Tiêu chuẩn Quốc gia TCVN 10542:2014 cung cấp hướng dẫn cho việc phát triển và sử dụng các số đo, phép đo để đánh giá hiệu lực của một hệ thống quản lý an toàn thông tin (ISMS) đã triển khai và các biện pháp quản lý hay nhóm các biện pháp quản lý, theo quy định tại tiêu chuẩn TCVN ISO/IEC 27001:2009.
TIÊU CHUẨN QUỐC GIA TCVN 10542:2014 ISO/IEC 27004:2009 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUẢN LÝ AN TỒN THƠNG TIN - ĐO LƯỜNG lnformation technology - Security techniques - lnformation security management - Measurement Lời nói đầu TCVN 10542:2014 hồn tồn tương đương với ISO/IEC 27004:2009 TCVN 10542:2014 Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin truyền thông tổ chức xây dựng đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Cơng nghệ cơng bố CƠNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - QUẢN LÝ AN TỒN THƠNG TIN ĐO LƯỜNG lnformation technology - Security techniques - Intormation security management Measurement Phạm vi áp dụng Tiêu chuẩn cung cấp hướng dẫn cho việc phát triển sử dụng số đo, phép đo để đánh giá hiệu lực hệ thống quản lý an toàn thông tin (ISMS) triển khai biện pháp quản lý hay nhóm biện pháp quản lý, theo quy định tiêu chuẩn TCVN ISO/IEC 27001:2009 Tiêu chuẩn khuyến nghị áp dụng tất tổ chức loại hình quy mơ CHÚ THÍCH: Tài liệu sử dụng dạng lời cho việc diễn tả điều khoản (như “phải", “phải khơng”, “nên”, “khơng nên", “cần”, “khơng cần", “có thể” “khơng thể") chuẩn hóa dẫn ISO/IEC, Phần 2, 2004, Phụ lục H Xem ISO/IEC 27000:2009, Phụ lục A Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết để áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn không ghi năm cơng bố áp dụng phiên (bao gồm sửa đổi, bổ sung) ISO/IEC 27000:2009, Information technology - Security techniques - lnformation security management systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an tồn Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng); TCVN ISO/IEC 27001:2009, Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các yêu cầu (Information technology - Security techniques - Information security management systems - Requirements) Thuật ngữ định nghĩa 3.1 Mơ hình phân tích (analytical model) Thuật tốn phép tính kết hợp hay nhiều số đo (base measure) và/hoặc số đo dẫn xuất với tiêu chí định kèm [ISO/IEC 15939:2007] 3.2 Thuộc tính (attribute) Các đặc tính đặc điểm đối tượng mà phân biệt cách định lượng định tính người thiết bị tự động (automated means) THIẾU TRANG 3.11 Hàm đo (measurement function) Thuật tốn tính tốn thực để kết hợp hai nhiều số đo [ISO/IEC 15939:2007] 3.12 Phương pháp đo (measurement method) Trình tự logic phép tốn, mơ tả cách tổng quát, sử dụng việc định lượng thuộc tính thang đo xác định [ISO/IEC 15939:2007] CHÚ THÍCH: Loại phương pháp đo phụ thuộc vào chất phép toán sử dụng để định lượng thuộc tính Hai loại phương pháp phân biệt: - Chủ quan: việc định lượng liên quan tới chủ định người; - Khách quan: việc định lượng dựa nguyên tắc số học 3.13 Kết đo (measurement results) Một nhiều báo giải thích kèm nhằm giải nhu cầu thông tin 3.14 Đối tượng (object) Đề mục đặc trưng hóa thơng qua đo lường thuộc tính 3.15 Thang đo (scale) Tập hợp có thứ tự giá trị liên tục hay rời rạc, tập phân loại mà thuộc tính ánh xạ tới [ISO/IEC 15939:2007] CHÚ THÍCH: Loại thang đo phụ thuộc vào chất mối quan hệ giá trị thang đo Bốn loại thang đo thường định nghĩa là; - Danh định: giá trị đo giá trị rõ ràng; - Thứ tự: giá trị đo hạng/bậc; - Khoảng đoạn: giá trị đo có khoảng tương ứng với số lượng thuộc tính; - Tỷ lệ: giá trị đo có khoảng cách tương ứng với số lượng thuộc tính, với giá trị khơng khơng tương ứng với thuộc tính 3.16 Đơn vị đo (unit of measurement) Lượng cụ thể, xác định chấp nhận theo quy ước, với lượng này, lượng khác loại so sánh để diễn tả mối tương quan độ lớn với lượng [ISO/IEC 15939:2007] 3.17 Hợp lệ (validation) Sự xác nhận, thông qua việc cung cấp chứng khách quan, yêu cầu cho mục đích sử dụng cụ thể ứng dụng thỏa mãn 3.18 Sự xác minh (Verification) Sự xác nhận, thông qua việc cung cấp chứng khách quan, yêu cầu cụ thể thỏa mãn [ISO/IEC 9000:2005] CHÚ THÍCH: Cũng gọi việc kiểm tra tuân thủ Cấu trúc tiêu chuẩn Tiêu chuẩn giải thích số đo hoạt động đo lường cần thiết để đánh giá hiệu lực yêu cầu ISMS cho ban quản lý biện pháp quản lý an tồn thơng tin cách phù hợp tương xứng theo yêu cầu nêu tiêu chuẩn TCVN ISO/IEC 27001:2009, 4.2 Tiêu chuẩn cấu trúc sau: + Tổng quan Chương trình đo lường an tồn thơng tin Mơ hình đo lường an tồn thơng tin (Điều 5); + Trách nhiệm ban quản lý đo lường an toàn thông tin (Điều 6); + Các cấu trúc phép đo quy trình (như việc lập kế hoạch phát triển, triển khai, hoạt động, vận hành cải tiến phép đo: trao đổi kết phép đo) để triển khai Chương trình đo lường an tồn thơng tin (Điều - 10); Ngồi ra, Phụ lục A cung cấp mẫu ví dụ cấu trúc phép đo thành phần yếu tố mơ hình đo lường an tồn thơng tin (xem Điều 7) Phụ lục B cung cấp ví dụ cấu trúc phép đo biện pháp quản lý cụ thể hay quy trình ISMS, sử dụng mẫu cung cấp Phụ lục A Những ví dụ giúp tổ chức việc làm để triển khai Đo lường hệ thống an toàn thông tin làm để ghi lại hành động đo kết từ chúng Tổng quan đo lường an tồn thơng tin 5.1 Các mục tiêu đo lường an tồn thơng tin Các mục tiêu đo lường an tồn thơng tin bối cảnh ISMS bao gồm: a) Ước lượng hiệu lực biện pháp quản lý hay nhóm biện pháp quản lý triển khai (xem 4.2.2 d Hình 1); b) Ước lượng hiệu lực ISMS triển khai (xem 4.2.3 b Hình 1); c) Xác minh mức độ đáp ứng yêu cầu an tồn thơng tin xác định (xem 4.2.3 c Hình 1); d) Tạo điều kiện thuận lợi cho việc thực cải tiến an tồn thơng tin mặt quản lý rủi ro nghiệp vụ tổng thể tổ chức; e) Cung cấp thông tin đầu vào cho việc soát xét ban quản lý để tạo điều kiện đưa định liên quan đến ISMS việc điều chỉnh cải tiến cần thiết ISMS triển khai Hình mơ tả mối quan hệ đầu vào - đầu theo chu kỳ hoạt động đo lường theo mơ hình Lập kế hoạch - Thực - Kiểm tra - Hành động (PDCA: Plan-Do-Check-Act), quy định tiêu chuẩn TCVN ISO/IEC 27001:2009 Các số hình mục tương đương TCVN ISO/IEC 27001:2009 Hình - Đầu vào đầu ISMS theo mơ hình PDCA quản lý an tồn thơng tin Các tổ chức cần thiết lập mục tiêu đo lường dựa số cân nhắc, bao gồm: a) Vai trò an tồn thơng tin hỗ trợ hoạt động nghiệp vụ tổng thể tổ chức rủi ro hệ thống an tồn thơng tin phải đối mặt; b) Các yêu cầu luật pháp, quy định hợp đồng liên quan; c) Cơ cấu tổ chức; d) Chi phí lợi ích việc thực phép đo an tồn thơng tin; e) Tiêu chí chấp nhận rủi ro thơng tin tổ chức; f) Yêu cầu cần so sánh số ISMS tổ chức tương đương 5.2 Chương trình đo lường an tồn thơng tin Tổ chức nên thiết lập quản lý Chương trình đo lường an tồn thơng tin để đạt mục tiêu đo lường thiết lập chấp nhận thực mơ hình PDCA toàn hoạt động đo lường tổ chức Tổ chức cần phát triển triển khai cấu trúc đo lường để có kết đo khách quan hữu ích dựa Mơ hình đo lường an tồn thơng tin (xem 5.4) Chương trình đo lường an tồn thơng tin cấu trúc đo lường triển khai nên đảm bảo giúp tổ chức đạt phép đo mục tiêu có liên quan lặp lại, cung cấp kết đo cho bên liên quan để xác định nhu cầu cải tiến ISMS triển khai, phạm vi, sách, mục tiêu, biện pháp quản lý, quy trình thủ tục Chương trình đo lường an tồn thơng tin bao gồm quy trình sau đây: a) Phát triển số đo phép đo (Điều 7); b) Tiến hành đo lường (Điều 8); c) Phân tích liệu lập báo cáo kết đo (Điều 9); d) Ước lượng cải tiến Chương trình đo lường an tồn thông tin (Điều 10) Cơ cấu cấu trúc hoạt động Chương trình đo lường an tồn thơng tin nên định sở quy mô phức tạp ISMS Trong trường hợp, vai trò trách nhiệm Chương trình đo lường an tồn thơng tin nên quy rõ cho người có đủ lực (xem 7.5.8) Các số đo lựa chọn thực Chương trình đo lường an tồn thơng tin nên liên quan trực tiếp đến hoạt động ISMS, đến số đo khác, đến quy trình nghiệp vụ tổ chức Phép đo tích hợp vào hoạt động thường xuyên triển khai khoảng thời gian xác định ban quản lý ISMS 5.3 Các yếu tố giúp thành công Sau số yếu tố góp phần vào thành cơng Chương trình đo lường an tồn thơng tin tạo điều kiện thuận lợi để cải tiến ISMS cách liên tục: a) Cam kết ban quản lý hỗ trợ nguồn lực thích hợp; b) Sự tồn quy trình thủ tục ISMS; c) Một tiến trình lặp lại, có khả thu thập báo cáo/ thông báo liệu có ý nghĩa để cung cấp thơng tin cho việc xác định xu hướng có liên quan khoảng thời gian cụ thể; d) Các số đo định lượng dựa mục tiêu ISMS; e) Các liệu thu thập dễ dàng cho phép đo; f) Ước lượng tính hiệu lực Chương trình đo lường an tồn thơng tin triển khai cải tiến định; g) Duy trì việc thu thập, phân tích báo cáo liệu đo lường cách định kỳ, theo cách có ý nghĩa; h) Việc sử dụng kết đo bên liên quan để xác định nhu cầu cần cải tiến ISMS triển khai, bao gồm phạm vi, sách, mục tiêu, biện pháp quản lý, quy trình thủ tục; i) Việc chấp nhận thông tin phản hồi kết đo từ bên liên quan; j) Ước lượng hữu dụng kết đo thực cải tiến xác định Ngay sau triển khai thành cơng, Chương trình đo lường an tồn thơng tin có thể: 1) Chứng tỏ tuân thủ tổ chức với yêu cầu pháp lý quy định hành nghĩa vụ hợp đồng; 2) Hỗ trợ xác định vấn đề an tồn thơng tin trước khơng bị phát không biết; 3) Trợ giúp việc đáp ứng báo cáo quản lý cần thiết nêu rõ số đo cho hành động từ trước đó; 4) Được sử dụng đầu vào cho quy trình quản lý rủi ro an tồn thơng tin, đánh giá nội ISMS soát xét ban quản lý 5.4 Mơ hình đo lường an tồn thơng tin CHÚ THÍCH: Các khái niệm mơ hình đo lường an tồn thơng tin cấu trúc phép đo sử dụng tiêu chuẩn dựa khái niệm ISO/IEC 15939 Thuật ngữ “sản phẩm thông tin” sử dụng ISO/IEC 15939 đồng nghĩa với “các kết đo” tiêu chuẩn "quy trình đo lường” sử dụng ISO/IEC 15939 đồng nghĩa với “Chương trình đo lường’’ tiêu chuẩn 5.4.1 Tổng quan mơ hình đo lường Mơ hình đo lường an tồn thơng tin cấu trúc liên kết nhu cầu thông tin tới đối tượng có liên quan phép đo thuộc tính chúng Đối tượng đo lường bao gồm quy trình, thủ tục, dự án nguồn lực lập kế hoạch triển khai Mơ hình đo lường an tồn thơng tin mơ tả để thuộc tính liên quan định lượng chuyển đổi thành báo cung cấp sở cho việc định Hình mơ tả mơ hình đo lường an tồn thơng tin Hình Mơ hình đo lường an tồn thơng tin CHÚ THÍCH: Điều cung cấp chi tiết thông tin thành phần riêng mơ hình đo lường an tồn thơng tin Các điều giới thiệu thành phần mơ hình Chúng cung cấp ví dụ cách sử dụng thành phần Các nhu cầu thơng tin hay mục đích đo lường sử dụng ví dụ Bảng tới Bảng phần sau để đánh giá tình trạng nhận thức cá nhân có liên quan tuân thủ sách an tồn thơng tin tổ chức (Mục tiêu quản lý A.8.2 Các biện pháp quản lý A.8.2.1 A.8.2.2 TCVN ISO/IEC 27001:2009), 5.4.2 Số đo phương pháp đo Một số đo số đo đơn giản có Một số đo kết việc áp dụng phương pháp đo lường tới thuộc tính lựa chọn đối tượng phép đo Đối tượng phép đo có nhiều thuộc tính, số cung cấp giá trị hữu ích để gán cho số đo Một thuộc tính cho sử dụng cho nhiều số đo khác Một phương pháp đo trình tự logic phép tốn sử dụng để định lượng thuộc tính tương ứng với thang đo xác định Phép tốn bao gồm hoạt động đếm số lần xảy hay việc quan sát thời gian qua Một phương pháp đo áp dụng nhiều thuộc tính cho đối tượng đo lường Ví dụ đối tượng đo lường bao gồm không giới hạn bởi: - Khả biện pháp quản lý triển khai ISMS; - Tình trạng tài sản thông tin bảo vệ biện pháp quản lý; - Khả quy trình triển khai ISMS; - Hành vi cá nhân chịu trách nhiệm ISMS triển khai; - Các hoạt động đơn vị tổ chức chịu trách nhiệm an tồn thơng tin; - Mức độ hài lòng bên quan tâm Một phương pháp đo sử dụng đối tượng đo lường phép đo thuộc tính từ nhiều nguồn khác nhau, chẳng hạn như: - Các kết phân tích rủi ro đánh giá rủi ro; - Các câu hỏi vấn cá nhân; - Các báo cáo kiểm tra nội từ bên ngoài; - Các ghi kiện, nhật ký đăng nhập (logs), báo cáo thống kê lưu vết kiểm tra; - Các báo cáo cố, cụ thể cố xảy tác động; - Các kết kiểm tra, ví dụ từ thâm nhập thử nghiệm (penetration testing hay pentest), khai thác tâm lý, công cụ đánh giá tuân thủ công cụ kiểm tra an tồn thơng tin; - Các ghi từ thủ tục chương trình có liên quan tới an tồn thơng tin tổ chức, kết đào tạo nhận thức an tồn thơng tin Bảng - trình bày ứng dụng mơ hình an tồn thơng tin cho biện pháp quản lý sau: - "Biện pháp quản lý 2" tham chiếu đến biện pháp quản lý A.8.2.1 Trách nhiệm Ban quản lý TCVN ISO/IEC 27001:2009 (“Ban quản lý cần phải yêu cầu cá nhân, người nhà thầu bên thứ ba chấp hành an tồn thơng tin phù hợp với thủ tục sách an tồn thơng tin thiết lập tổ chức”); thực sau: "Tất cá nhân tổ chức có liên quan đến ISMS phải ký thỏa thuận người dùng trước cấp quyền truy cập đến hệ thống thông tin"; - "Biện pháp quản lý 1" tham chiếu đến biện pháp quản lý A.8.2.2 "Nhận thức, giáo dục đào tạo an tồn thơng tin" TCVN ISO/IEC 27001:2009 ("Tất cá nhân tổ chức, người nhà thầu bên thứ ba phải đào tạo nhận thức cập nhật thường xuyên thủ tục, sách đảm bảo an tồn thơng tin tổ chức phần công việc bắt buộc"); thực sau: "Tất cá nhân liên quan đến ISMS phải đào tạo nâng cao nhận thức an tồn thơng tin trước cấp quyền truy cập vào hệ thống thông tin" Các cấu trúc phép đo tương ứng mơ tả B.1 CHÚ THÍCH: Bảng - bao gồm cột khác (Bảng có bốn cột; Bảng 2-4 có ba cột), cột gán chữ định Mỗi ô cột gán số định Các tổ hợp chữ định chữ số định sử dụng ô để tham chiếu đến trước Các mũi tên luồng liệu thành phần riêng biệt mơ hình đo lường an tồn thơng tin ví dụ cụ thể Bảng bao gồm ví dụ mối quan hệ đối tượng phép đo, thuộc tính, phương pháp đo số đo cho đo lường đối tượng thiết lập cho biện pháp quản lý triển khai mô tả Bảng - Ví dụ số đo phương pháp đo 5.4.3 Số đo dẫn xuất hàm đo lường Số đo dẫn xuất kết hợp hai nhiều số đo Một số đo phục vụ đầu vào số số đo dẫn xuất Hàm đo lường tính toán sử dụng để kết hợp số đo với để tạo số đo dẫn xuất Thang đo đơn vị số đo dẫn xuất phụ thuộc vào thang đo đơn vị số đo có liên quan làm chúng kết hợp với hàm đo lường Hàm đo lường liên quan đến loạt kỹ thuật, chẳng hạn tính trung bình số đo bản, áp dụng trọng số cho số đo bản, gán giá trị định tính cho số đo Hàm đo lường kết hợp số đo sử dụng thang đo khác nhau, chẳng hạn tỷ lệ phần trăm kết đánh giá định tính Một ví dụ mối quan hệ thành phần khác việc ứng dụng mơ hình đo lường an tồn thông tin số đo bản, hàm đo lường số đo dẫn xuất trình bày Bảng Bảng – Ví dụ số đo dẫn xuất hàm đo lường 5.4.4 Chỉ báo mơ hình phân tích Chỉ báo số đo cung cấp ước đoán ước lượng thuộc tính xác định rút từ mơ hình phân tích nhu cầu thơng tin cụ thể Các báo thu cách áp dụng mơ hình phân tích cho số đo hay số đo dẫn xuất kết hợp chúng với tiêu chí định Thang đo phương pháp đo ảnh hưởng đến lựa chọn kỹ thuật phân tích sử dụng để tạo báo Một ví dụ mối quan hệ số đo dẫn xuất, mơ hình phân tích báo cho ứng dụng mơ hình đo lường an tồn thơng tin trình bày Bảng Bảng - Ví dụ báo mơ hình phân tích CHÚ THÍCH: Nếu báo biểu diễn dạng đồ thị, biểu diễn nên đảm bảo để người khiếm thị sử dụng được, sử dụng tạo đơn sắc Để làm điều này, mô tả báo nên bao gồm màu sắc, bóng mờ, kiểu chữ phương pháp hiển thị khác 5.4.5 Kết đo tiêu chí định Các kết đo phát triển từ việc diễn giải báo khả dụng dựa tiêu chí định nên xem xét bối cảnh mục tiêu đo lường tổng thể việc đánh giá hiệu lực ISMS Tiêu chí định sử dụng để xác định hành động cần thiết hay soát xét kỹ hơn, để diễn tả mức tin tưởng kết đo Tiêu chí định áp dụng cho chuỗi báo, ví dụ để thực phân tích xu hướng dựa báo nhận từ thời điểm khác Các mục tiêu đặc tả chất lượng chi tiết, áp dụng cho tổ chức hay cho bên liên quan, lấy từ đối tượng an tồn thơng tin mục tiêu ISMS, mục tiêu quản lý cần thiết lập đáp ứng để đạt mục tiêu Một ví dụ mối quan hệ thành phần định việc áp dụng mơ hình đo lường an tồn thơng tin (như báo, tiêu chí định kết đo) trình bày Bảng Bảng – Ví dụ kết đo mơ hình phân tích cụ thể (đã triển khai) Những người nắm giữ vai trò trách nhiệm có liên quan thuộc phòng ban chức cần phối hợp tham gia soát xét ban quản lý Đối tượng đo lường thuộc tính Đối tượng Kế hoạch/ lịch biểu soát xét ban quản lý an tồn thơng tin Các biên họp sốt xét ban quản lý Thuộc tính 1.1 Ngày họp soát xét ban quản lý lên kế hoạch 1.2 Sự có mặt ban quản lý tham dự buổi họp soát xét lên kế hoạch 2.1 Những ngày họp soát xét ban quản lý ghi lại 2.2 Sự có mặt ban quản lý ghi lại tham gia họp sốt xét Thơng tin đặc tả số đo Số đo 1.1 Số lượng họp soát xét ban quản lý lên kế hoạch 1.2 Số lượng người quản lý, nắm giữ vai trò trách nhiệm có liên quan đặt lịch để tham gia họp soát xét ban quản lý 2.1.1 Số lượng họp soát xét ban quản lý tổ chức theo kế hoạch 2.1.2 Số lượng họp soát xét ban quản lý tổ chức đột xuất không theo kế hoạch 2.1.3 Số lượng họp soát xét ban quản lý đặt lịch lại tổ chức 2.2 Số lượng người quản lý, nắm giữ vai trò trách nhiệm có liên quan tham dự họp sốt xét ban quản lý Phương pháp đo 1.1 Đếm số lượng họp soát xét ban quản lý đặt lịch 1.2 Với họp soát xét ban quản lý, đếm số lượng người quản lý, nắm giữ vai trò trách nhiệm có liên quan tham dự; thêm ghi với giá trị mặc định số lượng người tham dự dành cho họp đột xuất, khơng có kế hoạch định trước 2.1.1 Đếm số lượng họp soát xét ban quản lý tổ chức theo kế hoạch 2.1.2 Đếm số lượng họp soát xét ban quản lý tổ chức đột xuất không theo kế hoạch 2.1.3 Đếm số lượng họp soát xét ban quản lý đặt lịch lại tổ chức 2.2 Đối với tất họp soát xét ban quản lý tổ chức, đếm số lượng lãnh đạo tổ chức tham dự Loại phương pháp đo 1.1 Khách quan 1.2 Khách quan chủ quan 2.1.1 Khách quan 2.1.2 Khách quan 2.1.3 Khách quan 2.2 Khách quan Thang đo 1.1 Số nguyên từ đến vô 1.2 Số nguyên từ đến vô 2.1.1 Số nguyên từ đến vô cùng, 2.1.2 Số nguyên từ đến vô 2.1.3 Số nguyên từ đến vô 2.2 Số nguyên từ đến vô Loại thang đo 1.1 Theo thứ tự 1.2 Theo thứ tự 2.1.1 Theo thứ tự 2.1.2 Theo thứ tự 2.1.3 Theo thứ tự 2.2 Theo thứ tự Đơn vị đo 1.1 Cuộc họp 1.2 Số lượng người 2.1.1 Cuộc họp 2.1.2 Cuộc họp 2.1.3 Cuọc họp 2.2 Số lượng người Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất a) Số lượng họp soát xét ban quản lý tổ chức b) Tỷ lệ lần lãnh đạo tham gia họp Hàm đo lường a) Là tổng [Số lượng họp soát xét ban quản lý lên kế hoạch nay] [Số lượng họp soát xét ban quản lý đột xuất không theo kế hoạch nay] [Số lượng họp soát xét ban quản lý đặt lịch lại nay] b) Với họp soát xét ban quản lý, phân số [Số lượng lãnh đạo tổ chức tham dự] / [Số lượng lãnh đạo tổ chức dự kiến tham dự danh sách] Thông tin đặc tả báo Chỉ báo a) Các họp soát xét ban quản lý hoàn thành b) Tỷ lệ người tham gia trung bình Mơ hình phân tích a) Là tỷ số [Số lượng họp soát xét ban quản lý triển khai] / [Số lượng họp soát xét ban quản lý lên kế hoạch] b) Số lượng trung bình chênh lệch tiêu chí tỷ lệ người quản lý tham gia họp sốt xét ban quản lý Thơng tin đặc tả tiêu chí định Tiêu chí định Kết tỷ lệ báo a) 0,7 1,1 để kết luận đạt mục tiêu quản lý không cần thiết hành động Nếu không đạt, tỷ lệ cần đạt 0,5 để đáp ứng yêu cầu tối thiểu Liên quan đến báo b), tính tốn tỷ lệ tham gia dựa chênh lệch tiêu chuẩn để đưa tỷ lệ tham gia trung bình thực tế đạt Nếu tỷ lệ tham gia có dao động lớn, độ sai lệch dự đốn lớn, cần thiết phải có kế hoạch dự phòng cho kết xấu xảy Kết phép đo Giải thích báo Giải thích cho báo a) sau: Thỏa mãn: 0,7 ≤ tỷ lệ ≤ 1,1 Chưa thỏa mãn: 0,5 ≤ tỷ lệ < 0,7 tỷ lệ > 1,1 Tỷ lệ không đạt: ≤ tỷ lệ < 0,5 Định dạng báo cáo đo Biểu đồ đường mô tả báo với liệu thu thập đường thể báo cáo đo thường kỳ trước, số lượng liệu cần thu thập số báo cáo đo thường kỳ đưa vào để so sánh phụ thuộc xác định vào tổ chức Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý chất lượng hệ thống Người soát xét phép đo Người có thẩm quyền, quyền truy nhập chương trình đánh giá nội Người sở hữu thơng tin Người quản lý chất lượng hệ thống Kết hợp quản lý hệ thống ISMS hệ thống quản lý chất lượng QMS Bộ phận thu thập thông tin Quản lý chất lượng Người quản lý an tồn thơng tin Bộ phận trao đổi thông tin Quản lý chất lượng Người quản lý an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng tháng Tần suất phân tích liệu Hàng quý Tần suất lập báo cáo kết đo Hàng quý Tần suất sửa đổi phép đo Soát xét chỉnh sửa năm/lần Tần suất thực phép đo năm/lần B.6 Đo lường bảo vệ chống mã độc Thông tin chung phép đo Tên phép đo Đo lường bảo vệ chống mã độc Số hiệu Tùy theo tổ chức Mục đích Đánh giá hiệu lực hệ thống bảo vệ phần mềm cơng độc có chứa mã độc Mục tiêu biện pháp quản lý Biện pháp quản lý A.10.4 [TCVN ISO/IEC 27001:2009] Nhằm bảo vệ tính tồn vẹn phần mềm thơng tin (đã lập kế hoạch) Nhằm bảo vệ tính tồn vẹn phần mềm thông tin phần mềm độc Biên pháp quản lý (1) Biện pháp quản lý A.10.4.1 [TCVN ISO/IEC 27001:2009] Quản lý chống lại mã độc Các biện pháp quản lý việc phát hiện, ngăn chặn phục hồi nhằm chống lại đoạn mã độc thủ tục tuyên truyền nâng cao nhận thức người sử dụng phải triển khai Đối tượng đo lường thuộc tính Đối tượng Các báo cáo cố gặp phải Các file log phần mềm chống mã độc Thuộc tính Sự cố gây phần mềm có chứa mã độc Thơng tin đặc tả số đo Số đo Số lượng cố gây phần mềm có chứa mã độc Tổng số cơng bị chặn gây phần mềm có chứa mã độc Phương pháp đo Đếm số lượng Đếm số lượng Loại phương pháp đo Khách quan Khách quan Thang đo Số nguyên từ đến vô Số nguyên từ đến vô Loại thang đo Theo thứ tự Theo thứ tự Đơn vị đo Sự cố an tồn Bản ghi/records Thơng tin đặc tả số đo dẫn xuất Số đo dẫn xuất Khả bảo vệ phần mềm chống mã độc Hàm đo lường Số lượng cố an tồn thơng tin gây phần mềm có chứa mã độc / Số lần phát ngăn chặn công mã độc Thông tin đặc tả báo Chỉ báo Xu hướng phát công không ngăn chặn theo báo cáo đo thường kỳ trước Mô hình phân tích So sánh tỷ lệ với tỷ lệ báo cáo đo thường kỳ trước Thơng tin đặc tả tiêu chí định Tiêu chí định Đường biểu thị nên nằm số cụ thể (ngưỡng) Kết xu hướng nên theo chiều hướng giảm đường không đổi Kết phép đo Giải thích báo Đường biểu thị có xu hướng tăng cho thấy nguy xấu, xu hướng giảm cho thấy cải tiến Khi có xu hướng tăng lên đáng kể, cần thiết điều tra nguyên nhân có biện pháp đối phó Định dạng báo cáo đo Đường biểu thị xu hướng mô tả tỷ lệ phát phần mềm có chứa mã độc, ngăn chặn tỷ lệ tăng so với đường biểu thị báo cáo đo thường kỳ trước Các bên liên quan Người yêu cầu đo Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thơng tin Người sở hữu thông tin Người quản trị hệ thống Bộ phận thu thập thơng tin Người quản lý an tồn thơng tin Người quản trị hệ thống Người quản trị mạng Bộ phận trao đổi thông tin Ban điều phối dịch vụ Tần suất triển khai Tần suất thu thập liệu Hàng ngày Tần suất phân tích liệu Hàng tháng Tần suất lập báo cáo kết đo Hàng tháng Tần suất sửa đổi phép đo Soát xét hàng năm Tần suất thực phép đo Hàng năm B.7 Đo lường biện pháp quản lý truy nhập vật lý Thông tin chung phép đo Tên phép đo Đo lường biện pháp quản lý truy nhập vào/ra Số hiệu Tùy theo tổ chức Mục đích Cho biết tồn tại, mức độ chất lượng hệ thống quản lý truy nhập Mục tiêu biện pháp quản lý Biện pháp quản lý A.9.1 [TCVN ISO/IEC 27001:2009] Các khu vực an toàn Nhằm ngăn chặn truy cập vật lý trái phép, làm hư hại cản trở thông tin tải sản tổ chức Biện pháp quản lý (1) Biện pháp quản lý A.9.1.2 [TCVN ISO/IEC 27001:2009] Quản lý cổng truy cập vật lý Các khu vực bảo mật cần bảo vệ biện pháp quản lý truy cập thích hợp nhằm đảm bảo người có quyền phép truy cập Đối tượng đo lường thuộc tính Đối tượng Các khu vực an tồn Thuộc tính Báo cáo quản lý danh tính cá nhân Thơng tin đặc tả số đo Số đo Quản lý truy nhập vật lý thẻ truy nhập Phương pháp đo Phương pháp đo tương đối nhóm nhỏ phần nhóm phía Quản lý loại hệ thống truy nhập kiểm tra khía cạnh sau: - Sử dụng hệ thống thẻ - Sử dụng mã PIN (Personal Identify Number - Mã định danh cá nhân) - Chức truy nhập từ lần trước (theo file log) - Xác thực sinh trắc học Loại phương pháp đo Chủ quan Thang đo Có mức từ - 5: Khơng có hệ thống biện pháp quản lý truy nhập Hệ thống biện pháp quản lý truy nhập sử dụng mã PIN Hệ thống biện pháp quản lý truy nhập sử dụng thẻ, Sử dụng mã PIN mã thẻ, + chức ghi nhớ truy cập lần trước + mã PIN, có thêm xác thực sinh trắc học (vân tay, nhận dạng giọng nói, quét võng mạc ) Loại thang đo Theo thứ tự Đơn vị đo Khơng có Thơng tin đặc tả số đo dẫn xuất Số đo dẫn xuất Khơng có Hàm đo lường Khơng có Thơng tin đặc tả báo Chỉ báo Thanh tiến trình Màu đỏ: đến 0,8; Màu xanh: 0,8 Mơ hình phân tích Các phân tích đánh giá Thơng tin đặc tả tiêu chí định Tiêu chí định Giá trị trở lên: thỏa mãn Kết phép đo Giải thích báo Dưới giá trị 3: chưa thỏa mãn, cần có nỗ lực hành động dựa mức độ lỗ hổng an tồn thơng tin Giá trị trở lên: thỏa mãn, lớp cho biết vấn đề liên quan đến đánh giá Định dạng báo cáo đo Đồ thị Các bên liên quan Người yêu cầu đo Ban quản lý Người soát xét phép đo Kiểm toán nội bộ/ kiểm toán bên ngồi Người sở hữu thơng tin Người quản lý hạ tầng thông tin Bộ phận thu thập thông tin Đánh giá viên nội bộ/ đánh giá viên bên Bộ phận trao đổi thông tin Đánh giá viên nội Người quản lý an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng năm Tần suất phân tích liệu Hàng năm Tần suất lập báo cáo kết đo Hàng năm Tần suất sửa đổi phép đo 12 tháng Tần suất thực phép đo Mỗi 12 tháng B.8 Đo lường sốt xét file log Thơng tin chung phép đo Tên phép đo Đo lường soát xét file log Số hiệu Tùy theo tổ chức Mục đích Đánh giá tình trạng tn thủ việc thường xun sốt xét file log hệ thống thiết yếu Mục tiêu biện pháp quản lý Biện pháp quản lý A.10.10 [TCVN ISO/IEC 27001:2009] Giám sát Nhằm phát hoạt động xử lý thông tin trái phép (đã lập kế hoạch) Nhằm phát hoạt động xử lý thông tin trái phép hệ thống thiết yếu từ file log hệ thống Biện pháp quản lý (1) Biện pháp quản lý A.10.10.2 [TCVN ISO/IEC 27001:2009] Giám sát việc sử dụng hệ thống Các thủ tục giám sát việc sử dụng phương tiện xử lý thông tin cần thiết lập kết giám sát cần phải xem xét thường xuyên Đối tượng đo lường thuộc tính Đối tượng Hệ thống Thuộc tính Từng file log Thông tin đặc tả số đo (1) Số đo Số lượng file log Phương pháp đo Tính tổng số file log liệt kê danh sách file log soát xét Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tự Đơn vi đo File log Thông tin đặc tả số đo (2) Số đo Số lượng file log soát xét Phương pháp đo Tính tổng số file log tồn hệ thống thuộc phạm vi hệ thống ISMS Loại phương pháp đo Khách quan Thang đo Số lượng Loại thang đo Theo tỷ lệ Đơn vị đo File log Thông tin đặc tả số đo (3) Số đo Số hệ thống phạm vi hệ thống ISMS Phương pháp đo Số định danh file log soát xét Loại phương pháp đo Khách quan Thang đo Số lượng Loại thang đo Theo tỷ lệ Đơn vị đo File log Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Tỷ lệ phần trăm file log đánh giá soát xét khoảng thời gian Hàm đo lường (Số file log soát xét thời gian cụ thể) / (tổng số file log)* 100 Thông tin đặc tả báo Chỉ báo Đồ thị đường xu hướng qua khoảng thời gian theo tỷ lệ sốt xét file log kiểm tra Mơ hình phân tích Xu hướng mong muốn tăng tới 100% Thơng tin đặc tả tiêu chí định Tiêu chí định Khi kết 20%, cần thiết kiểm tra nguyên nhân gây hiệu suất Kết phép đo Giải thích báo Giá trị thấp giá trị xác định tổ chức: không đạt yêu cầu Cần thiết có hành động quản lý dựa lỗ hổng an tồn thơng tin Giá trị giá trị xác định tổ chức báo việc đầu tư mức ngoại trừ việc chế quản lý truy nhập cần thiết cho đánh giá rủi ro Định dạng báo cáo đo Đồ thị đường mô tả xu hướng, với tóm tắt kết đề xuất hành động quản lý Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thơng tin Người sở hữu thông tin Người quản lý an tồn thơng tin Bộ phận thu thập thơng tin Nhân viên an tồn thơng tin Bộ phận trao đổi thơng tin Nhân viên an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng tháng Tần suất phân tích liệu Hàng tháng Tần suất lập báo cáo kết đo Hàng quý Tần suất sửa đổi phép đo Soát xét sửa đổi năm/lần Tần suất thực phép đo năm/lần B.9 Đo lường quản lý bảo trì ISMS thường xuyên Thông tin chung phép đo Tên phép đo Đo lường quản lý bảo trì ISMS thường xuyên Số hiệu Tùy theo tổ chức Mục đích Đánh giá tính kịp thời hoạt động bảo trì lịch trình Mục tiêu biện pháp quản lý Biện pháp quản lý A.9.2 [TCVN ISO/IEC 27001:2009] Đảm bảo an toàn trang thiết bị Nhằm ngăn ngừa mát, hư hại đánh cắp gây hại tài sản gián đoạn hoạt động tổ chức (đã lập kế hoạch) Nhằm ngăn ngừa mát, hư hại đánh cắp gây hại tài sản gián đoạn hoạt động tổ chức thơng qua bảo trì hệ thống thường xuyên Biện pháp quản lý (1) Biện pháp quản lý A.9.2.4 [TCVN ISO/IEC 27001:2009] Duy trì thiết bị Các thiết bị cần trì cách thích hợp nhằm đảm bảo ln sẵn sàng tồn vẹn Đối tượng đo lường thuộc tính Đối tượng Bản kế hoạch/ lịch biểu dự kiến bảo trì hệ thống Các ghi bảo trì hệ thống Thuộc tính Ngày kế hoạch/ dự kiến bảo trì hệ thống Ngày hồn thành bảo trì hệ thống Thơng tin đặc tả số đo Số đo Ngày dự kiến bảo trì hệ thống Ngày hồn thành bảo trì hệ thống, Số lần bảo trì hệ thống lên kế hoạch Số lần bảo trì hệ thống thực Phương pháp đo Trích ngày dự kiến bảo trì hệ thống kế hoạch Trích ngày hồn thành bảo trì hệ thống từ ghi Đếm số lần bảo trì hệ thống lên kế hoạch kế hoạch bảo trì hệ thống Đếm số lượng ghi bảo trì hệ thống Loại phương pháp đo Khách quan Thang đo Thời gian Thời gian Số nguyên từ đến vô Số nguyên từ đến vô Loại thang đo Danh sách Danh sách Theo thứ tự Theo thứ tự Đơn vị đo Khoảng thời gian Khoảng thời gian Sự kiện bảo trì Sự kiện bảo trì Thơng tin đặc tả số đo dẫn xuất Số đo dẫn xuất Mức độ trễ kiện bảo trì hồn thành Hàm đo lường Với kiện bảo trì hồn thành: hiệu [Ngày bảo trì theo dự kiến] - [Ngày bảo trì thực tế] Thơng tin đặc tả báo Chỉ báo Mức độ trễ bảo trì trung bình Tỷ lệ kiện bảo trì hồn thành Xu hướng mức độ trễ bảo trì trung bình Xu hướng tỷ lệ kiện bảo trì hồn thành Mơ hình phân tích Là tỷ số [tổng (Mức độ trễ kiện bảo trì hồn thành)] / [Số lượng kiện bảo trì hồn thành] Là tỷ số [Số lượng kiện bảo trì hồn thành] / [Số lượng kiện bảo trì lên kế hoạch] So sánh báo với báo cáo đo tần suất trước So sánh báo với báo cáo đo tần suất trước Thông tin đặc tả tiêu chí định Tiêu chí định Tùy theo tổ chức, ví dụ: mức độ trễ trung bình thường ngày, cần thiết kiểm tra nguyên nhân Tỷ lệ kiện bảo trì hồn thành cần lớn 0,9 Xu hướng cần ổn định gần với Xu hướng cần ổn định có chiều hướng lên Kết phép đo Giải thích báo Các số giúp đánh giá chất lượng tiến trình bảo trì hệ thống thiết bị Định dạng báo cáo đo Biểu đồ dạng đường Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thông tin Người sở hữu thông tin Người quản trị hệ thống Bộ phận thu thập thông tin Nhân viên an tồn thơng tin Bộ phận trao đổi thơng tin Nhân viên an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng năm Tần suất phân tích liệu Hàng năm Tần suất lập báo cáo kết đo Hàng năm Tần suất sửa đổi phép đo Hàng năm Tần suất thực phép đo Hàng năm B.10 An toàn thỏa thuận với bên thứ ba Thông tin chung phép đo Tên phép đo An toàn thỏa thuận với bên thứ ba Số hiệu Tùy theo tổ chức Mục đích Mục tiêu biện pháp quản lý Biện pháp quản lý A.6.2 [TCVN ISO/IEC 27001:2009] Các bên tham gia bên ngồi Nhằm trì an tồn thơng tin phương tiện xử lý thông tin tổ chức truy cập, xử lý, truyền thông, quản lý bên tham gia bên tổ chức Biện pháp quản lý (1) Biện pháp quản lý A.6.2.3 [TCVN ISO/IEC 27001:2009] Giải an toàn thỏa thuận với bên thứ ba Các thỏa thuận với bên thứ ba liên quan đến truy cập, xử lý, truyền thông quản lý thông tin hay phương tiện xử lý thông tin tổ chức sản phẩm dịch vụ phụ trợ phương tiện xử lý thông tin phải bao hàm tất yêu cầu an toàn liên quan Đối tượng đo lường thuộc tính Đối tượng Các thỏa thuận an tồn thơng tin với bên thứ ba Thuộc tính Các điều khoản bảo mật yêu cầu thỏa thuận an tồn thơng tin với bên thứ ba Thơng tin đặc tả số đo (1) Số đo Số lượng thỏa thuận với bên thứ ba Phương pháp đo Soát xét, đếm số lượng thỏa thuận với bên thứ ba Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tự Đơn vi đo Thỏa thuận với bên thứ ba Thông tin đặc tả số đo (2) Số đo Một số chuẩn yêu cầu an toàn thông tin với bên thứ ba Phương pháp đo Xác định số lượng u cầu an tồn thơng tin phải thỏa thuận với đối tác (căn vào sách an tồn thơng tin tổ chức) Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tư Đơn vi đo Số yêu cầu Thông tin đặc tả số đo (3) Số đo Số lượng yêu cầu an tồn thơng tin đề cập đến thỏa thuận với bên thứ ba Phương pháp đo Soát xét, đếm số lượng yêu cầu an tồn thơng tin đề cập đến thỏa thuận với bên thứ ba Loại phương pháp đo Khách quan Thang đo Số nguyên từ đến vô Loại thang đo Theo thứ tự Đơn vi đo Số yêu cầu Thông tin đặc tả số đo dẫn xuất Số đo dẫn xuất Tỷ lệ phần trăm trung bình u cầu hợp lý an tồn thơng tin đề cập đến thỏa thuận với bên thứ ba Hàm đo lường Tổng (với thỏa thuận (Số yêu cầu cần thiết - số lượng yêu cầu đề cập đến)) / số lượng thỏa thuận Thông tin đặc tả báo Chỉ báo Tỷ lệ trung bình sai khác số yêu cầu hợp lý số yêu cầu đề cập đến Xu hướng tỷ lệ Mơ hình phân tích Tổng (với thỏa thuận ([Tổng số yêu cầu an toàn đề cập đến] - [Số chuẩn yêu cầu an toàn]) / [Số lượng thỏa thuận bên thứ ba] So sánh báo 1) với báo cáo đo trước Thơng tin đặc tả tiêu chí định Tiêu chí định Chỉ báo 1) nên lớn 0,9 Chỉ báo 2) nên có xu hướng ổn định lên Kết phép đo Giải thích báo Chỉ báo cung cấp nhìn sâu vào khả chuyển giao chức triển khai cho bên thứ ba để giải yêu cầu an toàn Định dạng báo cáo đo Biểu đồ đường mô tả xu hướng so với báo cáo đo thường kỳ trước, đưa tổng kết ngắn gọn hành động quản lý Các bên liên quan Người yêu cầu đo Người quản lý chịu trách nhiệm hệ thống ISMS Người quản lý an tồn thơng tin Người sốt xét phép đo Người quản lý an tồn thơng tin Người sở hữu thơng tin Phòng quản trị hợp đồng Bộ phận thu thập thơng tin Nhân viên tồn thông tin Bộ phận trao đổi thông tin Nhân viên an tồn thơng tin Tần suất triển khai Tần suất thu thập liệu Hàng tháng Tần suất phân tích liệu Hàng quý Tần suất lập báo cáo kết đo Hàng quý Tần suất sửa đổi phép đo năm/lần Tần suất thực phép đo Áp dụng năm Thư mục tài liệu tham khảo [1] ISO 9000:2005, Quality management systems - Fundamentals and vocabulary; [2] ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management; [3] ISO/IEC 15504-3:2004, Information technology - Process assessment - Part 3: Guidance on performing an assessment; [4] ISO/IEC 15939:2007, Systems and software engineering - Measurement process [5] ISO/IEC 27005:2008, Information technology - Security techniques - information security risk management; [6] ISO/TR 10017:2003, Guidance on statistical techniques for ISO 9001:2000; [7] ISO Guide 99:2007, International vocabulary of metrology - Basic and general concepts and associated terms (VIM); [8] NIST Speciai Publication 800-55, Revision 1, Performance Measurement Guide for lnformation Security, July 2008; [9] ISO/IEC TR 18044:2004, lnformation technology - Security techniques - lnformation security incident management; [10] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các yêu cầu MỤC LỤC Lời nói đầu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Cấu trúc tiêu chuẩn Tổng quan đo lường an tồn thơng tin 5.1 Các mục tiêu đo lường an tồn thơng tin 5.2 Chương trình đo lường an tồn thơng tin 5.3 Các yếu tố giúp thành cơng 5.4 Mơ hình đo lường an tồn thơng tin Trách nhiệm ban quản lý 6.1 Giới thiệu chung 6.2 Quản lý nguồn lực 6.3 Tập huấn, nhận thức lực đo lường Phát triển số đo phép đo 7.1 Giới thiệu chung 7.2 Xác định phạm vi đo lường 7.3 Xác định nhu cầu thông tin 7.4 Lựa chọn đối tượng thuộc tính 7.5 Phát triển cấu trúc phép đo 7.5.1 Giới thiệu chung 7.5.2 Lựa chọn số đo 7.5.3 Phương pháp đo 7.5.4 Hàm đo lường 7.5.5 Mơ hình phân tích 7.5.6 Các báo 7.5.7 Tiêu chí định 7.5.8 Các bên liên quan 7.6 Cấu trúc phép đo 7.7 Thu thập, phân tích liệu lập báo cáo kết đo 7.8 Triển khai đo lường xây dựng tài liệu đo Hoạt động đo lường 8.1 Giới thiệu chung 8.2 Tích hợp thủ tục 8.3 Thu thập, lưu trữ xác minh liệu Phân tích liệu lập báo cáo kết đo 9.1 Giới thiệu chung 9.2 Phân tích liệu phát triển kết đo 9.3 Trao đổi kết đo 10 Ước lượng cải tiến Chương trình đo lường an tồn thơng tin 10.1 Giới thiệu chung 10.2 Xác định tiêu chí ước lượng cho Chương trình đo lường an tồn thơng tin 10.3 Giám sát, sốt xét ước lượng chương trình 10.4 Thực cải tiến chương trình Phụ lục A (tham khảo) Mẫu cấu trúc phép đo an tồn thơng tin Phụ lục B (tham khảo) Các ví dụ cấu trúc phép đo Thư mục tài liệu tham khảo ... tả mối quan hệ đầu vào - đầu theo chu kỳ hoạt động đo lường theo mơ hình Lập kế hoạch - Thực - Kiểm tra - Hành động (PDCA: Plan-Do-Check-Act), quy định tiêu chuẩn TCVN ISO/IEC 27001:2009 Các... phép đo sử dụng tiêu chuẩn dựa khái niệm ISO/IEC 15939 Thuật ngữ “sản phẩm thông tin” sử dụng ISO/IEC 15939 đồng nghĩa với “các kết đo” tiêu chuẩn "quy trình đo lường” sử dụng ISO/IEC 15939 đồng... trong: - Các sản phẩm dịch vụ; - Các quy trình; - Các tài sản khả dụng phương tiện, ứng dụng hệ thống thông tin xác định TCVN ISO/IEC 27001:2009 (Kiểm kê tài sản, A.7.1.1); - Các ban nghiệp vụ; -