CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN

Ngày nay, hầu hết mọi hoạt động của các tổ chức, đơn vị đều bị phụ thuộc vào máy tính, hạ tầng mạng và cơ sở thông tin. Chưa bao giờ vấn đề bảo mật và an toàn thông tin lại được coi trọng như hiện nay, trong bối cảnh mạng máy tính phá bỏ mọi ngăn cách, “mọi lúc, mọi nơi” người ta đều có thể lấy được thông tin cần thiết. Có không ít chuyện những cao thủ dễ dàng đột nhập vào kho thông tin tối mật của một quốc gia hay nhẹ nhàng nẫng đi khoản tiền kếch xù từ một ngân hàng danh tiếng. Cùng với sự phát triển mạnh mẽ của công nghệ thông tin, tội phạm mạng cũng trở nên ngày càng tinh vi với các kỹ thuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng

BỘ THÔNG TIN VÀ TRUYỀN THÔNGĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIATCVN xxx:2017

Mục Lục

CHƯƠNG 1 TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM 4

1 Tình hình quản lý an toàn thông tin chung trên thế giới 4

2 Tình hình quản lý an toàn thông tin ở Việt Nam 4

3 Kết Luận 5

CHƯƠNG 2 NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐC GIAVỀ QUẢN LÝ AN TOÀN THÔNG TIN 7

1 Các tiêu chuẩn quốc tế 7

1.1 Bộ tiêu chuẩn ISO/IEC 27000 7

1.2 Bộ tiêu chuẩn ISO/IEC 15408 27

2 Các tiêu chuẩn quốc gia 29

2.1 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 29

2.2 TCVN 7562:2005 ISO/IEC 17799:2000 30

2.3 Bộ TCVN 8709 40

3 Tiêu chuẩn áp dụng xây dựng chuẩn 43

CHƯƠNG 3 XÂY DỰNG TIÊU CHUẨN KỸ THUẬT QUỐC GIA VỀ QUẢNLÝ AN TOÀN THÔNG TIN 44

1 Lý do và mục đích xây dựng tiêu chuẩn 44

1.1 Lý do 44

1.2 Mục đích 44

2 Sở cứ xây dựng tiêu chuẩn 45

3 Phương pháp xây dựng tiêu chuẩn 45

3.1 Cấu trúc tiêu chuẩn 45

3.2 Đối chiếu với tài liệu tham khảo 46

3.3 Kiến nghị 49

CHƯƠNG 1 TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆTNAM

1 Tình hình quản lý an toàn thông tin chung trên thế giới

Ngày nay, hầu hết mọi hoạt động của các tổ chức, đơn vị đều bị phụ thuộc vào máytính, hạ tầng mạng và cơ sở thông tin Chưa bao giờ vấn đề bảo mật và an toàn thôngtin lại được coi trọng như hiện nay, trong bối cảnh mạng máy tính phá bỏ mọi ngăncách, “mọi lúc, mọi nơi” người ta đều có thể lấy được thông tin cần thiết Có không ítchuyện những cao thủ dễ dàng đột nhập vào kho thông tin tối mật của một quốc giahay nhẹ nhàng nẫng đi khoản tiền kếch xù từ một ngân hàng danh tiếng Cùng với sựphát triển mạnh mẽ của công nghệ thông tin, tội phạm mạng cũng trở nên ngày càngtinh vi với các kỹ thuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng.

Ngoài ra, các tổ chức còn phải đối mặt với rất nhiều loại hiểm họa an toàn từ nhiềunguồn khác nhau như gian lận, gián điệp, phá hoại, cháy nổ, lũ lụt….Vì vậy, vấn đềbảo mật và an toàn thông tin ngày càng trở nên cấp thiết Việc áp dụng các tiêu chuẩn,các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổ chức, đơn vị quantâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc Một trong nhữngnguyên nhân chính là do hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tinchưa đầy đủ nên cần sớm bổ sung và hoàn thiện hệ thống các tiêu chuẩn để áp dụngrộng rãi.

2 Tình hình quản lý an toàn thông tin ở Việt Nam

Vấn đề an toàn thông tin đang ngày càng cấp bách trên thế giới cũng như ở Việt Nam.Trong những năm gần đây, các hoạt đông thể chế hóa của nhà nước trong lĩnh vực antoàn thông tin được quan tâm hơn bao giờ hết Luật an toàn thông tin đang được tíchcực soạn thảo lấy ý kiến đóng góp rộng rãi trong xã hội Bên cạnh đó các cơ quan quảnlý chuyên ngành và triển khai bảo mật và an toàn thông tin đang được xây dựng vàkiện toàn tại các Bộ ngành địa phương.

Trong năm 2013, hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức điều tra vềhiện trạng an toàn thông tin tại Việt Nam với số liệu tổng hợp từ 600 tổ quốc (cơ quannhà nước và doanh nghiệp) Đánh giá theo chỉ số an toàn thông tin và được phân thành

5 nhóm, phản ánh hiện trạng môi trường và các biện pháp an toàn thông tin tại ViệtNam bao gồm:

1) Đào tạo, tuyên truyền nâng cao nhận thức về an toàn thông tin;

2) Ban hành các chính sách hỗ trợ an toàn thông tin và đầu tư kinh phí choan toàn thông tin;

3) Xây dựng tổ chức, đầu tư nhân lực an toàn thông tin;

4) Thực hiện các biện pháp về kỹ thuật đảm bảo an toàn thông tin;5) Thực hiện các biện pháp về quản lý đảm bảo an toàn thông tin.

Kết quả khảo sát chỉ số an toàn thông tin tại Việt Nam năm 2013 của VNISAKết quả điều tra cho thấy nhận thức về các vấn đề khó khăn trong việc thực thi bảo vệan toàn cho hệ thống thông tin, nhận thức về sự cần thiết tăng kinh phí đầu cho an toànthông tin của tổ chức trong năm sau là tương đối cao Nhưng về các biện pháp kĩ thuậthay biện pháp quản lý thì còn thấp.

3 Kết Luận

Từ đó cho thấy, sự bùng nổ của Internet, của thương mại điện tử bên cạnh việc tạo ranhững cơ hội lớn là những nguy cơ rủi ro cho nền kinh tế và xã hội hiện đại Mặc dùnhận thức về an toàn thông tin của các doanh nghiệp tư nhân hay nhà nước đã đượcchú trọng Nhưng tội phạm công nghệ cao ngày một tinh vi, các vấn đề mất an toàn

thông tin, mất an toàn mạng là một nguy cơ hiện hữu và ngày càng trở nên nguy hiểm.Chúng ta cần phải có những biện pháp quản lý thích hợp nhằm phòng chống hạn chếtối đa những thiệt hại của việc mất an toàn thông tin mang lại Phần tiếp theo sẽ trìnhbày về tình hình xây dựng các tiêu chuẩn an toàn thông tin trên thế giới và tại ViệtNam Sau khi có cái nhìn toàn cảnh về tình hình tiêu chuẩn hóa, cũng như phạm vi củatiêu chuẩn xây dựng trong toàn bộ dự án nhóm xây dựng tiêu chuẩn sẽ xác định và đưara được hướng xây dựng tiêu chuẩn.

CHƯƠNG 2 NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐCGIA VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Trước khi đi vào xây dựng tiêu chuẩn cụ thể ở phần sau, trong phần này sẽ rà soát cáctiêu chuẩn quốc tế và quốc gia về quản lý an toàn thông tin.

1 Các tiêu chuẩn quốc tế

1.1 Bộ tiêu chuẩn ISO/IEC 27000

Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình để thiết lập, thực hiện, điều hành,theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (ISMS) Bộtiêu chuẩn ISO/IEC 27000 được soạn thảo bởi ủy ban kỹ thuật chung ISO/IEC JTC 1,công nghệ thông tin, tiểu ban SC 27, các kỹ thuật an toàn thông tin ISMS được thiếtkế nhằm đảm bảo rằng sự lựa chọn các phương pháp kiểm soát an toàn thỏa đáng vàphù hợp nhằm bảo vệ các tài sản thông tin và tạo niềm tin cho các bên quan tâm.

Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá được cái rủi ro, xây dựng cácbiện pháp và tạo ý thức, trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổchức.

Bộ tiêu chuẩn này có thể áp dụng cho tất cả các loại hinh tổ chức (như các doanhnghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận) Tiêu chuẩn này xác định cácyêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét duy trì và cải tiến ISMSdạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ chức Xác địnhrõ các yêu cầu thực hiện kiểm soát an toàn tùy biến cho phù hợp với từng tổ chức haycác bộ phận riêng rẽ.

Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau :a) ISO/IEC 27000 – ISMS Tổng quát và từ vựng;b) ISO/IEC 27001 – ISMS yêu cầu;

c) ISO/IEC 27002 –Chuẩn mực thực hiện ISM;d) ISO/IEC 27003 – Hướng dẫn triển khai ISMS;e) ISO/IEC 27004 – Đo lường ISM;

f) ISO/IEC 27005 – Quản lý rủi ro IS;

g) ISO/IEC 27006 – Yêu cầu về tổ chức đánh giá và chứng nhận ISMS;h) ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông;

i) ISO 27799 – ISM trong y tế sử dụng ISO/IEC 27002;j) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;

k) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMS controls;

l) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC27001;

m) ISO/IEC 27014 – Khung quản lý IS;

n) ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;o) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;p) ISO/IEC 27032 – Hướng dẫn cybersecurity;

q) ISO/IEC 27033 – IT network security;

r) ISO/IEC 27034 – Hướng dẫn application security;s) ISO/IEC 27035 – Quản lý security incident;

t) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;

u) ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận và bảo quản cácbằng chứng số.

Có một số tiêu chuẩn không được đề cập (ví dụ như ISO 27012 cho egovermment) làdo nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nângcấp lên thành tiêu chuẩn do Ủy ban kỹ thuật của ISO và IEC quyết định.

Dưới đây là bảng quan hệ của các chuẩn 27000 thuộc bộ chuẩn ISMS.

Hình 1.1 Quan hệ của các chuẩn trong bộ chuẩn ISMS

Trong các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 sẽ đề cập đến các chuẩn cóliên quan nhiều đến quản lý an toàn thông tin như chuẩn ISO/IEC 27000, ISO/IEC27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 20006.

1.1.1 Tiêu chuẩn ISO/IEC 27000

ISO/IEC 27000:2014 - Information technology – Security techniques - Information

security management systems - Overview and vocabulary

ISO / IEC 27000: 2014 cung cấp một cái nhìn tổng quan của hệ thống quản lý an ninhthông tin đó là hoàn toàn phù hợp với tiêu chuẩn ISO / IEC 27001: 2013 và ISO / IEC27002: 2013, cập nhật (1/2014) và định nghĩa cho toàn bộ khối ISO/IEC 27000 củachuẩn ISMS.

Mục đích:

Tiêu chuẩn này cần thiết cho tất cả các tổ chức thực hiện một hệ thống quản lý an ninhthông tin (ISMS), cho dù trong khu vực tư nhân, công cộng hay phi lợi nhuận

1.1.2 Tiêu chuẩn ISO/IEC 27001

ISO/IEC 27001 -Information security management systems – Requirements.

ISO / IEC 27001 là tiêu chuẩn có tiếng nhất trong khối chuẩn cung cấp các yêu cầucho một hệ thống quản lý an ninh thông tin (ISMS).

Mục đích

Sử dụng tiêu chuẩn này sẽ giúp cho các tổ chức quản lý an toàn các dạng tài sản nhưthông tin tài chính, sở hữu trí tuệ, chi tiết nhân viên hoặc thông tin giao phó cho bạnbởi các bên thứ ba ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được vớimọi lĩnh vực kinh tế trên toàn thế giới Thông qua việc triển khai một hệ thống vữngchắc để quản lý thông tin trong tổ chức, bạn có thể bảo vệ được tài sản thông tin, đảmbảo được sự liên tục trong kinh doanh nếu có xảy ra sự phá hoại hoặc mất mát nào.Mất mát hoặc phá hoại có thể do rất nhiều nguyên nhân; thiên tai như hoả hạn hoặc lũlụt, sự mất mát ngẫu nhiên hoặc do quản lý kém, bị mua chuộc hoặc bị đánh cắp,những mất mát này có thể gây ra những hậu quả khôn lường cho tổ chức.

Thông tin có thể là dữ liệu mà tổ chức sở hữu và nó có thể là những dữ liệu được lưulại dưới dạng điện tử, thông tin được chuyển qua bưu điện hay email, các dữ liệu hoặcthông tin được in ra mà từng người trong tổ chức của bạn lưu giữ Thông qua việc triểnkhai ISO 27001 tổ chức sẽ xác định được loại thông tin trong tổ chức và xác định cácmối nguy và mối đe doạ Sau đó bạn có thể thiết lập hệ thống, thiết lập sự kiểm soát vàcác quy trình để giảm thiểu các mối nguy hiểm.

1.1.3 Tiêu chuẩn ISO/IEC 27002

ISO/IEC 27002 - Công nghệ thông tin - Quy tắc thực hành quản lý an toàn thông

tin - ISO 1087:2000 Thuật ngữ - Từ vựng (Terminology – Vocabulary)

Phiên bản hiện tại: ISO/IEC 27002: 2013

Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thếchính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và năm 2007 được đổi tênthành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng cùng với các tiêu chuẩn khác vềquản lý an toàn thông tin trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tinISO/IEC 27000 Sau gần 8 năm ra đời, đã có rất nhiều thay đổi trên thế giới về an toànthông tin, các mối đe doạ, các điểm yếu kỹ thuật, các rủi ro liên quan đến điện toánđám mây, dữ liệu lớn, và nhất là an ninh mạng Do vậy hơn 3 năm qua, các tổ chứctiêu chuẩn quốc gia trên toàn thế giới đã tổ chức cuộc họp với các chuyên gia chuyênngành tìm kiếm các điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC27002:2013 Tiêu chuẩn ISO/ IEC 27002:2013 được công bố năm 2013 đã có rất nhiềuthay đổi về cấu trúc, nội dung các phần Nội dung được viết lại cho tập trung và côđọng hơn (rút ngắn số trang so với bản 2005)

Mục tiêu

Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai,duy trì và cải thiện công tác quản lý an toàn thông tin trong một tổ chức Mục tiêu đặtra của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chungđã được công nhận về quản lý an toàn thông tin.

Các mục tiêu và biện pháp kiểm soát của tiêu chuẩn này được triển khai đáp ứng cácyêu cầu được xác định bởi quá trình đánh giá rủi ro Tiêu chuẩn này có thể đóng vai

trò như một định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn cho tổchức và thực hành quản lý an toàn hiệu quả và giúp tạo dựng sự tin cậy trong các hoạtđộng liên tổ chức.

Nội dung

Cấu trúc nội dung của phiên bản 27002:2013

0: Giới thiệu 1: Phạm vi

2: Tham khảo tiêu chuẩn3 Giới hạn và định nghĩa

4 cấu trúc của chuẩn tham khảo5 Chính sách bảo mật thông tin6 Tổ chức bảo mật thông tin7 Nguồn nhân lực an ninh

8 Quản lý tài nguyên9, điều khiển truy cập10 Khóa giao tiếp

11 Phần vật lý và môi trường bảo mật12 Hoạt động bảo mật

13 An toàn trao đổi

14 Hệ thống tiếp nhận, phát triển vàduy trì

15 Quan hệ khách hàng

16 Quản lý sợ cố bảo mật thông tin

17 Các dạng bảo mật của khía cạnhkinh doanh

Tiêu chuẩn này tập trung vào các khía cạnh quan trọng, cần thiết cho việc thiết kếthành công và thực hiện một hệ thống quản lý an ninh thông (ISMS) theo tiêu chuẩnISO/IEC 27001:2005 Nó mô tả các quá trình của ISMS được đặc tả và thiết kế từ khibắt đầu đến khi thực hiện kế hoạch sản xuất

Nó mô tả các quá trình có sự chấp thuận quản lý để thực hiện một ISMS, xác định mộtdự án để thực hiện một ISMS (được đề cập trong tiêu chuẩn này là các dự án ISMS),và cung cấp hướng dẫn về cách lập kế hoạc dự án ISMS.

Mục đích:

Các tổ chức có thể phát triển một quy trình quản lý an ninh thông tin, cho các bên liênquan đảm bảo rằng rủi ro đối với tài sản thông tin liên tục được duy trì trong giới hạnan ninh thông tin chấp nhận được theo quy định của tổ chức Tiêu chuẩn này khôngbao gồm các hoạt động nghiệp vụ và các hoạt động ISMS khác, nhưng bao gồm cáckhái niệm về cách thiết kế các hoạt động đó sẽ cho kết quả sau khi các hoạt độngISMS bắt đầu Việc thực hiện thực tế của một phần cụ thể của một dự án ISMS làkhông nằm trong phạm vi của tiêu chuẩn này.

1.1.5 ISO/IEC 27004

ISO/IEC 27004:2009 - Information security risk management

ISO/IEC 27004:2009là chuẩn của các phép đo liên quan đến quản lý an ninh thông tin:thường được gọi là “thước đo an ninh”.

- Phân tích thông tin và báo cáo kết quả đo;

- Đánh giá chương trình đo lường an ninh thông tin và cải tiến.Mục đích:

Cung cấp hướng dẫn về việc phát triển và sử dụng các biện pháp đo lường, đánh giáhiệu quả của một hệ thống quản lý an ninh thông tin, như quy định trong tiêu chuẩnISO 27001 Nó được thiết kế để giúp thiết lập một tổ chức thực hiện ISMS một cáchhiệu quả

1.1.6 ISO/IEC 27005

ISO/IEC 27005:2011 - Information technology - Security techniques - Information

security risk management.

Tiêu chuẩn này cung cấp hướng dẫn cho việc quản lý rủi ro an toàn thông tin trongmột tổ chức, đặc biệt hỗ trợ yêu cầu quản lý an toàn thông tin (ISMS) theo tiêu chuẩnISO/IEC 27001 Tuy nhiên, tiêu chuẩn này không cung cấp bất kỳ phương pháp cụ thểđể quản lý rủi ro an toàn thông tin Đó là cách để tổ chức xác định cách tiếp cận của họđể quản lý rủi ro, ví dụ tùy thuộc vào phạm vi của ISMS, bối cảnh của quản lý rủi ro,hoặc lĩnh vực công nghiệp Một số phương pháp hiện tại có thể được sử dụng trongkhuôn khổ mô tả trong tiêu chuẩn này để thực hiện các yêu cầu của một ISMS.Tiêuchuẩn này có liên quan đến quản lý rủi ro an toàn thông tin với nhân viên trong hoặcbên ngoài tổ chức, thích hợp hỗ trợ các hoạt động như vậy.

Tiêu chuẩn này cung cấp hướng dẫn cho việc quản lý rủi ro an toàn thông tin Tiêuchuẩn này hỗ trợ các khái niệm chung được quy định trong ISO/IEC 27001 và đượcthiết kế để hỗ trợ việc thực hiện thỏa đáng về an toàn thông tin dựa trên phương pháp

quản lý rủi ro Kiến thức về các khái niệm, mô hình, quy trình và thuật ngữ mô tảtrong ISO/IEC 27001 và ISO/IEC 27002 là quan trọng cho việc hiểu rõ các tiêu chuẩnnày Tiêu chuẩn này được áp dụng cho tất cả các loại hình tổ chức (ví dụ như cácdoanh nghiệp thương mại, cơ quan chính phủ, các tổ chức phi lợi nhuận) mà có ý địnhđể quản lý rủi ro có thể thỏa hiệp bảo mật thông tin của tổ chức.

1.1.7 ISO/IEC 27006

ISO/IEC 27006 - Requirements for bodies providing audit and certification of

information security management systems.

ISO / IEC 27006 là tiêu chuẩn dùng để hướng dẫn các cơ quan cấp giấy chứng nhậnvào các quá trình chính thức mà họ phải tuân theo khi kiểm toán hệ thống thông tinkhách hàng của họ 'Security Management (ISMSs) so với tiêu chuẩn ISO / IEC 27001để xác nhận hoặc đăng ký họ tuân thủ Các quy trình kiểm định đặt ra trong việc bảođảm tiêu chuẩn ISO / IEC 27001 chứng chỉ do các tổ chức được công nhận là hợp lệ.ISO / IEC 27006 là tiêu chuẩn công nhận rằng hướng dẫn các cơ quan cấp giấy chứngnhận vào các quá trình chính thức mà họ phải tuân theo khi kiểm toán Hệ thống thôngtin khách hàng của họ 'Security Management (ISMSs) so với tiêu chuẩn ISO / IEC27001 để xác nhận hoặc đăng ký họ tuân thủ Các quy trình kiểm định đặt ra trong việcbảo đảm nhân đạo tiêu chuẩn ISO / IEC 27001 chứng chỉ do các tổ chức được côngnhận là hợp lệ.

Mục đích

Tiêu chuẩn ISO/IEC 27006 là để "xác định yêu cầu và hướng dẫn các cơ quan đánhgiá và chứng nhận hệ thống quản lý an ninh thông tin (ISMS), ngoài các yêu cầu nêutrong ISO/IEC 17021 và ISO/IEC 27001 Đó là chủ yếu nhằm hỗ trợ công nhận của cơquan cấp giấy chứng nhận cung cấp chứng nhận ISMS”.

1.1.8 ISO/IEC 27007

ISO.IEC 27007:2011 - Information technology - Security techniques - Guidelines

for information security management systems auditing

Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an ninh thông tin(ISMS) chương trình kiểm toán và tiến hành các cuộc kiểm toán nội bộ hoặc bên ngoài

theo tiêu chuẩn ISO/IEC 27001: 2005, cũng như hướng dẫn về thẩm quyền và đánh giácủa kiểm toán viên, nên được sử dụng kết hợp với các hướng dẫn có trong ISO 19011 Hướng dẫn này là dành cho tất cả người sử dụng, bao gồm cả các tổ chức có quy môvừa và nhỏ ISO 19011, hướng dẫn cho các hệ thống quản lý kiểm toán, cung cấphướng dẫn về quản lý các chương trình kiểm toán, tiến hành đánh giá trong nội bộ haybên ngoài hệ thống quản lý, cũng như về thẩm quyền và đánh giá của kiểm toán viênhệ thống quản lý Các văn bản trong tiêu chuẩn này theo cấu trúc của ISO 19011, vàhướng dẫn ISMS cụ thể thêm về việc áp dụng tiêu chuẩn ISO 19011 cho ISMS kiểmtoán được xác định bằng hai chữ "IS".

Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an ninh thông tin(ISMS) chương trình kiểm toán, trên việc thực hiện việc kiểm toán, và về thẩm quyềncủa ISMS kiểm toán viên, ngoài các hướng dẫn có trong ISO 19011.Tiêu chuẩn nàyđược áp dụng cho những người cần phải hiểu hoặc thực hiện kiểm toán nội bộ hoặcbên ngoài ISMS hoặc để quản lý một chương trình kiểm toán ISMS.

1.1.9 ISO/IEC 27008

ISO/IEC 27008:2011 - Information technology - Security techniques - Guidelines

for auditors on information security controls.

Tiêu chuẩn này cung cấp hướng dẫn về quản lý một hệ thống quản lý an toàn thông tin(ISMS) chương trình kiểm toán, trên thực hiện việc kiểm toán, và về thẩm quyền củaISMS kiểm toán viên, ngoài các hướng dẫn có trong ISO 19011.Tiêu chuẩn này đượcáp dụng cho những người cần phải hiểu hoặc thực hiện kiểm toán nội bộ hoặc bênngoài của một ISMS hoặc để quản lý một chương trình kiểm toán ISMS.

Tiêu chuẩn này cung cấp hướng dẫn về việc rà soát việc thực hiện và hoạt động củađiều khiển, bao gồm cả kiểm tra việc tuân thủ kỹ thuật của hệ thống điều khiển thôngtin, phù hợp với các tiêu chuẩn được thiết lập an ninh thông tin của tổ chức Tieeucchuẩn kỹ thuật này được áp dụng cho tất cả các loại và qui mô của các tổ chức, baogồm cả công cộng và các công ty tư nhân, các tổ chức chính phủ, và phi lợi nhuận, tổchức hoạt động thông tin đánh giá an ninh và kiểm tra việc tuân thủ kỹ thuật Báo cáokỹ thuật này không dành cho các hệ thống quản lý kiểm toán.

1.1.10 ISO/IEC 27011

ISO/IEC 27011:2008 - Information security management guidelines for

telecommunications organizations based on ISO/IEC 27002

Phạm vi của khuyến nghị này là xác định hướng dẫn hỗ trợ thực hiện quản lý an ninhthông tin trong các tổ chức viễn thông.

Mục đích

Việc áp dụng khuyến nghị sẽ cho phép các tổ chức viễn thông để đáp ứng yêu cầuquản lý an ninh thông tin cơ bản về bảo mật, tính toàn vẹn, tính sẵn có và bất kỳ tài sảnbảo đảm có liên quan khác.

ISO 27011 thiết lập các hướng dẫn và nguyên tắc chung để bắt đầu, triển khai, duy trìvà cải thiện ISM trong các tổ chức viễn thông dựa trên tiêu chuẩn ISO/ IEC 27002.Hiện nay ISO 27011 bao gồm bộ điều khiển viễn thông mở rộng mới và hướng dẫnthực hiện cho một tổ chức viễn thông Tiêu chuẩn này cung cấp một cơ sở thực hiệnISM trong các tổ chức viễn thông để đảm bảo bí mật, toàn vẹn và tính sẵn sàng củathiết bị và dịch vụ viễn thông Các tổ chức khi thực hiện ISO 27011 sẽ có thể đảm bảotính bảo mật, tính toàn vẹn và tính sẵn sàng của thiết bị và dịch vụ viễn thông toàn cầu.Đã được thông qua quá trình hợp tác an toàn và kiểm soát đảm bảo rủi ro trong việccung cấp các dịch vụ viễn thông Có thể dùng để triển khai các nguồn lực để hoạt độnghiệu quả hơn Tiêu chuẩn đã thông qua một phương pháp tiếp cận toàn diện phù hợpđể bảo mật thông tin Có thể nâng cao nhận thực cá nhân và tăng sự tin tưởng.

1.1.11 ISO/IEC 27013

ISO/IEC 27013:2012 - Information technology - Security techniques - Guidance on

the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Mối quan hệ giữa an ninh thông tin và quản lý dịch vụ là rất gần mà nhiều tổ chức đãnhận ra những lợi ích của việc áp dụng cả hai tiêu chuẩn: ISO/IEC 27001 cho an ninhthông tin và tiêu chuẩn ISO/IEC 20.000-1 cho quản lý dịch vụ Nó được dùng phổ biếncho một tổ chức để cải thiện cách thức nó hoạt động cho phù hợp với các yêu cầu củamột tiêu chuẩn quốc tế và sau đó thực hiện những cải tiến để phù hợp với các yêu cầucủa người dùng khác nhau.Có một số lợi thế trong việc thực hiện một hệ thống quản lý

tích hợp trong đó sẽ đưa vào tài khoản không chỉ là cung cấp dịch vụ mà còn bảo vệ tàisản thông tin Những lợi ích này vẫm có cho dù một tiêu chuẩn được thực hiện trước,hay cả hai tiêu chuẩn được thực hiện đồng thời Quản lý và tổ chức các quy trình, đặcbiệt, có thể hưởng lợi từ sự tương đồng giữa các tiêu chuẩn quốc tế và các mục tiêuchung của họ.

Mối quan hệ giữa an ninh thông tin và quản lý dịch vụ là rất gần mà nhiều tổ chức đãnhận ra những lợi ích của việc áp dụng cả hai tiêu chuẩn: ISO/IEC 27001 cho an ninhthông tin và tiêu chuẩn ISO/IEC 20.000-1 cho quản lý dịch vụ Nó được phổ biến chomột tổ chức để cải thiện cách thức nó hoạt động cho phù hợp với các yêu cầu của mộttiêu chuẩn quốc tế và sau đó thực hiện những cải tiến để phù hợp với các yêu cầu củangười khác.

Có một số lợi thế trong việc thực hiện một hệ thống quản lý tích hợp trong đó sẽ đưavào tài khoản không chỉ là cung cấp dịch vụ mà còn bảo vệ tài sản thông tin Nhữnglợi ích này có thể được hiệm cho dù một tiêu chuẩn được thực hiện trước khi ngườikia, hoặc cả hai tiêu chuẩn được thực hiện đồng thời Quản lý và tổ chức các quy trình,đặc biệt, có thể hưởng lợi từ sự tương đồng giữa các tiêu chuẩn quốc tế và các mụctiêu chung của họ.

Những lợi ích chính của một thực hiện tích hợp bao gồm:

a) độ tin cậy, để khách hàng nội bộ hay bên ngoài của các tổ chức, các dịch vụ hiệuquả và an toàn;

b) chi phí thấp hơn của một chương trình kết hợp của hai dự án, trong đó đạt đượccả quản lý dịch vụ và an ninh thông tin là một phần của chiến lược của một tổ chức; c) giảm thời gian thực hiện do sự phát triển tích hợp các quy trình chung cho cả haitiêu chuẩn;

d) loại bỏ sự trùng lặp không cần thiết;

e) một sự hiểu biết hơn của dịch vụ quản lý và nhân viên an ninh của các quan điểmcủa người kia;

f) một tổ chức chứng nhận ISO/IEC 27001 có thể dễ dàng đáp ứng các yêu cầu vềan ninh thông tin trong ISO/IEC 20.000-1: 2011, phân lớp 6.6, khi cả hai tiêu chuẩnquốc tế được bổ sung trong các yêu cầu.

Hướng dẫn này dựa trên các phiên bản xuất bản của cả hai tiêu chuẩn quốc tế, tiêuchuẩn ISO/IEC 27001: 2005 và ISO/IEC 20.000-1: 2011.

Tiêu chuẩn này được thiết kế để sử dụng bởi người có kiến thức của cả hai, hoặc làhoặc không phải của các tiêu chuẩn quốc tế ISO / IEC 27001 và ISO / IEC 20.000-1 Do đó, tiêu chuẩn này không tái tạo các bộ phận của một trong hai tiêu chuẩn Tươngtự, nó không mô tả tất cả các bộ phận của mỗi tiêu chuẩn quốc tế một cách toàn diện.Chỉ có những phần mà chồng chéo đối tượng được mô tả chi tiết.

Tiêu chuẩn này không đưa ra hướng dẫn liên quan đến pháp luật và các quy định khácnhau bên ngoài sự kiểm soát của tổ chức Đây có thể khác nhau tùy theo quốc gia vàảnh hưởng đến quy hoạch hệ thống quản lý của một tổ chức.

cả các loại và qui mô của các tổ chức" (ISO/IEC 27014: 2013) Các tương đối ngắn,mười một tiêu chuẩn trang phác thảo quản trị của khái niệm an ninh thông tin và cungcấp một khuôn khổ của sáu nguyên tắc và khuôn khổ năm (ISO/IEC 27014: 2013).Tiêu chuẩn này xem việc quản trị của CNTT như chồng chéo với quản trị an ninhthông tin, cả những yếu tố này là các bộ phận onstituent của khái niệm rộng hơn vềquản trị tổ chức (ISO/IEC 27.014: 2013)

1.1.13 ISO/IEC 27015

ISO/IEC 27015:2012 - Information technology - Security techniques - Information

security management guidelines for financial services.

Phát triển liên tục trong công nghệ thông tin đã dẫn đến một sự phụ thuộc tăng của cáctổ chức cung cấp dịch vụ tài chính về tài sản của họ xử lý thông tin Do đó, quản lý,khách hàng và các nhà quản lý đã được nâng cao kỳ vọng về một sự bảo vệ an toànthông tin có hiệu quả với tài sản và các thông tin xử lý Trong khi đó, theo tiêu chuẩnISO/IEC 27001: 2005 và ISO/IEC 27002: 2005 thông tin địa chỉ quản lý an ninh vàđiều khiển, họ làm như vậy trong một hình thức tổng quát Tổ chức cung cấp dịch vụtài chính có nhu cầu bảo mật thông tin và những khó khăn cụ thể trong tổ chức tươngứng của họ hoặc trong khi thực hiện các giao dịch tài chính với các đối tác kinh doanh,đòi hỏi trình độ cao của sự phụ thuộc giữa các bên liên quan Báo cáo kỹ thuật này làmột bổ sung cho ISO IEC 27000 – họ gia đình của tiêu chuẩn quốc tế để sử dụng bởicác tổ chức cung cấp dịch vụ tài chính Đặc biệt, những hướng dẫn trong báo cáo kỹthuật này bổ sung và bổ sung để kiểm soát an ninh thông tin quy định trong ISO/IEC27002: 2005 Thuật ngữ "dịch vụ tài chính" nên được hiểu như là các dịch vụ trongquản lý, đầu tư, chuyển nhượng, hoặc cho vay tiền mà có thể được cung cấp bởi các tổchức cung cấp chuyên môn tài chính của họ hơn là bán sản phẩm vật lý (tức là bất cứai trong "kinh doanh tiền") Ngoài việc thực hiện của cả hai tiêu chuẩn ISO/IEC27001: 2005 và ISO/IEC 27002: 2005, bằng cách sử dụng báo cáo kỹ thuật này, các tổchức cung cấp dịch vụ tài chính có thể thành lập một mức độ cao hơn của sự tin tưởngtrong tổ chức của họ, với khách hàng và với các đối tác kinh doanh, trong Đặc biệt, khicó thể chứng minh rằng họ đã thông qua hướng dẫn cụ thể của ngành để quản lý an

ninh thông tin Báo cáo kỹ thuật này phản ánh tình trạng của nghệ thuật và không đượcdùng cho mục đích chứng nhận.

Tiêu chuẩn kỹ thuật này cung cấp bảo mật thông tin hướng dẫn bổ sung và ngoài kiểmsoát an ninh thông tin quy định trong ISO/IEC 27002:2005 khởi tạo, thực hiện, duy trìvà cải thiện an ninh thông tin trong các tổ chức cung cấp dịch vụ tài chính.

1.1.14 ISO/IEC 27016

ISO/IEC 27016:2014 - Information technology - Security techniques - Information

security management - Organizational economics

Tiêu chuẩn kỹ thuật này cung cấp hướng dẫn về kinh tế an toàn thông tin là một quátrình ra quyết định liên quan đến việc sản xuất, phân phối và tiêu thụ hàng hóa và dịchvụ hạn chế Hành động để bảo vệ các tài sản thông tin của một tổ chức đòi hỏi nguồnlực, mà nếu không có thể được giao cho người không-an ninh thông tin liên quan đếnsử dụng thay thế Các độc giả của tiêu chuẩn kỹ thuật này chủ yếu được dùng để quảnlý điều hành đã giao phó trách nhiệm từ các cơ quan quản lý về chiến lược và chínhsách, ví dụ như Cán bộ Giám đốc điều hành (CEO), Thủ trưởng các tổ chức Chínhphủ, các cán bộ tài chính trưởng (CFO), các cán bộ trưởng điều hành (Coos), Sĩ quanthông tin trưởng (CIO), các cán bộ an toàn thông tin trưởng (CISOs) và vai trò tươngtự.

Quản lý an toàn thông tin thường được xem như là một phương pháp tiếp cận côngnghệ thông tin chỉ bằng cách sử dụng điều khiển kỹ thuật (ví dụ như mã hóa, truy cậpvà quản lý đặc quyền, tường lửa, và sự xâm nhập và xóa mã độc) Tuy nhiên, bất kỳứng dụng bảo mật thông tin là không có hiệu quả mà không xem xét một loạt các điềukhiển khác (ví dụ như điều khiển vật lý, kiểm soát nguồn nhân lực, chính sách và cácquy tắc, vv) Một quyết định đã được thực hiện để dành đủ nguồn lực để hỗ trợ mộtloạt các điều khiển như là một phần của quản lý an ninh thông tin Báo cáo kỹ thuậtnày hỗ trợ các mục tiêu lớn của bảo mật thông tin theo quy định tại các tiêu chuẩnISO/IEC 27000 gia đình đạt tiêu chuẩn bằng cách giới thiệu kinh tế như là một thànhphần quan trọng của quá trình ra quyết định.

Cùng với một cách tiếp cận quản lý rủi ro (ISO/IEC 27005) và khả năng thực hiện cácphép đo an toàn thông tin (ISO / IEC 27004), các yếu tố kinh tế cần phải được xem xétnhư là một phần của quản lý an toàn thông tin khi lập kế hoạch, triển khai, duy trì vàcải thiện sự an toàn của tài sản thông tin của tổ chức Đặc biệt, luận cứ kinh tế đượcyêu cầu phải đảm bảo chi tiêu về an ninh thông tin là hiệu quả như trái ngược với việcsử dụng các nguồn lực một cách kém hiệu quả hơn.

Thông thường, lợi ích kinh tế của mối quan tâm quản lý an toàn thông tin một hoặcnhiều điều sau đây:

a) giảm thiểu bất kỳ tác động tiêu cực đến mục tiêu kinh doanh của tổ chức;b) đảm bảo bất kỳ tổn thất tài chính là chấp nhận được;

c) tránh các yêu cầu về vốn tăng thêm nguy cơ và dự phòng trích lập dự phòng.Quản lý an toàn thông tin cũng có thể tạo ra lợi ích mà không phải do vấn đề tài chínhmột mình Trong khi những lợi ích phi tài chính là quan trọng, họ thường bị loại khỏiphân tích kinh tế dựa tài chính Lợi ích như vậy cần phải được định lượng và bao gồmnhư là một phần của các phân tích kinh tế Các ví dụ bao gồm:

a) tạo điều kiện cho các doanh nghiệp tham gia vào các nỗ lực có nguy cơ cao;b) tạo điều kiện cho các doanh nghiệp để đáp ứng các nghĩa vụ pháp lý và quyđịnh;

c) quản lý kỳ vọng của khách hàng của tổ chức;d) quản lý kỳ vọng của cộng đồng của tổ chức;e) duy trì một danh tiếng tổ chức đáng tin cậy;

f) cung cấp bảo đảm đầy đủ và chính xác của các báo cáo tài chính.

Tác động kinh tế tài chính và phi tài chính tiêu cực như là một kết quả của một sự thấtbại của tổ chức để cung cấp bảo vệ đầy đủ các tài sản thông tin của nó đang ngày càngtrở thành một vấn đề kinh doanh Giá trị của quản lý an toàn thông tin bao gồm xácđịnh một mối quan hệ trực tiếp giữa chi phí kiểm soát để ngăn chặn sự mất mát, và cácchi phí lợi ích của việc tránh thua lỗ.

Tăng mức độ cạnh tranh được dẫn đến sự cần thiết cho các tổ chức để tập trung vàokinh tế của rủi ro.

Báo cáo kỹ thuật này bổ sung các tiêu chuẩn ISO / IEC 27000 gia đình đạt tiêu chuẩnbởi đè một góc độ kinh tế về bảo vệ tài sản thông tin của một tổ chức trong bối cảnhcủa môi trường xã hội rộng rãi, trong đó một tổ chức hoạt động.

Tiêu chuẩn này cung cấp hướng dẫn kỹ thuật về cách tổ chức có thể đưa ra quyết địnhđể bảo vệ thông tin và hiểu hậu quả kinh tế của các quyết định trong bối cảnh các yêucầu đối với các nguồn lực cạnh tranh.

Tiêu chuẩn kỹ thuật này được áp dụng cho tất cả các loại và kích cỡ của các tổ chức vàcung cấp thông tin để quyết định kinh tế trong quản lý an ninh thông tin của lãnh đạonhững người có trách nhiệm về các quyết định an ninh thông tin.

1.1.15 ISO/IEC 27031

ISO/IEC 27031:2011 - Information technology - Security techniques - Guidelines

for information and communication technology readiness for business continuity

Trong những năm qua, công nghệ thông tin và truyền thông (ICT) đã trở thành mộtphần không thể thiếu của rất nhiều các hoạt động đó là những yếu tố của cơ sở hạ tầngquan trọng trong tất cả các lĩnh vực tổ chức, cho dù công cộng, tư nhân hoặc tựnguyện Sự phát triển của Internet và các dịch vụ mạng điện tử khác, và khả năng hiệnnay của hệ thống và các ứng dụng, cũng có nghĩa là các tổ chức càng trở nên phụthuộc nhiều hơn vào cơ sở hạ tầng công nghệ thông tin đáng tin cậy, an toàn và antoàn.

Trong khi đó, nhu cầu quản lý kinh doanh liên tục (BCM), bao gồm chuẩn bị sự cố,lập kế hoạch khôi phục thảm họa và ứng phó khẩn cấp và quản lý, đã được công nhậnvà hỗ trợ với các lĩnh vực cụ thể của kiến thức, chuyên môn và các tiêu chuẩn xâydựng và ban hành trong những năm gần đây, bao gồm cả các BCM tiêu chuẩn quốc tếđược phát triển bởi ISO / TC 223.

ISO/TC 223 đang trong quá trình phát triển của một quản lý kinh doanh liên tục cóliên quan tiêu chuẩn quốc tế (ISO 22301).

Thất bại của các dịch vụ công nghệ thông tin, bao gồm cả sự xuất hiện của các vấn đềan ninh như hệ thống xâm nhập và lây nhiễm phần mềm độc hại, sẽ ảnh hưởng đếntính liên tục của hoạt động kinh doanh Do đó việc quản lý công nghệ thông tin và liêntục có liên quan và các khía cạnh an ninh khác tạo thành một phần quan trọng của cácyêu cầu kinh doanh liên tục Hơn nữa, trong phần lớn các trường hợp, các chức năngkinh doanh quan trọng đòi hỏi phải liên tục kinh doanh thường phụ thuộc vào côngnghệ thông tin Sự phụ thuộc này có nghĩa rằng sự gián đoạn để ICT có thể cấu thànhrủi ro chiến lược đối với danh tiếng của tổ chức và khả năng của mình để hoạt động.Sẵn sàng ICT là một thành phần thiết yếu đối với nhiều tổ chức trong việc thực hiệnquản lý kinh doanh liên tục và quản lý an ninh thông tin Là một phần của việc thựchiện và hoạt động của một hệ thống quản lý an ninh thông tin (ISMS) được quy địnhtrong tiêu chuẩn ISO/IEC 27001 và hệ thống quản lý kinh doanh liên tục (BCMS)tương ứng, nó là rất quan trọng để phát triển và thực hiện một kế hoạch sẵn sàng chocác dịch vụ công nghệ thông tin để giúp đảm bảo kinh doanh liên tục.

Kết quả là, BCM hiệu quả là thường xuyên phụ thuộc vào sự sẵn sàng ICT hiệu quả đểđảm bảo rằng các mục tiêu của tổ chức có thể tiếp tục được đáp ứng trong thời giangián đoạn Điều này đặc biệt quan trọng là những hậu quả của sự gián đoạn ICTthường có những biến chứng nhất của việc vô hình và / hoặc khó phát hiện.

Để cho một tổ chức để đạt được sự sẵn sàng cho công nghệ thông tin kinh doanh liêntục (IRBC), nó cần phải đưa ra một quy trình hệ thống để ngăn chặn, dự đoán và quảnlý gián đoạn ICT và các sự cố có khả năng làm gián đoạn dịch vụ công nghệ thông tin.Điều này có thể đạt được tốt nhất bằng cách áp dụng các Plan-Do-Check-Act (PDCA)bước theo chu kỳ như là một phần của một hệ thống quản lý trong lĩnh vực CNTTIRBC Bằng cách này IRBC hỗ trợ BCM bằng cách đảm bảo rằng các dịch vụ côngnghệ thông tin như phục hồi phù hợp và có thể được phục hồi trong khoảng thời gianyêu cầu và thỏa thuận của tổ chức được xác định trước.

1.2 Bộ tiêu chuẩn ISO/IEC 15408

Bộ tiêu chuẩn ISO/IEC 15408 có tên là “Công nghệ thông tin – Các kỹ thuật an toàn –Các tiêu chí đánh giá cho an toàn CNTT” ISO/IEC 15408 được biên soạn bởi Ủy ban

kỹ thuật liên hợp ISO/IEC JTC 1 về công nghệ thông tin (Joint Technical Committee