISO 27001 là bộ tiêu chuẩn