Tiêu chuẩn Quốc gia TCVN 9965:2013 cung cấp hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1 cho các tổ chức có ý định hoặc: Triển khai TCVN ISO/IEC 27001 khi ISO/IEC 20000-1 đã được triển khai, hoặc ngược lại; triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1 cùng nhau; tích hợp hệ thống quản lý TCVN ISO/IEC 27001 và ISO/IEC 20000-1 hiện có
TIÊU CHUẨN QUỐC GIA TCVN 9965 : 2013 ISO/IEC 27013 : 2012 CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - HƯỚNG DẪN TÍCH HỢP TRIỂN KHAI TCVN ISO/IEC 27001 VÀ ISO/IEC 20000-1 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Lời nói đầu TCVN 9965:2013 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC1 "Công nghệ Thông tin" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố TCVN 9965:2013 hoàn toàn tương đương với ISO/IEC 27013:2012 Lời giới thiệu Mối quan hệ an ninh thông tin quản lý dịch vụ chặt chẽ mà nhiều tổ chức nhận diện lợi ích việc đáp ứng hai tiêu chuẩn: TCVN ISO/IEC 27001 an ninh thông tin ISO/IEC 20000-1 quản lý dịch vụ Với tổ chức, điều phổ biến để tăng cường cách thức vận hành để phù hợp với yêu cầu Tiêu chuẩn quốc tế tạo nâng cấp sau để phù hợp với yêu cầu tiêu chuẩn khác Một số lượng ưu điểm việc triển khai hệ thống quản lý tích hợp khơng chia thành dịch vụ cung cấp mà cho việc bảo vệ tài sản thơng tin Các lợi ích trải nghiệm tiêu chuẩn triển khai trước tiêu chuẩn khác, hai tiêu chuẩn triển khai đồng thời Đặc biệt, việc quản lý quy trình tổ chức dẫn đến lợi ích từ điểm giống Tiêu chuẩn quốc tế mục tiêu chung chúng Các lợi ích triển khai tích hợp bao gồm: a) Sự tin tưởng cho khách hàng bên bên tổ chức, dịch vụ an ninh hiệu quả; b) Giá thành thấp chương trình tích hợp hai dự án, việc hướng tới quản lý dịch vụ an ninh thông tin thành phần chiến lược tổ chức; c) Một giảm thiểu thời gian triển khai dựa việc phát triển tích hợp quy trình phổ biến từ hai tiêu chuẩn; d) Việc loại bỏ trùng lặp không cần thiết; e) Sự hiểu biết quản lý dịch vụ cá nhân an ninh quan điểm bên; f) Một tổ chức chứng nhận TCVN ISO/IEC 27001 dễ dàng đáp ứng yêu cầu an ninh thông tin ISO/IEC 20000-1:2011, Điều 6.6 hai Tiêu chuẩn bổ sung theo yêu cầu Hướng dẫn dựa phiên công bố hai tiêu chuẩn quốc tế TCVN ISO/IEC 27001 ISO/IEC 20000-1:2011 Tiêu chuẩn hướng đến việc sử dụng cá nhân có hiểu biết hai tiêu chuẩn quốc tế, hai tiêu chuẩn TCVN ISO/IEC 27001 ISO/IEC 20000-1 không thuộc tiêu chuẩn Tiêu chuẩn mong đợi tất người đọc truy cập để chép hai tiêu chuẩn quốc tế Do đó, tiêu chuẩn không tái sử dụng phần tiêu chuẩn khác Tương tự, tiêu chuẩn không mô tả tất phần tiêu chuẩn quốc tế cách tồn diện Các phần vấn đề trùng lặp mô tả chi tiết Tiêu chuẩn không đưa hướng dẫn tương tự với thay đổi luật pháp quy định bên ngồi kiểm sốt tổ chức Điều thay đổi tùy theo quốc gia tác động việc hoạch định hệ thống quản lý tổ chức CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - HƯỚNG DẪN TÍCH HỢP TRIỂN KHAI TCVN ISO/IEC 27001 VÀ ISO/IEC 20000-1 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Phạm vi áp dụng Tiêu chuẩn cung cấp hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 cho tổ chức có ý định hoặc: a) Triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 triển khai, ngược lại; b) Triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 nhau; c) Tích hợp hệ thống quản lý TCVN ISO/IEC 27001 ISO/IEC 20000-1 có Tiêu chuẩn nêu bật điểm khác biệt việc tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 Thực tế, TCVN ISO/IEC 27001 ISO/IEC 20000-1 tích hợp với hệ thống quản lý khác TCVN ISO 9001 TCVN ISO 14001 Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) TCVN ISO/IEC 27001:2009 Cơng nghệ thơng tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Các yêu cầu (ISO/IEC 27001 : 2005; Information technology - Security techniques Information security management systems - Requirements) ISO/IEC 20000-1:20111 Information technology - Service management - Service management system requirements (Công nghệ thông tin - Quản lý dịch vụ - Các yêu cầu hệ thống quản lý dịch vụ) ISO/IEC 27000:2009 Information technology - Sercurity techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Tổng quan từ vựng) Thuật ngữ, thuật ngữ viết tắt định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu ISO/IEC 27000:2009 ISO/IEC 20000-1 thuật ngữ, định nghĩa sau: ISMS - hệ thống quản lý an ninh thông tin (information security management system) (từ TCVN ISO/IEC 27001:2005) SMS - hệ thống quản lý dịch vụ (service management system) (từ ISO/IEC 20000-1) Phụ lục A tiêu chuẩn so sánh nội dung TCVN ISO/IEC 27001 ISO/IEC 200001:2011 theo Điều Phụ lục B tiêu chuẩn so sánh thuật ngữ định nghĩa trong: Hiện nay, hệ thống tiêu chuẩn quốc gia có TCVN 8695:2011 Công nghệ thông tin Quản lý dịch vụ - Phần 1: Các yêu cầu (ISO/IEC 20000-1:2005 Information technology - Service management - Specification) • ISO/IEC 27000:2009, Bảng thuật ngữ dùng cho TCVN ISO/IEC 27001; • Thuật ngữ dùng TCVN ISO/IEC 27001; • Thuật ngữ định nghĩa dùng ISO/IEC 20000-1:2011 Tổng quan TCVN ISO/IEC 27001 ISO/IEC 20000-1 4.1 Hiểu biết tiêu chuẩn quốc tế Một tổ chức nên có am hiểu đặc trưng, giống khác TCVN ISO/IEC 27001 ISO/IEC 20000-1 trước hoạch định hệ thống quản lý tích hợp Điều giúp tối đa hóa thời gian nguồn lực sẵn có cho việc triển khai Các Điều từ 4.2 tới 4.4 tiêu chuẩn giới thiệu khái niệm làm tảng cho hai tiêu chuẩn, khơng dùng thay cho việc sốt xét chi tiết 4.2 Khái niệm TCVN ISO/IEC 27001 TCVN ISO/IEC 27001 đưa mơ hình cho việc thiết lập, thực thi, vận hành, giám sát, xem xét, trì cải tiến ISMS để bảo vệ tài sản thông tin Tài sản thông tin bao gồm thông tin dạng nào, lưu giữ hình thức, dùng cho mục đích bởi, bên tổ chức Để phù hợp với TCVN ISO/IEC 27001, tổ chức phải triển khai ISMS dựa quy trình đánh giá rủi ro để nhận diện rủi ro tài sản thông tin Tổ chức phải chọn lựa, thiết lập, giám sát xem xét loạt biện pháp để quản lý rủi ro phần cơng việc Các biện pháp biết tới kiểm soát Tổ chức phải xác định mức chấp nhận rủi ro, tính tới yêu cầu doanh nghiệp yêu cầu ràng buộc từ bên Ví dụ u cầu ràng buộc từ bên ngồi yêu cầu pháp lý quy định nghĩa vụ hợp đồng TCVN ISO/IEC 27001 dùng cho tất tổ chức thuộc loại hình quy mô 4.3 Khái niệm ISO/IEC 20000-1 ISO/IEC 20000-1 dùng cho tổ chức thành phần tổ chức, có sử dụng cung cấp dịch vụ Tiêu chuẩn mang lại lợi ích cho khách hàng bên cung cấp dịch vụ Tuy nhiên, tất quy trình tiêu chuẩn kiểm soát bên cung cấp dịch vụ, bên cung cấp dịch vụ cần phù hợp với tiêu chuẩn Tiêu chuẩn chủ yếu liên quan tới việc đảm bảo dịch vụ thỏa mãn yêu cầu dịch vụ mang lại lợi ích cho khách hàng bên cung cấp dịch vụ Việc quản lý dịch vụ chi phối kiểm soát tài nguyên hoạt động bên cung cấp dịch vụ việc thiết kế, phát triển, chuyển đổi, chuyển giao cải tiến dịch vụ để thỏa mãn yêu cầu dịch vụ thỏa thuận với (các) khách hàng Để thỏa mãn đầy đủ yêu cầu tiêu chuẩn này, bên cung cấp dịch vụ nên thực thi dải quy trình quản lý dịch vụ cụ thể Các quy trình bao gồm quản lý cố, quản lý thay đổi quản lý vấn đề quản lý khác Quản lý an ninh thông tin quy trình quản lý dịch vụ ISO/IEC 20000-1 ISO/IEC 20000-1 dùng cho tất tổ chức thuộc loại hình quy mơ 4.4 Điểm giống khác Quản lý dịch vụ quản lý an ninh thông tin thường xem không liên kết hay độc lập Về khía cạnh khơng liên kết, quản lý dịch vụ thường liên quan đến tính hiệu tính lợi nhuận, đó, quản lý an ninh thông tin thường không hiểu tảng sở việc chuyển giao dịch vụ hiệu Kết quản lý dịch vụ thường thực thi Tuy nhiên, Hình 1, yêu cầu quản lý dịch vụ theo ISO/IEC 20000-1, bao gồm nhiều mục tiêu biện pháp kiểm soát theo Phụ lục A TCVN ISO/IEC 27001 Quản lý an ninh thông tin quản lý dịch vụ rõ ràng đề cập đến quy trình hoạt động giống nhau, hệ thống quản lý nêu bật số chi tiết so với chi tiết khác Chi tiết xem phụ lục A Khi sử dụng hai tiêu chuẩn này, nên hiểu chúng có đặc trưng khác biệt nhiều khía cạnh Ví dụ, phạm vi chúng khác nhau, xem Điều 5.2 tiêu chuẩn Chúng có mục đích khác ISO/IEC 20000-1 thiết kế để đảm bảo tổ chức cung cấp dịch vụ hiệu quả, TCVN ISO/IEC 27001 thiết kế cho phép tổ chức quản lý rủi ro an ninh thơng tin phòng ngừa cố an ninh Hình - So sánh khái niệm TCVN ISO/IEC 27001 ISO/IEC 20000-1 Cách tiến cận cho việc tích hợp triển khai 5.1 Tổng quan Việc hoạch định tổ chức để triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 rơi vào ba tình huống: • Có xếp quản lý chuyên trách bao gồm quản lý an ninh thông tin quản lý dịch vụ (các hệ thống quản lý thức tồn cho lĩnh vực khác, quản lý chất lượng); • Có hệ thống quản lý dựa tiêu chuẩn; • Có hệ thống quản lý tách biệt dựa hai tiêu chuẩn, khơng tích hợp Tổ chức hoạch định việc triển khai hệ thống quản lý tích hợp phải cân nhắc điểm sau: a) (Các) hệ thống quản lý khác sử dụng (như hệ thống quản lý chất lượng); b) Tất dịch vụ, quy trình phụ thuộc chúng hoàn cảnh hệ thống quản lý tích hợp; c) Các thành phần tiêu chuẩn hợp cách thức chúng hợp nhất; d) Các thành phần tách biệt; e) Tác động hệ thống quản lý tích hợp khách hàng, bên cung cấp bên khác; f) Tác động lên công nghệ sử dụng; g) Tác động lên, gây rủi ro cho dịch vụ quản lý dịch vụ; h) Tác động lên, gây rủi ro cho việc an ninh thông tin quản lý an ninh thông tin; i) Giáo dục đào tạo hệ thống quản lý tích hợp; j) Các giai đoạn trình tự việc tiến hành hoạt động 5.2 Xem xét phạm vi áp dụng Phạm vi mà hai tiêu chuẩn khác đáng kể vấn đề phạm vi áp dụng, cụ thể tài sản gì, quy trình phần tổ chức nên bao gồm hệ thống quản lý ISO/IEC 20000-1 đề cập tới yêu cầu: thiết kế, chuyển dịch, chuyển giao cải tiến dịch vụ để thỏa mãn yêu cầu Điều triển khai thông qua tập quy trình Do phạm vi ISO/IEC 20000-1 bao gồm quy trình quản lý bên tổ chức, dịch vụ cung cấp TCVN ISO/IEC 27001 liên quan đến cách thức quản lý rủi ro an ninh thông tin Phạm vi TCVN ISO/IEC 27001 bao quát thành phần hoạt động mà tổ chức mong muốn an tồn Theo đó, phạm vi triển khai hai tiêu chuẩn mơ tả khác Do triển khai TCVN ISO/IEC 27001 với phạm vi với ISO/IEC 20000-1, ISO/IEC 20000-1 áp dụng cho tồn tổ chức tổ chức hoàn toàn bên cung cấp dịch vụ Do số quy trình, tài sản vai trò tổ chức bị loại bỏ khỏi phạm vi cho ISMS phát triển để đáp ứng với TCVN ISO/IEC 27001 Với ISO/IEC 20000-1, điều không bị loại bỏ khỏi phạm vi chúng phần, góp phần vào, dịch vụ phạm vi SMS Phạm vi ISMS xác định cách gianh giới vật lý rõ ràng, vành đai an ninh Trong số trường hợp, hai tiêu chuẩn khơng thiết lập cho tất cả, hay chí thành phần nào, hoạt động tổ chức Ví dụ, tổ chức khơng thể tn thủ theo u cầu ISO/IEC 20000-1 khơng quản trị quy trình vận hành bên khác Tổ chức triển khai SMS ISMS với số trùng lặp phạm vi áp dụng khác Trong đó, hoạt động nằm phạm vi áp dụng hai tiêu chuẩn này, hệ thống quản lý tích hợp phải tính tới hai tiêu chuẩn này, xem Phụ lục A tiêu chuẩn Khác biệt phạm vi áp dụng làm nảy sinh số dịch vụ bao gồm SMS bị loại trừ ISMS Tương tự, SMS loại trừ quy trình chức ISMS Ví dụ, số tổ chức chọn triển khai ISMS với chức truyền thông vận hành, dịch vụ quản lý ứng dụng bao gồm SMS Ngược lại, ISMS bao gồm tất dịch vụ, SMS bao gồm dịch vụ cho khách hàng số dịch vụ cho tất khách hàng Tổ chức phải cân đối phạm vi tiêu chuẩn nhiều để đảm bảo hệ thống quản lý tích hợp thành cơng CHÚ THÍCH: Hướng dẫn xác định phạm vi cho ISO/IEC 20000-1 sẵn có ISO/IEC 200003:2012, Hướng dẫn xác định phạm vi tính áp dụng ISO/IEC 20000-1 5.3 Các kịch tiền triển khai 5.3.1 Tổng quan Tổ chức hoạch định hệ thống quản lý tích hợp ba tình huống, mô tả Điều từ 5.3.2 tới 5.3.4 tiêu chuẩn Trong tất trường hợp, tổ chức có số dạng quy trình quản lý, khơng tổ chức khơng tồn Các điều bên cung cấp gợi ý cho việc triển khai ba trạng thái mô tả Điều 5.1 tiêu chuẩn 5.3.2 Khơng có tiêu chuẩn sử dụng làm sở cho hệ thống quản lý Dễ dàng giả định nơi không tiêu chuẩn thực khơng có sách, quy trình thủ tục, thế, tình đơn giản để giải Không may, quan niệm sai Các tổ chức khơng có hệ thống quản lý dựa TCVN ISO/IEC 27001 ISO/IEC 20000-1 có dạng hệ thống quản lý Dạng sau thích nghi để đạt tới việc phù hợp với hai tiêu chuẩn Quyết định liên quan đến thứ tự theo hai hệ thống quản lý thực phải dựa nhu cầu doanh nghiệp Các định bị ảnh hưởng liệu khuyến khích việc vị trí cạnh tranh dùng tiêu chuẩn hay tiêu chuẩn khác, hay nhu cầu để chứng tỏ yêu cầu tiêu chuẩn hay tiêu chuẩn khác cho khách hàng có khách hàng Quyết định quan trọng khác liệu việc triển khai hệ thống quản lý dựa hai tiêu chuẩn từ lúc bắt đầu, hay thiết lập hệ thống quản lý dựa tiêu chuẩn sau mở rộng để bao quát yêu cầu tiêu chuẩn kia, xem Điều 5.3.3 tiêu chuẩn Cả hai tiêu chuẩn triển khai đồng thời, hoạt động nỗ lực triển khai phối hợp trùng lặp giảm thiểu Tuy nhiên, tùy theo chất tổ chức, cần thận trọng để bắt đầu với tiêu chuẩn sau triển khai tiêu chuẩn Các cân nhắc minh họa kịch sau a) tổ chức cung cấp dịch vụ bắt đầu với việc triển khai ISO/IEC 20000-1 sau đó, khai thác từ học rút việc triển khai đó, mở rộng hệ thống quản lý bao gồm TCVN ISO/IEC 27001 b) Tổ chức sử dụng bên cung cấp, bao gồm bên khác, để chuyển giao vài thành phần dịch vụ tập trung trước tiên vào ISO/IEC 20000-1 Điều cung cấp nhiều yêu cầu cho bên khác, kể việc quản lý bên cung cấp Điều cho phép giải vấn đề quản lý bên cung cấp kiểm sốt quy trình Tổ chức sau phải chuyển sang TCVN ISO/IEC 27001 c) Tổ chức nhỏ tập trung vào tiêu chuẩn TCVN ISO/IEC 27001, ISO/IEC 20000-1, tùy theo độ tin cậy vào hệ thống dịch vụ an ninh thông tin d) Tổ chức lớn với việc chuyển giao dịch vụ nội triển khai dự án Nếu việc được, phải phân chia việc thực thành hai dự án song song bên chương trình bao qt tồn cơng việc Mỗi dự án phải quản lý tiêu chuẩn, tích hợp triển khai dự án Nếu cách tiếp cận chọn Điều quan trọng cần đảm bảo việc thực tương thích chúng phát triển Điều đưa vào tổng phí phụ rủi ro thêm cho kết nên dùng khơng có phương án khác e) Bất kỳ tổ chức coi tầm quan trọng an ninh thông tin mức cao phải thực ISMS trước hết mà tuân thủ yêu cầu TCVN ISO/IEC 27001 Giai đoạn nên việc mở rộng hệ thống quản lý để đáp ứng yêu cầu ISO/IEC 20000-1, hỗ trợ an ninh thơng tin Cuộc họp nhóm cơng tác tích hợp trình triển khai hai tiêu chuẩn giúp đảm bảo việc liên kết hai tiêu chuẩn 5.3.3 Tồn hệ thống quản lý thỏa mãn đầy đủ yêu cầu hai tiêu chuẩn Khi hệ thống quản lý phù hợp với hai tiêu chuẩn rồi, mục đích phải tích hợp với yêu cầu tiêu chuẩn Điều phải thực mà không gây tổn thất dịch vụ gây nguy hiểm cho an ninh thông tin dịch vụ Tuy nhiên, hệ thống quản lý tồn phải chia nhỏ thành phần riêng lẻ Điều phải lên kế hoạch kỹ lưỡng từ trước, với tài liệu có chuyên gia tiêu chuẩn có xem xét để xem cần đưa vào, xem xét chuyên gia tiêu chuẩn triển khai Tổ chức phải nhận diện thuộc tính hệ thống quản lý thực hiện, bao gồm phần sau: a) Phạm vi áp dụng; b) Cấu trúc tổ chức; c) Các sách; d) Các hoạt động hoạch định; e) Thẩm quyền trách nhiệm; f) Thực hành; g) Phương thức quản lý rủi ro; h) Các quy trình; i) Các thủ tục; j) Thuật ngữ định nghĩa; k) Tài nguyên Các thuộc tính phải xem xét để thiết lập cách chúng áp dụng cho hệ thống quản lý tích hợp Nếu cách tiếp cận hai - bước sử dụng, với hệ thống quản lý xem bước một, bước hai hệ thống quản lý triển khai Phạm vi áp dụng cho bước phải định rõ chấp thuận trước bắt đầu triển khai công việc 5.3.4 Tồn hệ thống quản lý riêng rẽ thỏa mãn đầy đủ yêu cầu tiêu chuẩn Trường hợp cuối có lẽ phức tạp Điều giải thích cho vấn đề phạm vi, xem Điều 5.2 tiêu chuẩn Điều tổ chức triển khai TCVN ISO/IEC 27001 lĩnh vực tổ chức, triển khai ISO/IEC 20000-1 cho lĩnh vực khác Tổ chức định áp dụng tiêu chuẩn tiêu chuẩn toàn phạm vi hoạt động rộng Tại số thời điểm, hệ thống quản lý triển khai hoạt động Theo phương án khác, hai tổ chức hoạch định để hợp Một tổ chức chứng tỏ phù hợp với TCVN ISO/IEC 270001, tổ chức chứng tỏ phù hợp với ISO/IEC 20000-1 Việc xem xét thiết lập từ điểm bắt đầu, nhằm đạt tới điểm sau: a) Nhận diện dẫn chứng phạm vi có đề nghị, theo tiêu chuẩn áp dụng đặc biệt ý tới điểm khác biệt b) So sánh hệ thống quản lý có thiết lập có khía cạnh khơng tương thích lẫn nào; c) Bắt đầu đưa bên liên quan hai hệ thống quản lý tham gia vào với bên kia; 1) Bắt đầu với kế hoạch đề cương rộng; 2) Xem xét Điều mức khác tổ chức để bổ sung chi tiết; 3) Cung cấp thông tin phản hồi giải pháp gợi ý cho mức thẩm quyền tương ứng phép định đưa Mặc dù có nhiều cách để tích hợp hệ thống quản lý trì phù hợp, pha lập kế hoạch mở rộng phải hoàn thành Xem xét triển khai tích hợp 6.1 Tổng quan Trong tất trường hợp, mục đích tổ chức phải tạo hệ thống quản lý tích hợp có khả phù hợp với hai tiêu chuẩn Mục đích khơng phải so sánh tiêu chuẩn hay xác định tốt Khi quan điểm xung đột Điều phải giải theo cách thỏa mãn yêu cầu hai tiêu chuẩn, đảm bảo tổ chức đạt cải tiến liên tục ISMS SMS Hệ thống quản lý tích hợp lý tưởng phải dựa cách tiếp cận hiệu hai tiêu chuẩn, áp dụng cách thích hợp Điều hỗ trợ việc sử dụng chi tiết bổ sung tiêu chuẩn để hỗ trợ cho tiêu chuẩn Nên ý trì điều cần thiết cho phù hợp với hai tiêu chuẩn Phải trì tính truy xuất nguồn gốc liệu hệ thống quản lý tích hợp yêu cầu tiêu chuẩn tách biệt Để giảm cơng sức, tập tài liệu tạo cho hệ thống quản lý tích hợp Để hỗ trợ cho điều này, tổ chức tạo tài liệu truy xuất ma trận truy xuất Điều cách rõ ràng hệ thống quản lý tích hợp tuân thủ yêu cầu tiêu chuẩn Lợi ích cách tiếp cận bao gồm việc cho phép theo dõi hoạt động cần để chứng minh phù hợp với tiêu chuẩn 6.2 Các thách thức tiềm ẩn 6.2.1 Việc sử dụng ý nghĩa tài sản Trong ISO/IEC 20000-1, tài sản khác với tài sản thông tin TCVN ISO/IEC 27001 Tài sản thuật ngữ định nghĩa ISO/IEC 20000-1, dùng theo nghĩa tiếng Anh thông thường giá trị Trong vài điều ISO/IEC 20000-1:2011 việc sử dụng tài sản liên kết với tài sản tài chính, cấp phép phần mềm Trong điều khác, tài sản tham chiếu tới tài sản thông tin Ngược lại, TCVN ISO/IEC 27001 dựa khái niệm việc bảo vệ thông tin có định nghĩa thức cho tài sản thơng tin Trong phần lại Điều 6.2 tiêu chuẩn này, điểm khác biệt tương đồng việc sử dụng ý nghĩa hai tiêu chuẩn thảo luận Bao gồm gợi ý cách tích hợp hai tiêu chuẩn ISO/IEC 20000-1 sử dụng thuật ngữ định nghĩa, khoản mục cấu hình (CI), phần tử cần kiểm sốt để chuyển giao nhiều dịch vụ Do tổ chức phải định nghĩa CI theo mục đích riêng nó, có tính tới nhu cầu tính hiệu "Tài sản thơng tin" bao hàm định nghĩa Trong ISO/IEC 20000-1, sở liệu quản lí cấu hình (CMDB) kho liệu tất CI liên hệ lẫn chúng Một số tài sản tổ chức khơng có CMDB (như máy tính để bàn khơng dùng để chuyển giao dịch vụ) Tương tự, số CI khơng coi tài sản theo ISO/IEC 20000-1 ví dụ: người Tài sản ISO/IEC 20000-1 thường có giá trị tiền bạc Với TCVN ISO/IEC 27001, tài sản thông tin định nghĩa tri thức liệu có giá trị cho tổ chức, dạng thức, như: giấy, điện tử,.v.v Như kết quả, tài sản thơng tin CI CI không thiết phải tài sản thơng tin Ví dụ: dây cáp liệu CI, thường khơng phải tài sản thơng tin Hình cung cấp minh họa cho mối quan hệ CI tài sản thông tin Với hệ thống quản lý thông tin tích hợp, tài sản thơng tin TCVN ISO/IEC 27001 dùng bởi, phần của, dịch vụ ISO/IEC 20000-1 Hình - Mối quan hệ tài sản thông tin TCVN ISO/IEC 27001 CI ISO/IEC 20000-1 Cả hai tiêu chuẩn không yêu cầu CI tài sản thông tin phải liệt kê riêng rẽ Chúng gộp nhóm thành kiểu, phần cứng, tài liệu Như phần quy trình này, mơ tả chúng phải làm quán được, đơn giản phù hợp với hai tiêu chuẩn Ví dụ: lúc đầu cơng việc tích hợp nào, định phải đưa theo cách tài sản phân loại nhận diện Điều đảm bảo tham chiếu rõ ràng thực tài sản Nếu thuật ngữ "tài sản thông tin" sử dụng theo nghĩa TCVN ISO/IEC 27001, tài sản đặc biệt phải cho nhãn bổ sung để đảm bảo trạng thái chúng nhận CI tài sản tài ISO/IEC 20000-1, xem Phụ lục B tiêu chuẩn 6.2.2 Thiết kế chuyển giao dịch vụ ISO/IEC 20000-1:2011, Điều bao quát yêu cầu cho việc thiết kế chuyển giao dịch vụ thay đổi Khơng có Điều tương đương trực tiếp TCVN ISO/IEC 27001, số khía cạnh việc thiết kế, chuyển dịch chuyển giao dịch vụ bao quát TCVN ISO/IEC 27001, Phụ lục A Tuy nhiên, hệ thống quản lý tích hợp phải đảm bảo an ninh thông tin xem xét chi tiết giai đoạn lập kế hoạch việc thiết kế chuyển giao dịch vụ thay đổi Các chủ đề nên xem xét bao gồm đánh giá tác động dịch vụ thay đổi dịch vụ kiểm sốt an ninh thơng tin có, xem ISO/IEC 20000-1:2011, Điều 6.6.2 Điều nên thực cho chấm dứt dịch vụ Việc hoạch định cho tất dịch vụ thay đổi nên bao quát việc cân nhắc hệ lụy an ninh thông tin Điều phải thực dù dịch vụ giảm sút phạm vi ISMS 6.2.3 Đánh giá quản lý rủi ro ISO/IEC 20000-1:2011, Điều 4.5.2 4.5.3 bao quát yêu cầu đánh giá rủi ro, cách xử lý rủi ro liên kết với SMS TCVN ISO/IEC 27001:2009, Điều 4.2.1, đưa yêu cầu việc quản lý tất khía cạnh rủi ro liên quan đến an ninh thông tin Các yêu cầu không bị giới hạn rủi ro liên quan đến ISMS bao quát việc đánh giá xử lý rủi ro khía cạnh khác việc quản lý rủi ro an ninh thông tin Mặc dù rủi ro xem xét TCVN ISO/IEC 27001 ISO/IEC 20000-1, chất rủi ro khác ISO/IEC 20000-1 xem xét rủi ro cho SMS dịch vụ, TCVN ISO/IEC 27001 xem xét rủi ro an ninh thơng tin cách thức ảnh hưởng tới tổ chức Tiêu chí đánh giá xử lý rủi ro khác nhau, tùy thuộc vào liệu rủi ro liên quan tới việc chuyển giao dịch vụ, đặc biệt với an ninh thông tin Tuy nhiên, cách thức sử dụng để nhận diện rủi ro hai trường hợp Một vài rủi ro xem xét ISO/IEC 20000-1 ví dụ: rủi ro bên cung cấp khơng tơn trọng chi phí liên quan đến SLA, không coi rủi ro theo quan điểm TCVN ISO/IEC 27001 Vậy rủi ro nhận diện dùng ISO/IEC 20000-1 giả định có liên quan đến an ninh thơng tin, ngược lại Việc làm chủ sở hữu rủi ro khác biệt hai cách tiếp cận Ví dụ, ISO/IEC 20000-1 tổ chức bên cung cấp dịch vụ sở hữu rủi ro Khách hàng mong đợi để chấp nhận rủi ro lại phần SLA họ kế hoạch trì tính liên tục dịch vụ Trong TCVN ISO/IEC 27001, vấn đề chủ sở hữu rủi ro không thảo luận rõ ràng, thực tế tổ chức coi người chủ sở hữu rủi ro an ninh thông tin Hiểu lầm tùy chọn quản lý rủi ro nảy sinh khác biệt yêu cầu quản lý rủi ro hai tiêu chuẩn Khi hoạch định tích hợp triển khai cho hai tiêu chuẩn, tổ chức phải lưu tâm khác biệt tiêu chí rủi ro tác động mà khác biệt có nên xử lý rủi ro Tổ chức phải chấp nhận hai cách tiếp cận mô tả bên a) Dùng cách tiếp cận chung cho quản lý rủi ro, kể đánh giá rủi ro, cho hai tiêu chuẩn, tránh trùng lặp Ví dụ: rủi ro việc tính sẵn có tài sản thơng tin chia sẻ phần khác hệ thống quản lý tích hợp Đây cách tiếp cận hiệu để tránh trùng lặp nỗ lực b) Dùng phương thức đánh giá rủi ro tách biệt cho hai tiêu chuẩn Nếu tùy chọn chọn, tổ chức phải sử dụng thuật ngữ làm khác biệt đánh giá rủi ro SMS dịch vụ từ ISMS đánh giá rủi ro an ninh thông tin Khi việc đánh giá rủi ro quản lý rủi ro then chốt tổ chức, việc triển khai TCVN ISO/IEC 27001 nên ưu tiên để tận dụng hướng dẫn quản lý rủi ro đánh giá rủi ro Dù tùy chọn chọn tổ chức phải sử dụng thuật ngữ rõ ràng quán Điều yêu cầu việc diễn đạt yêu cầu từ hai tiêu chuẩn cách khác từ phiên công bố Tuy nhiên tổ chức phải đảm bảo việc truy xuất rõ ràng yêu cầu hai tiêu chuẩn 6.2.4 Các khác biệt mức chấp nhận rủi ro Khi khách hàng giao phó liệu hệ thống họ bên thứ ba trì, có khác biệt mức chấp nhận rủi ro khách hàng bên thứ ba Điều không rõ ràng tiêu chuẩn nào, tổ chức phải nhận biết vấn đề đưa định rõ ràng liên quan đến mức rủi ro kiểm soát bên khác Các vấn đề thức mơ tả a) Khách hàng có cách nhìn liên quan đến mức an ninh Điều chấp nhận cho thơng tin nằm kiểm sốt bên thứ ba Điều khơng tương xứng với mức an ninh mà bên thứ ba coi đủ b) Bên thứ ba có thơng tin riêng họ, như: ghi tài Bên thứ ba có cách nhìn liên quan đến mức an ninh chấp nhận cho thông tin c) Khách hàng bên thứ ba tham gia vào môi trường pháp luật hiệu lực quy định khác nhau, thay đổi theo quốc gia lĩnh vực thị trường Điều dẫn đến quan điểm rủi ro an ninh thông tin khác Các mong đợi trách nhiệm an ninh thông tin khách hàng tổ chức bên thứ ba nên thảo luận hội sớm Các thảo luận quan trọng cho hai bên việc thỏa thuận phạm vi dự án thực hiện, quan trọng tương đương thể chế kiểm soát vận hành dịch vụ có Bất kỳ xung đột tiềm ẩn phải nhận diện định đưa thỏa thuận, cách lý tưởng trước thực 6.2.5 Quản lý cố vấn đề Điểm để thảo luận vấn đề thuật ngữ Trong TCVN ISO/IEC 27001, có thuật ngữ cho biến cố khơng mong đợi đáng quan tâm: cố an ninh thông tin Ngược lại, ISO/IEC 20000-1 có số thuật ngữ đặc biệt liên kết với quản lý cố Ví dụ, cố, cố an ninh thơng tin, vấn đề, lỗi biết cố chính, xem phụ lục B tiêu chuẩn Những Điều tất cố an ninh thông tin theo TCVN ISO/IEC 27001, tùy theo đặc trưng TCVN ISO/IEC 27001 mơ tả quy trình riêng giải tất cố an ninh thơng tin ISO/IEC 20000-1 khơng có đa dạng thuật ngữ, có đa dạng chế quản lý biến cố quản lý yêu cầu dịch vụ cố, thủ tục cố quản lý vấn đề Trong ISO/IEC 20000-1 biến cố riêng lẻ quản lý nhiều quy trình thủ tục vòng đời ISO/IEC 20000-1 sử dụng định nghĩa TCVN ISO 9000:2007 (ISO/IEC 9000:2005)) cho thủ tục "một cách thức đặc biệt để tiến hành hoạt động quy trình" Với ISO/IEC 20000-1, quy trình mức cao thủ tục, với thủ tục hỗ trợ cho quy trình Hình minh họa mối quan hệ việc quản lý cố an ninh thông tin TCVN ISO/IEC 27001 quản lý cố ISO/IEC 20000-1 Rủi ro an 2.24 ninh thông tinTiềm mà đe dọa (2.45) phát tán lỗ hổng (2.46) tài sản (2.3) nhóm tài sản gây nguy hại cho tổ chức Không định nghĩa Xem "rủi ro" Rủi ro an ninh thông tin không định nghĩa sử dụng phần quản lý an ninh thơng tin ISO/IEC 20000-1, Điều 6.6.1 Tính tồn 2.25 Khơng định nghĩa vẹn Đặc tính bảo vệ độ xác đầy đủ tài sản (2.3) Từ "tính tồn vẹn" sử dụng ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường; chất lượng trạng thái tồn khơng bị hư hỏng (ví dụ: xem ISO/IEC 20000-1, Điều 6.6.2: "bên cung cấp dịch vụ phải thực vận hành kiểm sốt an ninh thơng tin kỹ thuật, hành vật lý để: a) trì tính bảo mật, tính tồn vẹn khả truy cập tài sản thông tin." ISO/IEC 20000-1, Điều 9.1 bao gồm yêu cầu: "Chúng phải thủ tục tài liệu cho việc ghi, kiểm soát theo dõi biên CI Mức độ kiểm soát phải trì tính tồn vẹn dịch vụ thành phần dịch vụ u cầu dịch có tính đến yêu cầu dịch vụ rủi ro liên quan tới CI." "Các thay đổi với CI phải truy xuất kiểm tra để đảm bảo tính tồn vẹn CI liệu CMDB." ISO/IEC 20000-1, Điều 9.3 bao gồm yêu cầu: "Bản phát hành phải thực thi môi trường sống để tính tồn vẹn phần cứng, phần mềm thành phần dịch vụ khác trì suốt thực thi phát hành." Bên liên quan Không định nghĩa 3.13 Cá nhân nhóm có quan tâm đặc biệt hiệu thành công (các) hành động bên cung cấp dịch vụ Xem "bên cung cấp dịch vụ" VÍ DỤ: Các khách hàng, chủ, quản lý, người tổ chức bên cung cấp dịch vụ, bên cung cấp, nhân viên ngân hàng, ủy ban đối tác CHÚ THÍCH 1: Một nhóm bao gồm tổ chức, phần nó, nhiều tổ chức CHÚ THÍCH 2: Đáp ứng theo TCVN ISO 9000:2007 (ISO/IEC 9000:2005)) Nhóm nội Khơng định nghĩa 3.14 Xem "bên cung cấp dịch vụ" Phần bên cung cấp dịch vụ tổ chức mà tham gia vào thỏa thuận văn với bên cung cấp để đóng góp cho việc thiết kế, chuyển đổi, phân phát nâng cấp nhiều dịch vụ CHÚ THÍCH: Nhóm nội bên ngồi phạm vi bên cung cấp dịch vụ SMS Lỗi biết Không định nghĩa 3.15 Xem "sự cố" "vấn đề" Vấn đề mà có nguyên nhân gốc rễ định danh phương pháp giảm thiểu loại bỏ tác động dịch vụ cách làm việc với Hệ thống 2.26 Hệ thống quản lý định nghĩa Được sử dụng ISO/IEC 20000-1 để đề cập tới "các quản lý CHÚ THÍCH định nghĩa hệ thống hệ thống quản lý khác", ISO/IEC 20000-1 đề cập tới Nền tảng sách quản lý dịch vụ "hệ thống quản lý dịch vụ" (2.28), thủ tục (2.30), hướng dẫn (2.16) tài nguyên CHÚ THÍCH 1: Một hệ thống quản lý liên quan để đạt mục tập phần tử tương tác tiêu tổ chức có liên kết để thiết lập sách mục tiêu để đạt mục tiêu Chống chối 2.27 Không định nghĩa sử dụng bỏ Khả chứng minh xuất biến cố công bố (2.15) hành động thực thể gốc để giải tranh cãi xuất hay không xuất biến cố (2.15) hay hành động tham gia thực thể biến cố (2.15) Tổ chức Không định nghĩa Không tương ứng trực tiếp 3.17 ISO/IEC 20000-1 sử dụng thuật ngữ "bên cung cấp dịch vụ" "tổ chức" cho thực thể khác nhau, nên khác Nhóm người sở với biệt chủ yếu cho giải thích hệ xếp trách nhiệm, thẩm quyền mối quan thống quản lý kết hợp hệ Xem "bên cung cấp dịch vụ" VÍ DỤ: Đồn thể, tập đồn, thương hội, công ty, tổ chức từ thiện, hiệp hội, doanh nghiệp tư nhân thành phần kết hợp với CHÚ THÍCH 1: Nói chung, việc xếp có trật tự CHÚ THÍCH 2: Một tổ chức cơng cộng tư nhân Chính sách 2.28 Mục đích định hướng tổng thể thực thức việc quản lý Khơng định nghĩa Từ "chính sách" dùng ISO/IEC 20000-1 theo nghĩa tiếng Anh thơng thường : (chính sách - số nhiều) kế hoạch hành động, thường dựa quy tắc thực tế, định phận cá nhân quy tắc tập quy tắc cho định bản, chuỗi hành động phải tuân theo Các sách sử dụng ISO/IEC 20000-1 cho hướng tổ chức Một vài yêu cầu ISO/IEC 20000-1, bao gồm sách quản lý dịch vụ Việc sử dụng phần lớn giống hai tiêu chuẩn Hành động 2.29 phòng ngừa Hành động để loại bỏ nguyên nhân không phù hợp tiềm ẩn tình tiềm ẩn khơng mong đợi khác [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)] 3.18 Các định nghĩa khác, định nghĩa ISO/IEC 20000-1 mở rộng bao gồm hành động phòng Hành động để tránh loại bỏ nguyên ngừa mà không loại bỏ nguyên nhân, việc nhân giảm khả xuất xung quanh cách để tránh bị tác động; không phù hợp tiềm ẩn tình hành động phòng ngừa khơng loại bỏ nguyên nhân, không mong đợi khác việc xung quanh cách để tránh bị tác động CHÚ THÍCH: Đáp ứng TCVN ISO Thuật ngữ tương tự sử dụng hai tiêu chuẩn, 9000:2007 (ISO/IEC 9000:2005) chúng khác biệt ý nghĩa Nó khơng phải ln ln mong muốn để có hành động phòng ngừa quản lý dịch vụ Thay vào đó, tốt hơn/hiệu để tránh dư thừa Hơn nữa, với ISO/IEC 20000-1, định nghĩa TCVN ISO 9000 (ISO 9000:2005) đáp ứng phép khả Các liên kết cho hoạt động sách ISO/IEC 20000-1, định nghĩa 3.6 ISO/IEC 27000 định nghĩa 2.12 Vấn đề Không định nghĩa 3.19 Xem "sự cố" "lỗi biết" Nguyên nhân gốc rễ nhiều cố CHÚ THÍCH: Ngun nhân gốc rễ khơng thường biết đến thời điểm ghi vấn đề tạo quy trình quản lý vấn đề chịu trách nhiệm cho việc điều tra sau Thủ tục 2.30 3.20 Cả hai định nghĩa dựa TCVN ISO 9000 (ISO 9000:2005), Chúng đa phần giống Chỉ phần Cách thức quy định để Cách thức đặc trưng để thực CHÚ THÍCH khác biệt, như: thủ tục khơng thực hoạt động hoạt động quy trình [TCVN ISO ghi lại, tham chiếu ISO/IEC 20000-1 để thủ quy trình 9000:2007 (ISO/IEC 9000:2005)] tục hóa tất "thủ tục văn bản" Các thủ tục [TCVN ISO 9000:2007 CHÚ THÍCH: Các thủ tục ghi phần kế hoạch ghi lại phần kế hoạch (ISO/IEC 9000:2005)] lại khơng Quy trình 2.31 3.31 Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC Tập hoạt động tương tác Tập hoạt động tương tác liên kết 9000:2005) liên kết với nhau, chuyển với nhau, chuyển đổi đầu vào thành đổi đầu vào thành đầu đầu ra [TCVN ISO 9000:2007 (ISO/IEC [TCVN ISO 9000:2007 9000:2005)] (ISO/IEC 9000:2005)] Bản ghi 2.32 3.22 Tài liệu nêu rõ kết đạt cung cấp chứng hoạt động thực Tài liệu nêu rõ kết đạt cung cấp chứng hoạt động thực [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)] Bản phát hành Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC 9000:2005) [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)] VÍ DỤ: Các báo cáo kiểm toán, báo cáo cố, báo cáo đào tạo biên họp Không định nghĩa 3.23 Không tương ứng trực tiếp sử dụng Tập hợp nhiều CI thay đổi thiết lập trường thực hệ nhiều thay đổi Sự tin cậy 2.33 Được đề cập an ninh thông tin 3.11 Từ "sự tin cậy" sử dụng ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường: đáng tin Tính chất hành vi CHÚ THÍCH 1: Thêm vào đó, tính kết có khả phù hợp chất khác tính xác thực, trách nhiệm, ISO/IEC 20000-1, Điều 8.1: "CMDB phải quản lý để đảm chống thoái thác độ tin cậy bảo độ tin cậy xác nó, bao gồm việc tham gia kiểm sốt truy cập cập nhật" Đề nghị thay Không định nghĩa 3.24 TCVN ISO/IEC 27001, phụ lục A đề cập tới "quản lý thay đổi sử dụng đổi" kiểm soát A.0.1.2 Đề nghị thay đổi tạo cho dịch vụ, thành phần dịch vụ hệ thống Nhiều kiểm soát TCVN ISO/IEC 27001 đề cập tới quản lý dịch vụ việc quản lý kiểm sốt thay đổi Ví dụ: A.8.3, A.10.1, A.10.2.3, A.12.5.1 CHÚ THÍCH: Một thay đổi cho dịch vụ bao gồm việc cung cấp dịch vụ gỡ bỏ dịch vụ mà khơng yêu cầu Rủi ro 2.34 3.25 Việc sử dụng rõ ràng giới hạn "rủi ro" ISO/IEC 20000, nhiều khía cạnh chủ động việc quản lý dịch vụ nhằm mục đích giảm thiểu rủi ro Sự kết hợp khả Hiệu mục tiêu không thực tế kiện (2.15) hệ chắn (ISO/IEC Guider Nó phải thích khái niệm "rủi ro" đáp ứng CHÚ THÍCH 1: Một hiệu độ 73 20002] ISO/IEC 27001 sửa đổi tương tự lệch so với dự kiến - tích cực và/hoặc tiêu ISO/IEC 20000-1, dựa ISO 31000 cực Xem "lỗ hổng kỹ thuật" CHÚ THÍCH 2: Các mục tiêu có khía cạnh khác (như tài chính, sức khỏe an tồn mục đích mơi trường) áp dụng mức khác (như: chiến lược, toàn tổ chức, dự án, sản phẩm quy trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng tham chiếu tới kiện hậu tiềm ẩn, kết hợp chúng CHÚ THÍCH 4: Rủi ro thường diễn tả thuật ngữ kết hợp kết hợp hậu kiện (bao gồm thay đổi nhiều tình huống) khả tương ứng với xuất [ISO 31000:2009] Chấp nhận 2.35 Không định nghĩa rủi ro Quyết định chấp nhận rủi ro (2.34) [ISO/IEC Guide 73:2002] Cụm từ "sự chấp nhận rủi ro" không định nghĩa sử dụng ISO/IEC 20000-1 Tuy nhiên, ISO/IEC 20000-1 yêu cầu để định nghĩa lĩnh vực chấp nhận rủi ro kế hoạch quản lý dịch vụ, Điều 4.5.2 quy trình quản lý an ninh thông tin, Điều 6.6.1 Các khái niệm tương đồng Điều 5.4, yêu cầu sử dụng lĩnh vực chấp nhận Phân tích rủi 2.36 Khơng định nghĩa ro Sử dụng có hệ thống thơng tin để định danh nguồn để đánh giá rủi ro (2.34) [ISO/IEC Guide 73:2002] Xem "đánh giá rủi ro" Việc quan tâm đặc biệt phải áp dụng, phân tích rủi ro định nghĩa khơng giống "chấp nhận rủi ro", xem ISO/IEC 270005 để tham chiếu CHÚ THÍCH: Phân tích rủi ro cung cấp sở cho việc đánh giá rủi ro (2.41), xử lý rủi ro (2.43) chấp nhận rủi ro (2.35) Đánh giá rủi 2.37 Khơng định nghĩa ro Quy trình tổng thể (2.31) việc phân tích rủi ro (2.36) đánh giá rủi ro (2.41) [ISO/IEC Guide 73:20002] Các tham chiếu ISO/IEC 20000-1 cho việc đánh giá rủi ro liên quan tới dịch vụ Ví dụ: Điều 4.5.3 (Thiết lập vận hành SMSM (Thực hiện) bao gồm "….d) định danh, đánh giá quản lý rủi ro cho dịch vụ" Điều 5.2 (Lập kế hoạch cho dịch vụ thay đổi mới) bao gồm "…f) định danh, đánh giá quản lý rủi ro." Điều 6.6.1: "d) đảm bảo đánh giá rủi ro thông tin tiến hành khoảng thời gian kế hoạch" Kết nối rủi ro 2.38 Không định nghĩa Việc trao đổi chia sẻ thông tin rủi ro (2.34) người định bên khác Không sử dụng ISO/IEC 20000-1 cách thức liên quan đến rủi ro [ISO/IEC Guide 73:2002] Tiêu chí rủi 2.39 Khơng định nghĩa ro Các thuật ngữ cho việc tham chiếu tầm quan trọng rủi ro (2.34) đánh giá [ISO/IEC Guide 73 2002] Được sử dụng ISO/IEC 20000-1 cách thức tương tự việc sử dụng TCVN ISO/IEC 27001, ví dụ: ISO/IEC 20000-1, Điều 4.5.2 "Kế hoạch quản lý dịch vụ phải bao gồm tham chiếu cho…j) tiếp cận để thực cho việc quản lý rủi ro tiêu chí chấp nhận rủi ro" Khái niệm tương tự cho hai tiêu chuẩn, có ý nghĩa lớn TCVN ISO/IEC 27001 ISO/IEC 20000 Đánh giá rủi 2.40 Không định nghĩa ro Hoạt động để gán giá trị cho khả hậu rủi ro Xem "đánh giá rủi ro" [ISO/IEC Guide 73 2002] Đánh giá rủi 2.41 Không định nghĩa ro Quy trình (2.31) so sánh đánh giá rủi ro (2.34) chống lại tiêu chí rủi ro sẵn có (2.39) để xác định ý nghĩa rủi ro (2.34) Xem "đánh giá rủi ro" [ISO/IEC Guide 73:2002] Quản lý rủi ro2.42 Không định nghĩa Chủ yếu nghĩa hai tiêu chuẩn Không định nghĩa Thuật ngữ "xử lý rủi ro" không sử dụng ISO/IEC 20000-1, bao trùm thuật ngữ quản lý rủi ro (xem ví dụ "đánh giá rủi ro") Các hoạt động phối hợp để định hướng kiểm soát tổ chức liên quan đến rủi ro (2.34) [ISO/IEC Guide 73:2002] CHÚ THÍCH: Quản lý rủi ro chủ yếu bao gồm việc đánh giá rủi ro (2.37), xử lý rủi ro (2.43), chấp nhận rủi ro (2.35), kết nối rủi ro (2.38), giám sát rủi ro đánh giá rủi ro Xử lý rủi ro 2.43 Quy trình (2.31) lựa chọn thiết lập tính tốn thay đổi rủi ro (2.34) [ISO/IEC Guide 73:2002] Dịch vụ Không định nghĩa 3.26 Không tương ứng trực tiếp Cách thức phân phối giá trị cho khách hàng cách tạo điều kiện cho kết mà khách hàng muốn đạt CHÚ THÍCH 1: Dịch vụ nhìn chung vơ hình CHÚ THÍCH 2: Một dịch vụ phân phối cho bên cung cấp dịch vụ bên cung cấp, nhóm nội khách hàng vai trò bên cung cấp Thành phần Không định nghĩa dịch vụ 3.27 Không tương ứng trực tiếp Đơn vị đơn lẻ dịch vụ mà kết hợp với đơn vị khác phân phối dịch vụ hồn chỉnh VÍ DỤ: Phần cứng, phần mềm, công cụ, ứng dụng, văn bản, thơng tin, quy trình dịch vụ hỗ trợ CHÚ THÍCH: Một thành phần dịch vụ bao gồm nhiều CI Dịch vụ liên Không định nghĩa tục 3.28 Thỏa thuận Không định nghĩa mức dịch vụ (SLA) 3.29 Xem "lỗ hổng kỹ thuật" "các rủi ro" Khả quản lý rủi ro kiện mà Xem "kinh doanh liên tục" có tác động nghiêm trọng Dịch vụ liên tục xem tập phụ kinh nhiều dịch vụ thay phân phối liên doanh liên tục tục dịch vụ mức thỏa thuận Thuật ngữ không sử dụng TCVN ISO/IEC 27001 Tuy nhiên, định nghĩa chấp nhận đề cập Thỏa thuận văn bên cung đến mục đích kiểm sốt A.10.2 khía cạnh an ninh cấp dịch vụ khách hàng mà đích danh việc phân phối trì dịch vụ bên thứ ba dịch vụ đối tượng dịch vụ liên quan, kiểm sốt A.10.2.1 (các mức thỏa thuận CHÚ THÍCH 1: Một thỏa thuận mức dịch dịch vụ liên tục) vụ thực bên cung cấp dịch vụ bên cung cấp, nhóm nội khách hàng đóng vai trò bên cung cấp CHÚ THÍCH 2: Một thỏa thuận mức dịch vụ bao gồm hợp đồng loại khác tài liệu thỏa thuận Quản lý dịch Không định nghĩa vụ 3.30 Hệ thống Không định nghĩa quản lý dịch vụ (SMS) 3.31 Tập khả quy trình để định hướng kiểm soát hoạt động tài nguyên bên cung cấp dịch vụ việc thiết kế, chuyển giao, phân phối nâng cấp dịch vụ để đáp ứng đầy đủ yêu cầu dịch vụ Hệ thống quản lý định hướng kiểm soát hành động quản lý dịch vụ bên cung cấp dịch vụ CHÚ THÍCH 1: Một hệ thống quản lý tập thành phần liên tác liên hợp để thực sách mục tiêu để đạt mục tiêu CHÚ THÍCH 2: SMS bao gồm tất sách quản lý dịch vụ, mục tiêu, kế hoạch, quy trình, văn tài nguyên yêu cầu cho việc thiết kế, chuyển giao, phân phối nâng cấp dịch vụ đáp ứng đầy đủ yêu cầu phần ISO/IEC 20000 CHÚ THÍCH 3: Được đáp ứng từ định nghĩa "hệ thống quản lý chất lượng" Mục đích kiểm sốt A.10.2 TCVN ISO/IEC 27001, liên quan đến thuật ngữ Xem "hệ thống quản lý an ninh thông tin" (ISMS) TCVN ISO 9000:2007 (ISO/IEC 9000:2005) Nhà cung Không định nghĩa cấp dịch vụ 3.32 Bên cung cấp dịch vụ ISO/IEC 20000-1, định nghĩa 3.32 tổ chức mà nhằm đáp ứng đầy đủ yêu cầu ISO/IEC 20000-1 Tổ chức hay phần tổ chức mà quản lý phân phối nhiều dịch vụ cho khách hàng Thuật ngữ sử dụng đưa điểm khác biệt bên cung cấp dịch vụ nhóm khác, CHÚ THÍCH: Một khách hàng nội khách hàng, bên khác (các bên cung cấp, nhóm ngoại tổ chức bên nội bộ, khách hàng, đóng vai trò bên cung cấp), cung cấp dịch vụ tổ chức ngoại bộ, bên quan tâm bên cung cấp sản phẩm dịch vụ hỗ trợ vận hành SMS Một bên cung cấp dịch vụ phần tổ chức lớn toàn tổ chức Yêu cầu dịch Không định nghĩa vụ 3.33 Yêu cầu dịch Không định nghĩa vụ 3.34 Không tương ứng trực tiếp Yêu cầu thông tin, lời khuyên, truy cập từ dịch vụ thay đổi tiền - chấp nhận Yêu cầu dịch vụ định nghĩa ISO/IEC 20000-1, định nghĩa 3.34 Các nhu cầu khách hàng người sử dụng dịch vụ, bao gồm yêu cầu mức Trong TCVN ISO/IEC 27001, "yêu cầu" dùng dịch vụ, nhu cầu bên cung cấp nghĩa tiếng Anh thông thường của: nhu cầu, vài dịch vụ thứ mà yêu cầu, cần thiết, u cầu Nó khơng dùng ISO/IEC 20000 "các yêu cầu dịch vụ", có vài sử dụng "các yêu cầu an ninh", yêu cầu pháp lý quy định Bên cung Không định nghĩa cấp 3.35 ISO/IEC 20000-1 bao gồm tham chiếu yêu cầu cho việc quản lý của: Tổ chức phần tổ chức mà bên tổ chức bên a) Các bên cung cấp, cung cấp dịch vụ tham gia b) Các bên cung cấp (quản lý bên cung cấp hợp hợp đồng với bên cung cấp dịch vụ để đồng phụ) góp phần vào việc thiết kế, chuyển giao, phân phối nâng cấp nhiều dịch vụ quy trình c) Các khách hàng (đóng vai trò bên cung cấp) Tất đóng góp cho tổng thể dịch vụ quản lý CHÚ THÍCH: Các bên cung cấp bao gồm bên cung cấp dịch vụ: bên cung cấp dẫn đầu không Quản lý dịch vụ bao gồm bên cung cấp/ bên cung cấp gồm nhà thầu phụ họ (và thơng qua bên cung cấp chính, bên cung cấp hợp đồng phụ) Quản lý mức dịch vụ bao trùm việc quản lý nhóm nội khách hàng, đóng vai trò bên cung cấp TCVN ISO/IEC 27001 sử dụng thuật ngữ "bên cung cấp" lần Báo cáo áp 2.44 Không định nghĩa sử dụng dụng Báo cáo tài liệu mô tả mục tiêu kiểm soát (2.11) kiểm soát (2.10) mà liên quan chấp nhận cho ISMS tổ chức (2.33) Đe dọa 2.45 Không định nghĩa Nguyên nhân tiềm ẩn rắc rối không mong đợi, dẫn đến việc nguy hại hệ thống tổ chức Chuyển đổi Không định nghĩa ISO/IEC 20000-1, Điều 1.2 Ứng dụng không giống báo cáo áp dụng TCVN ISO/IEC 27001 Trong ISO/IEC 20000-1, thuật ngữ "đe dọa" sử dụng lần, định nghĩa 3.12: "Sự cố an ninh thông tin: đơn lẻ chuỗi kiện an ninh thông tin khơng mong muốn mong đợi mà có khả quan trọng ảnh hưởng đến vận hành kinh doanh đe dọa an ninh thông tin" 3.37 Một liên kết tồn việc chuyển đổi, sử dụng ISO/IEC 20000-1, Điều cách thức vài Các hành động liên quan việc di thay đổi kiểm soát dựa TCVN ISO/IEC 27001 chuyển dịch vụ thay đổi tới Các quy trình kiểm sốt, miêu tả ISO/IEC từ môi trường sống 20000-1, Điều 9, liên kết chặt chẽ định nghĩa TCVN ISO/IEC 27001 quản lý việc quản lý thay đổi điều sau: A.10.1.2 Quản lý thay đổi thủ tục vận hành trách nhiệm A.10.2.3 Quản lý thay đổi dịch vụ bên thứ ba Lỗ hổng an 2.46 Không định nghĩa sử ninh dụng Điểm yếu tài sản (2.3) kiểm sốt (2.10) mà bị khai thác đe dọa (2.45) Không tương ứng trực tiếp THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO 9000 Quality management systems - Fundamentals and vocabulary [2] ISO 9004 Quality management systems - Guidelines for performance improvements [3] ISO/IEC TS 15504-8 Information technology - Service management - Part 8: Process assessment mode for service management (đang phát triển) [4] TCVN ISO 19011 : 2003 Hệ thống quản lý chất lượng - Hướng dẫn đánh giá hệ thống quản lý chất lượng, môi trường (ISO 19011 Quality management systems - Guidelines for quality and/or environmental management systems auditing) [5] TCVN 8695-2:2011 Công nghệ thông tin - Quản lý dịch vụ - Phần 2: Quy tắc thực hành (ISO/IEC 20000-2 Information technology - Service management - Part 2: Guidance on the application of service management systems) [6] ISO/IEC 20000-3 Information technology - Service management - Part 3: Guidance on the application of scope definition and applicability for ISO/IEC 20000-1 [7] ISO/IEC 20000-4 Information technology - Service management - Part 4: Process referance model for service management [8] ISO/IEC 20000-5 Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1 [9] ISO/IEC TR 900062 Information technology - Guidelines for the application of ISO 9001:2008 to IT service management and it intergration with ISO/IEC 20000-1:2011 [10] TCVN ISO/IEC 27002 Công nghệ thơng tin - Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin (ISO/IEC 27002 Information technology - Security techniques - Information security management systems - Code of practice for information security control) (đang soát xét) [11] ISO/IEC 27003 Information technology - Security techniques - Information security management systems - Information security management system implementation guidance [12] ISO/IEC 27004 Information technology - Security techniques - Information security management systems - Information security management system measurements [13] ISO/IEC 27005 Information technology - Security techniques - Information security management systems - Information security risk management [14] ISO/IEC 27006 Information technology - Security techniques - Information security management systems - Requirements for bodies providing audiit and certification of information security management systems [15] ISO/IEC 27007 Information technology - Security techniques - Information security management systems - Guidelines for information security management system auditing [16] ISO/IEC TR 27008 Information technology - Security techniques - Information security management systems - Guidelines for auditors on information security controls [17] ISO/IEC 27010 Information technology - Security techniques - Information security management systems - Information security management system for inter-sector and interorganizational communications [18] ISO/IEC 27014 Information technology - Security techniques - Information security management systems - Governance of information security [19] ISO/IEC 31000 Risk management - Principles and Guidelines on Implementation Đã xuất MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ, thuật ngữ viết tắt định nghĩa Tổng quan TCVN ISO/IEC 27001 ISO/IEC 20000-1 Cách tiếp cận cho việc tích hợp triển khai Cân nhắc cho việc tích hợp triển khai Phụ lục A (tham khảo) Tương ứng ISO/IEC 27001:2009 ISO/IEC 20000-1:2011 Phụ lục B (tham khảo) So sánh thuật ngữ ISO/IEC 27000:2009 ISO/IEC 20000-1:2011 Thư mục tài liệu tham khảo ... 27001 and ISO/IEC 2000 0-1 Phạm vi áp dụng Tiêu chuẩn cung cấp hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 2000 0-1 cho tổ chức có ý định hoặc: a) Triển khai TCVN ISO/IEC 27001 ISO/IEC. .. 27001 ISO/IEC 2000 0-1 triển khai, ngược lại; b) Triển khai TCVN ISO/IEC 27001 ISO/IEC 2000 0-1 nhau; c) Tích hợp hệ thống quản lý TCVN ISO/IEC 27001 ISO/IEC 2000 0-1 có Tiêu chuẩn nêu bật điểm... 2000 0-1 :2011 Tổng quan TCVN ISO/IEC 27001 ISO/IEC 2000 0-1 4.1 Hiểu biết tiêu chuẩn quốc tế Một tổ chức nên có am hiểu đặc trưng, giống khác TCVN ISO/IEC 27001 ISO/IEC 2000 0-1 trước hoạch định hệ