Đang tải... (xem toàn văn)
Tiêu chuẩn kỹ thuật quốc gia Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin đưa ra các hướng dẫn về quản lý rủi ro an toàn thông tin. Tiêu chuẩn này giải thích một số khái niệm cơ bản được sử dụng trong Tiêu chuẩn kỹ thuật quốc gia TCVN ISOIEC 27001:2009 và được xây dựng để hỗ trợ cho việc triển khai hiệu quả an toàn thông tin dựa trên phương pháp quản lý rủi ro. Để có thể hiểu đầy đủ hơn về nội dung tiêu chuẩn này cần tham khảo thêm các kiến thức về các khái niệm, mô hình, quy trình và các thuật ngữ được trình bày trong Tiêu chuẩn kỹ thuật quốc gia TCVN ISOIEC 27001:2009 và Tiêu chuẩn kỹ thuật TCVN ISOIEC 27002:2011. Tiêu chuẩn này có thể áp dụng cho nhiều loại hình tổ chức (như các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi lợi nhuận) nhằm mục đích quản lý những rủi ro có thể gây hại tới an toàn thông tin của tổ chức.
TCVN ISO/IEC xxxx:2012 TCVN TIÊU CHUẨN QUỐC GIA TCVN ISO/IEC XXXX:2012 ISO/IEC 27005:2011 CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN Information technology – Security techniques – Information security risk management HÀ NỘI – 2012 TCVN ISO/IEC xxxx:2012 TCVN ISO/IEC xxxx:xxxx Mục lục Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Cấu trúc Tiêu chuẩn Thông tin .10 Tổng quan quy trình quản lý rủi ro an tồn thơng tin 11 Thiết lập ngữ cảnh 15 7.1 Đánh giá chung 15 7.2 Tiêu chí 16 7.2.1 Phương pháp quản lý rủi ro 16 7.2.2 Tiêu chí ước lượng rủi ro .16 7.2.3 Tiêu chí tác động 17 7.2.4 Tiêu chí chấp nhận rủi ro .17 7.3 Phạm vi giới hạn .18 7.4 Tổ chức quản lý rủi ro an tồn thơng tin .18 Đánh giá rủi ro an tồn thơng tin 19 8.1 Mô tả chung đánh giá rủi ro an tồn thơng tin .19 8.2 Nhận biết rủi ro 20 8.2.1 Giới thiệu nhận biết rủi ro 20 8.2.2 Nhận biết tài sản .20 8.2.3 Nhận biết mối đe dọa 21 8.2.4 Nhận biết biện pháp có .22 8.2.5 Nhận biết điểm yếu 23 8.2.6 Nhận biết hậu 24 8.3 Phân tích rủi ro 25 8.3.1 Các phương pháp phân tích rủi ro .25 8.3.2 Đánh giá hậu 26 8.3.3 Đánh giá khả xảy cố 27 TCVN ISO/IEC xxxx:2012 8.3.4 8.4 Xác định mức độ rủi ro 28 Ước lượng rủi ro 28 Xử lý rủi ro an tồn thơng tin 29 9.1 Mô tả chung xử lý rủi ro 29 9.2 Thay đổi rủi ro 32 9.3 Duy trì rủi ro 33 9.4 Tránh rủi ro 33 9.5 Chia sẻ rủi ro .34 10 Chấp nhận rủi ro an tồn thơng tin 34 11 Truyền thông tư vấn rủi ro an tồn thơng tin 35 12 Giám sát soát xét rủi ro an tồn thơng tin 36 12.1 Giám sát soát xét nhân tố rủi ro 36 12.2 Giám sát soát xét cải tiến quản lý rủi ro 37 PHỤ LỤC A 39 PHỤ LỤC B 45 PHỤ LỤC C 57 PHỤ LỤC D 61 PHỤ LỤC E 68 PHỤ LỤC F 76 PHỤ LỤC G 79 Tài liệu tham khảo 94 TCVN ISO/IEC xxxx:2012 Lời nói đầu TCVN ISO/IEC xxxx:2012 hoàn toàn tương đương với ISO/IEC 27005:2011 TCVN ISO/IEC xxxx:2012 Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam biên soạn, Bộ Thơng tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố TCVN ISO/IEC xxxx:2012 TCVN ISO/IEC xxxx:2012 TIÊU CHUẨN QUỐC GIA TCVN XXXX:2012 Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an tồn thơng tin Information technology – Security techniques – Information security risk management Phạm vi áp dụng Tiêu chuẩn kỹ thuật quốc gia Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an tồn thơng tin đưa hướng dẫn quản lý rủi ro an tồn thơng tin Tiêu chuẩn giải thích số khái niệm sử dụng Tiêu chuẩn kỹ thuật quốc gia TCVN ISO/IEC 27001:2009 xây dựng để hỗ trợ cho việc triển khai hiệu an tồn thơng tin dựa phương pháp quản lý rủi ro Để hiểu đầy đủ nội dung tiêu chuẩn cần tham khảo thêm kiến thức khái niệm, mơ hình, quy trình thuật ngữ trình bày Tiêu chuẩn kỹ thuật quốc gia TCVN ISO/IEC 27001:2009 Tiêu chuẩn kỹ thuật TCVN ISO/IEC 27002:2011 Tiêu chuẩn áp dụng cho nhiều loại hình tổ chức (như doanh nghiệp thương mại, quan phủ, tổ chức phi lợi nhuận) nhằm mục đích quản lý rủi ro gây hại tới an tồn thơng tin tổ chức Tài liệu viện dẫn ISO/IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabulary ISO/IEC 27005:2011, Information technology – Security techniques – Information security risk management Tiêu chuẩn kỹ thuật quốc gia TCVN ISO/IEC 27001:2009 Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Các yêu cầu Tiêu chuẩn kỹ thuật quốc gia TCVN ISO/IEC 27002:2011 Công nghệ thông tin – Các kỹ thuật an toàn – Quy tắc thực hành quản lý an tồn thơng tin Thuật ngữ định nghĩa 3.1 Hậu (consequence) Kết kiện (Mục 3.3) gây ảnh hưởng đến mục tiêu tổ chức TCVN ISO/IEC xxxx:2012 [ISO Guide 73:2009] CHÚ THÍCH 1: Một kiện dẫn đến loạt hậu CHÚ THÍCH 2: Một hậu chắn ngẫu nhiên xảy lĩnh vực an tồn thơng tin thường mang nghĩa tiêu cực CHÚ THÍCH 3: Hậu thể dạng định tính định lượng CHÚ THÍCH 4: Hậu ban đầu gây ảnh hưởng leo thang đến hậu 3.2 Biện pháp (hay biện pháp quản lý) (control) Biện pháp thay đổi rủi ro (Mục 3.9) [ISO Guide 73:2009] CHÚ THÍCH 1: Biện pháp an tồn thơng tin bao gồm quy trình, sách, thủ tục, hướng dẫn, phương pháp cấu trúc tổ chức lĩnh vực hành chính, kỹ thuật, quản lý, pháp luật để thay đổi rủi ro an toàn thơng tin CHÚ THÍCH 2: Biện pháp thay đổi rủi ro lúc phát huy tác dụng mong đợi giả định CHÚ THÍCH 3: Biện pháp sử dụng với nghĩa biện pháp bảo vệ biện pháp đối phó 3.3 Sự kiện (event) Sự xuất thay đổi loạt tình [ISO Guide 73:2009] CHÚ THÍCH 1: Một kiện xảy hay nhiều lần, nhiều lí khác CHÚ THÍCH 2: Một kiện bao gồm việc khơng xảy CHÚ THÍCH 3: Sự kiện dùng theo nghĩa “sự cố” hay “sự rủi ro” 3.4 Ngữ cảnh bên (external context) Mơi trường bên ngồi nơi mà tổ chức phải đạt mục tiêu [ISO Guide 73:2009] CHÚ THÍCH: Ngữ cảnh bên ngồi bao gồm: mơi trường văn hóa, xã hội, trị, pháp lý, quản lý, tài chính, cơng nghệ, kinh tế, mơi trường tự nhiên môi trường cạnh tranh quốc tế, quốc gia, khu vực địa phương; hướng định hướng tác động đến mục tiêu tổ chức; mối quan hệ, nhận thức giá trị bên liên quan bên ngồi tổ chức 3.5 Ngữ cảnh nội (internal context) Môi trường nội nơi mà tổ chức phải đạt mục tiêu TCVN ISO/IEC xxxx:2012 [ISO Guide 73:2009] CHÚ THÍCH: Ngữ cảnh nội bao gồm: cấu trúc quản trị, cấu trúc tổ chức, vai trò mức chịu trách nhiệm; sách, mục tiêu chiến lược tổ chức đưa để đạt mục đích; lực, hiểu nguồn lực tri thức (Ví dụ nguồn vốn, thời gian, người, quy trình, hệ thống cơng nghệ); hệ thống thông tin, luồng thông tin quy trình đưa định (cả thức khơng thức); mối quan hệ với bên liên quan bên tổ chức, nhận thức tiêu chuẩn bên liên quan bên tổ chức đó; văn hóa tổ chức; tiêu chuẩn, hướng dẫn mơ hình mà tổ chức chấp nhận thực hiện; hình thức phạm vi mối quan hệ hợp đồng 3.6 Mức độ rủi ro (level of risk) Mức độ rủi ro (mục 3.9) hiểu theo nghĩa kết hợp hậu (Mục 3.1) khả xảy kiện (Mục 3.7) [ISO Guide 73:2009] 3.7 Khả xảy (likelihood) Khả xảy kiện [ISO Guide 73:2009] CHÚ THÍCH 1: Trong thuật ngữ quản lý rủi ro, từ “khả xảy ra” thường dùng để khả xảy kiện, cho dù định nghĩa, đo lường hay xác định cách chủ quan hay khách quan, dạng định tính hay định lượng mô tả cách sử dụng thuật ngữ chung toán học (như xác suất tần số khoảng thời gian định) CHÚ THÍCH 2: Thuật ngữ “xác suất” có nghĩa tương đương với thuật ngữ “khả xảy ra” Tuy nhiên thuật ngữ “xác suất” thường hiểu theo nghĩa hẹp thuật ngữ tốn học Do đó, thuật ngữ quản lý rủi ro, “khả xảy ra” thường sử dụng với mục đích giải thích thuật ngữ “xác suất” 3.8 Rủi ro tồn đọng (residual risk) Rủi ro (Mục 3.9) lại sau xử lý rủi ro (Mục 3.17) [ISO Guide 73:2009] CHÚ THÍCH 1: Rủi ro tồng đọng gồm rủi ro chưa nhận biết CHÚ THÍCH 2: Rủi ro tồn đọng gọi “rủi ro giữ lại” 3.9 Rủi ro (risk) TCVN ISO/IEC xxxx:2012 Sự ảnh hưởng ngẫu nhiên đến mục tiêu [ISO Guide 73:2009] CHÚ THÍCH 1: Một ảnh hưởng sai lệch so với kỳ vọng – kết ảnh hưởng tích cực hay tiêu cực CHÚ THÍCH 2: Những mục tiêu có khía cạnh khác (như khía cạnh tài chính, y tế an tồn, an tồn thơng tin, mục tiêu mơi trường) áp dụng mức độ khác (như chiến lược, tổ chức mở rộng, dự án, sản phẩm quy trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng kiện (Mục 3.3) hậu (Mục 3.1) tiềm ẩn kết hợp chúng CHÚ THÍCH 4: Rủi ro an tồn thơng tin thường thể kết hợp hậu kiện an toàn thông tin khả xảy kèm theo CHÚ THÍCH 5: Sự việc ngẫu nhiên tình trạng thiếu thông tin liên quan tới việc hiểu biết nhận thức kiện, hậu hay khả xảy kiện CHÚ THÍCH 6: Rủi ro an tồn thơng tin liên quan đến tiềm ẩn mà mối đe dọa khai thác điểm yếu tài sản thơng tin nhóm tài sản thông tin nguyên nhân gây thiệt hại tổ chức 3.10 Phân tích rủi ro (risk analysis) Quy trình để hiểu chất rủi ro xác định mức độ rủi ro (Mục 3.6) [ISO Guide 73:2009] CHÚ THÍCH 1: Phân tích rủi ro cung cấp tảng cho việc ước lượng rủi ro định cách xử lý rủi ro CHÚ THÍCH 2: Phân tích rủi ro bao gồm ước đoán rủi ro 3.11 Đánh giá rủi ro (risk assessment) Quy trình tổng thể bao gồm nhận biết rủi ro (Mục 3.15), phân tích rủi ro (Mục 3.10) ước lượng rủi ro (Mục 3.14) [ISO Guide 73:2009] 3.12 Truyền thông tư vấn rủi ro (risk communication and consultation) Những quy trình liên tục lặp lặp lại mà tổ chức tiến hành để cung cấp, chia sẻ hay thu thông tin tiến hành đối thoại với bên liên quan (Mục 3.18) quản lý rủi ro (Mục 3.9) [ISO Guide 73:2009] CHÚ THÍCH 1: Thơng tin liên quan đến tồn tại, chất, khuôn dạng, khả xảy ra, tầm quan trọng, việc ước lượng, khả chấp nhận xử lý rủi ro CHÚ THÍCH 2: Tư vấn quy trình truyền thơng hai chiều tổ chức với bên liên quan vấn đề trước đưa định xác định định hướng vấn đề Tư vấn là: TCVN ISO/IEC xxxx:xxxx Thuật ngữ định nghĩa Thuật ngữ định nghĩa Thuật ngữ định nghĩa ISO ISO/IEC 27005:2008 ISO/IEC 27000:2009 sử dụng 73:2009 ISO/IEC 27005:2008 n/a 27005:2011 n/a sử dụng ISO/IEC 3.1 Hậu (consequence) Kết kiện (Mục 3.3) gây ảnh hưởng đến mục tiêu tổ chức [ISO Guide 73:2009] CHÚ THÍCH 1: Một kiện dẫn đến loạt hậu CHÚ THÍCH 2: Một hậu chắn ngẫu nhiên xảy lĩnh vực an tồn thơng tin thường mang nghĩa tiêu cực CHÚ THÍCH 3: Hậu thể dạng định tính định lượng CHÚ THÍCH 4: Hậu ban đầu gây ảnh hưởng leo thang đến hậu n/a Biện pháp (control) Phương pháp quản lý rủi ro, bao gồm sách, thủ tục, hướng dẫn, 3.2 Biện pháp (hay biện pháp quản lý) (control) phương pháp cấu trúc tổ chức, mà có Biện pháp thay đổi rủi ro (Mục 3.9) thể quản trị kỹ thuật, quản lý, pháp [ISO Guide 73:2009] luật tự nhiên CHÚ THÍCH: Biện pháp sử dụng với CHÚ THÍCH 1: Biện pháp an tồn thơng tin bao gồm quy trình, sách, thủ tục, hướng 79 TCVN ISO/IEC xxxx:2012 nghĩa gần giống biện pháp bảo vệ, biện pháp đối dẫn, phương pháp cấu trúc tổ chức phó lĩnh vực hành chính, kỹ thuật, quản lý, [TCVN ISO/IEC 27002:2011] pháp luật để thay đổi rủi ro an tồn thơng tin CHÚ THÍCH 2: Biện pháp thay đổi rủi ro khơng phải lúc phát huy tác dụng mong đợi giả định CHÚ THÍCH 3: Biện pháp sử dụng với nghĩa biện pháp bảo vệ biện pháp đối phó n/a n/a 3.3 Sự kiện (event) Sự xuất thay đổi loạt tình [ISO Guide 73:2009] CHÚ THÍCH 1: Một kiện xảy hay nhiều lần, nhiều lí khác CHÚ THÍCH 2: Một kiện bao gồm việc khơng xảy CHÚ THÍCH 3: Sự kiện dùng theo nghĩa “sự cố” hay “sự rủi ro” n/a n/a 3.4 Ngữ cảnh bên ngồi (external context) Mơi trường bên ngồi nơi mà tổ chức phải đạt mục tiêu 80 TCVN ISO/IEC xxxx:2012 [ISO Guide 73:2009] CHÚ THÍCH: Ngữ cảnh bên ngồi bao gồm: mơi trường văn hóa, xã hội, trị, pháp lý, quản lý, tài chính, cơng nghệ, kinh tế, mơi trường tự nhiên môi trường cạnh tranh quốc tế, quốc gia, khu vực địa phương; hướng định hướng tác động đến mục tiêu tổ chức; mối quan hệ, nhận thức giá trị bên liên quan bên ngồi tổ chức 3.1 Trong tiêu chuẩn bỏ thuật ngữ Tác động (impact) Thay đổi bất lợi tới mức mục tiêu nghiệp vụ 3.2 Rủi ro an tồn thơng tin (information Trong tiêu chuẩn bỏ thuật ngữ (xem phần CHÚ THÍCH Mục 3.9) security risk) Khả mối đe dọa biết đến khai thác điểm yếu an tồn thơng tin một nhóm tài sản, nguyên nhân gây hại cho tổ chức CHÚ THÍCH: Thuật ngữ hiểu theo nghĩa kết hợp khả xảy kiện hậu 81 TCVN ISO/IEC xxxx:2012 n/a n/a 3.5 Ngữ cảnh nội (internal context) Môi trường nội nơi mà tổ chức phải đạt mục tiêu [ISO Guide 73:2009] CHÚ THÍCH: Ngữ cảnh nội bao gồm: cấu trúc quản trị, cấu trúc tổ chức, vai trò mức chịu trách nhiệm; sách, mục tiêu chiến lược tổ chức đưa để đạt mục đích; lực, hiểu nguồn lực tri thức (Ví dụ nguồn vốn, thời gian, người, quy trình, hệ thống cơng nghệ); hệ thống thơng tin, luồng thơng tin quy trình đưa định (cả thức khơng thức); mối quan hệ với bên liên quan bên tổ chức, nhận thức tiêu chuẩn bên liên quan bên tổ chức đó; văn hóa tổ chức; tiêu chuẩn, hướng dẫn mơ hình mà tổ chức chấp nhận thực hiện; hình thức phạm vi mối quan hệ hợp đồng n/a n/a 3.6 Mức độ rủi ro (level of risk) 82 TCVN ISO/IEC xxxx:2012 Mức độ rủi ro (mục 3.9) hiểu theo nghĩa kết hợp hậu (Mục 3.1) khả xảy kiện (Mục 3.7) [ISO Guide 73:2009] n/a n/a 3.7 Khả xảy (likelihood) Khả xảy kiện [ISO Guide 73:2009] CHÚ THÍCH 1: Trong thuật ngữ quản lý rủi ro, từ “khả xảy ra” thường dùng để khả xảy kiện, cho dù định nghĩa, đo lường hay xác định cách chủ quan hay khách quan, dạng định tính hay định lượng mô tả cách sử dụng thuật ngữ chung toán học (như xác suất tần số khoảng thời gian định) CHÚ THÍCH 2: Thuật ngữ “xác suất” có nghĩa tương đương với thuật ngữ “khả xảy ra” Tuy nhiên thuật ngữ “xác suất” thường hiểu theo nghĩa hẹp thuật ngữ tốn học Do đó, thuật ngữ quản lý rủi ro, “khả xảy ra” thường sử dụng với mục đích giải thích thuật ngữ “xác suất” n/a Rủi ro lại (residual risk) 3.8 Rủi ro tồn đọng sau xử lý rủi ro 83 TCVN ISO/IEC xxxx:2012 [TCVN ISO/IEC 27001:2009] Rủi ro tồn đọng (residual risk) Rủi ro (Mục 3.9) lại sau xử lý rủi ro (Mục 3.17) [ISO Guide 73:2009] CHÚ THÍCH 1: Rủi ro tồng đọng gồm rủi ro chưa nhận biết CHÚ THÍCH 2: Rủi ro tồn đọng gọi “rủi ro giữ lại” Rủi ro (risk) Là sư kết hợp khả kiên hậu kiện [TCVN ISO/IEC 27002:2011] 3.9 Rủi ro (risk) Sự ảnh hưởng ngẫu nhiên đến mục tiêu [ISO Guide 73:2009] CHÚ THÍCH 1: Một ảnh hưởng sai lệch so với kỳ vọng – kết ảnh hưởng tích cực hay tiêu cực CHÚ THÍCH 2: Những mục tiêu có khía cạnh khác (như khía cạnh tài chính, y tế an tồn, an tồn thơng tin, mục tiêu mơi trường) áp dụng mức độ khác (như chiến lược, tổ chức mở rộng, dự án, sản phẩm quy trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng kiện (Mục 3.3) hậu (Mục 3.1) tiềm ẩn kết hợp chúng 84 TCVN ISO/IEC xxxx:2012 CHÚ THÍCH 4: Rủi ro an tồn thơng tin thường thể kết hợp hậu kiện an tồn thơng tin khả xảy kèm theo CHÚ THÍCH 5: Sự việc ngẫu nhiên tình trạng thiếu thơng tin liên quan tới việc hiểu biết nhận thức kiện, hậu hay khả xảy kiện CHÚ THÍCH 6: Rủi ro an tồn thơng tin liên quan đến tiềm ẩn mà mối đe dọa khai thác điểm yếu tài sản thơng tin nhóm tài sản thơng tin nguyên nhân gây thiệt hại tổ chức n/a Phân tích rủi ro (risk analysis) Hệ thống sử dụng thông tin để nhận biết nguồn gốc ước lượng rủi ro CHÚ THÍCH: Phân tích rủi ro cung cấp tảng cho ước lượng rủi ro, xử lý rủi ro chấp nhận rủi ro [TCVN ISO/IEC 27001:2009] 3.10 Phân tích rủi ro (risk analysis) Quy trình để hiểu chất rủi ro xác định mức độ rủi ro (Mục 3.6) [ISO Guide 73:2009] CHÚ THÍCH 1: Phân tích rủi ro cung cấp tảng cho việc ước lượng rủi ro định cách xử lý rủi ro CHÚ THÍCH 2: Phân tích rủi ro bao gồm ước đốn rủi ro Đánh giá rủi ro (risk assessment) Bao gồm phân tích rủi ro ước lượng rủi ro 3.11 Đánh giá rủi ro (risk assessment) 85 TCVN ISO/IEC xxxx:2012 [TCVN ISO/IEC 27001:2009] Quy trình tổng thể bao gồm nhận biết rủi ro (Mục 3.15), phân tích rủi ro (Mục 3.10) ước lượng rủi ro (Mục 3.14) [ISO Guide 73:2009] 3.3 Xử lý rủi ro bao gồm thuật ngữ Tránh rủi ro (risk avoidance) Quyết định để không xảy tránh tình rủi ro an tồn thơng tin [ISO 73:2002] 3.4 Truyền thơng 3.12 rủi ro (risk communication) Truyền thông hay chia sẻ thông tin Truyền thông tư vấn rủi ro (risk communication and consultation) rủi ro người phụ trách quản lý Những quy trình liên tục lặp lặp lại mà tổ thành phần tham gia khác chức tiến hành để cung cấp, chia sẻ hay thu [ISO 73:2002] thông tin tiến hành đối thoại với bên liên quan (Mục 3.18) quản lý rủi ro (Mục 3.9) [ISO Guide 73:2009] CHÚ THÍCH 1: Thơng tin liên quan đến tồn tại, chất, khuôn dạng, khả xảy ra, tầm quan trọng, việc ước lượng, khả chấp nhận xử lý rủi ro 86 TCVN ISO/IEC xxxx:2012 CHÚ THÍCH 2: Tư vấn quy trình truyền thơng hai chiều tổ chức với bên liên quan vấn đề trước đưa định xác định định hướng vấn đề Tư vấn là: quy trình tác động đến định thông qua ảnh hưởng thông qua quyền lực; đầu vào để định, khơng tham gia vào q trình định n/a n/a 3.13 Tiêu chí rủi ro (risk criteria) Điều khoản tham chiếu mà dựa vào để ước lượng mức độ nghiêm trọng rủi ro (Mục 3.9) [ISO Guide 73:2009] CHÚ THÍCH 1: Tiêu chí rủi ro dựa vào mục tiêu, ngữ cảnh nội ngữ cảnh bên ngồi tổ chức CHÚ THÍCH 2: Tiêu chí rủi ro bắt nguồn từ tiêu chuẩn, luật, sách yêu cầu khác 3.5 Đã bỏ thuật ngữ Ước đoán rủi ro (risk estimation) Quy trình ấn định giá trị cho khả xuất hậu rủi ro [ISO/IEC 73:2002] CHÚ THÍCH 1: Trong ngữ cảnh tiêu chuẩn 87 TCVN ISO/IEC xxxx:2012 quốc gia, thuật ngữ “hoạt động” sử dụng thay cho thuật ngữ “quy trình” ước lượng rủi ro CHÚ THÍCH 2: Trong ngữ cảnh tiêu chuẩn quốc gia, thuật ngữ “khả năng” sử dụng thay cho thuật ngữ “xác suất” ước lượng rủi ro n/a Ước lượng rủi ro (risk evaluation) Quy trình đối chiếu rủi ro ước đốn với tiêu chí rủi ro để xác định tầm ảnh hưởng rủi ro 3.14 Ước lượng rủi ro (risk evaluation) Quy trình đối chiếu kết việc phân tích rủi ro (Mục 3.10) với tiêu chí rủi ro (Mục 3.13) để xác định liệu rủi ro và/hoặc mức độ nghiêm trọng chấp nhận hay bỏ qua hay không [ISO Guide 73:2009] CHÚ THÍCH: Ước lượng rủi ro hỗ trợ việc định cách xử lý rủi ro 3.6 Nhận biết rủi ro (risk identification) Quy trình tìm kiếm, liệt kê đưa 3.15 Nhận biết rủi ro (risk identification) yếu tố đặc tính rủi ro Quy trình tìm kiếm, nhận dạng mô tả rủi ro [ISO/IEC 73:2002] [ISO Guide 73:2009] CHÚ THÍCH: Tiêu chuẩn sử dụng thuật ngữ 88 TCVN ISO/IEC xxxx:2012 “hoạt động” thay cho “quy trình” việc nhận CHÚ THÍCH 1: Nhận biết rủi ro bao gồm nhận biết biết rủi ro nguồn gốc rủi ro, kiện, nguyên nhân hậu tiềm ẩn chúng CHÚ THÍCH 2: Nhận biết rủi ro bao gồm liệu q khứ, phân tích lí thuyết, thơng tin ý kiến chuyên môn nhu cầu bên liên quan n/a Quản lý rủi ro (risk management) Hoạt động phối hợp đạo kiểm soát tổ chức vấn đề rủi ro 3.16 Quản lý rủi ro (risk management) Hoạt động phối hợp vấn đề rủi ro để điều hành kiểm soát tổ chức [ISO Guide 73:2009] CHÚ THÍCH: Tiêu chuẩn sử dụng thuật ngữ “quy trình” để mơ tả tổng quan việc quản lý rủi ro Các yếu tố bên quy trình quản lý rủi ro gọi “các hoạt động” 3.7 Giảm nhẹ rủi ro (risk reduction) Trong tiêu chuẩn thuật ngữ “giảm nhẹ rủi ro “được thay “thay đổi rủi ro” Hành động để giảm khả xảy ra, hậu tiêu cực, hai, có liên quan đến rủi ro [ISO/IEC 73:2002] CHÚ THÍCH: Trong ngữ cảnh tiêu chuẩn 89 TCVN ISO/IEC xxxx:2012 quốc gia, thuật ngữ “khả năng” sử dụng thay cho thuật ngữ “xác suất” giảm nhẹ rủi ro 3.8 Xử lý rủi ro bao hàm thuật ngữ Duy trì rủi ro (risk retention) Chấp nhận thiệt hại xảy lợi ích đạt từ việc trì rủi ro cụ thể [ISO/IEC 73:2002] CHÚ THÍCH: Trong phạm vi rủi ro an tồn thơng tin, hậu tiêu cực xem xét trì rủi ro 3.9 Thuật ngữ thay thuật ngữ Truyền rủi ro (risk transfer) “chia sẻ rủi ro” Chi sẻ với bên khác (ví dụ dịch vụ bảo hiểm an tồn thơng tin) trách nhiệm xảy thiệt hại lợi ích trì thu từ rủi ro CHÚ THÍCH: Trong phạm vi rủi ro an tồn thơng tin, hậu tiêu cực xem xét chia sẻ rủi ro n/a Xử lý rủi ro (risk treatment) Quy trình để lựa chọn triển khai biện pháp để giảm nhẹ rủi ro 3.17 Xử lý rủi ro (risk treatment) 90 TCVN ISO/IEC xxxx:2012 CHÚ THÍCH: Trong tiêu chuẩn quốc gia thuật ngữ “biện pháp” sử dụng tương đương với thuật Quy trình thay đổi rủi ro ngữ “biện pháp đo lường” [ISO Guide 73:2009] [TCVN ISO/IEC 27001:2009] CHÚ THÍCH 1: Xử lý rủi ro liên quan đến việc: tránh rủi ro cách định không bắt đầu tiếp tục việc hoạt động làm phát sinh rủi ro; nắm bắt làm tăng rủi ro để theo đuổi hội nắm bắt rủi ro; loại bỏ nguồn gốc rủi ro; thay đổi khả xảy ra; thay đổi hậu quả; chia sẻ rủi ro với bên hay nhiều bên khác (bao gồm hợp đồng tài trợ rủi ro); khống chế rủi ro lựa chọn có hiểu biết CHÚ THÍCH 2: Xử lý rủi ro để giải (đối phó) với hậu tiêu cực đơi gọi “giảm nhẹ rủi ro”, “loại bỏ rủi ro”, “ngăn chặn rủi ro” “giảm bớt rủi ro” CHÚ THÍCH 3: Xử lý rủi ro tạo rủi ro làm thay đổi rủi ro có n/a n/a 3.18 Những bên liên quan (stakeholder) Cá nhân hay tổ chức gây ảnh hưởng, bị ảnh hưởng, nhận thấy bị ảnh hưởng định hay hành động [ISO Guide 73:2009] 91 TCVN ISO/IEC xxxx:2012 CHÚ THÍCH : Người đưa định bên liên quan Mối đe dọa (threat) Vẫn áp dụng Tiềm ẩn nguyên nhân từ cố không mong muốn, gây hại cho hệ thống tổ chức 92 TCVN ISO/IEC xxxx:xxxx Tài liệu tham khảo [1] ISO/IEC 27005:2011, Information technology – Security techniques – Information security risk management [2] ISO/IEC 27000, Information technology – Security techniques – Information security management systems – Overview and vocabulary [3] Tiêu chuẩn kỹ thuật quốc gia TCVN ISO/IEC 27001:2009 Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an tồn thơng tin – Các u cầu [4] Tiêu chuẩn kỹ thuật quốc gia TCVN ISO/IEC 27002:2011 Công nghệ thơng tin – Các kỹ thuật an tồn – Quy tắc thực hành quản lý an tồn thơng tin [5] ISO 73:2009, Risk management – Vocabulary – Guidelines for use in standards [6] ISO/IEC 16085:2006, Systems and software engineering – Life cycle processes – Risk management [7] AS/NZS 4360:2004, Risk Management [8] NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook [9] NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology _ 93 ... liên quan Cấu trúc Tiêu chuẩn Nội dung Tiêu chuẩn bao gồm mô tả quy trình hoạt động quản lý rủi ro an tồn thơng tin Thơng tin cung cấp Điều Tổng quan quy trình quản lý rủi ro an tồn thơng tin. .. quản lý rủi ro an tồn thơng tin Bảng tổng hợp hoạt động quản lý rủi ro an toàn thông tin liên quan đến bốn giai đoạn quy trình ISMS sau: Bảng - ISMS quy trình quản lý rủi ro an tồn thơng tin (ISRM)... cho quản lý rủi ro an tồn thơng tin Phạm vi quy trình quản lý rủi ro an tồn thơng tin cần xác định rõ để đảm bảo toàn tài sản liên quan phải quan tâm xem xét quy trình đánh giá rủi ro Ngồi ra, cần