Đang tải... (xem toàn văn)
Tiêu chuẩn TCVN 9965:2013 cung cấp hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1 cho các tổ chức có ý định hoặc: triển khai TCVN ISO/IEC 27001 khi ISO/IEC 20000-1 đã được triển khai, hoặc ngược lại; triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1 cùng nhau; tích hợp hệ thống quản lý TCVN ISO/IEC 27001 và ISO/IEC 20000-1 hiện có. Tiêu chuẩn này cũng nêu bật các điểm khác biệt của việc tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1. Thực tế, TCVN ISO/IEC 27001 và ISO/IEC 20000-1 cũng có thể tích hợp với các hệ thống quản lý khác như TCVN ISO 9001 và TCVN ISO 14001.
TIÊU CHUẨN QUỐC GIA TCVN 9965 : 2013 ISO/IEC 27013 : 2012 CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - HƯỚNG DẪN TÍCH HỢP TRIỂN KHAI TCVN ISO/IEC 27001 VÀ ISO/IEC 20000-1 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Lời nói đầu TCVN 9965:2013 Ban kỹ thuật tiêu chuẩn quốc gia TCVN/JTC1 "Công nghệ Thông tin" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học Công nghệ công bố TCVN 9965:2013 hoàn toàn tương đương với ISO/IEC 27013:2012 Lời giới thiệu Mối quan hệ an ninh thông tin quản lý dịch vụ chặt chẽ mà nhiều tổ chức nhận diện lợi ích việc đáp ứng hai tiêu chuẩn: TCVN ISO/IEC 27001 an ninh thông tin ISO/IEC 20000-1 quản lý dịch vụ Với tổ chức, điều phổ biến để tăng cường cách thức vận hành để phù hợp với yêu cầu Tiêu chuẩn quốc tế tạo nâng cấp sau để phù hợp với yêu cầu tiêu chuẩn khác Một số lượng ưu điểm việc triển khai hệ thống quản lý tích hợp khơng chia thành dịch vụ cung cấp mà cho việc bảo vệ tài sản thơng tin Các lợi ích trải nghiệm tiêu chuẩn triển khai trước tiêu chuẩn khác, hai tiêu chuẩn triển khai đồng thời Đặc biệt, việc quản lý quy trình tổ chức dẫn đến lợi ích từ điểm giống Tiêu chuẩn quốc tế mục tiêu chung chúng Các lợi ích triển khai tích hợp bao gồm: a) Sự tin tưởng cho khách hàng bên bên tổ chức, dịch vụ an ninh hiệu quả; b) Giá thành thấp chương trình tích hợp hai dự án, việc hướng tới quản lý dịch vụ an ninh thông tin thành phần chiến lược tổ chức; c) Một giảm thiểu thời gian triển khai dựa việc phát triển tích hợp quy trình phổ biến từ hai tiêu chuẩn; d) Việc loại bỏ trùng lặp không cần thiết; e) Sự hiểu biết quản lý dịch vụ cá nhân an ninh quan điểm bên; f) Một tổ chức chứng nhận TCVN ISO/IEC 27001 dễ dàng đáp ứng yêu cầu an ninh thông tin ISO/IEC 20000-1:2011, Điều 6.6 hai Tiêu chuẩn bổ sung theo yêu cầu Hướng dẫn dựa phiên công bố hai tiêu chuẩn quốc tế TCVN ISO/IEC 27001 ISO/IEC 20000-1:2011 Tiêu chuẩn hướng đến việc sử dụng cá nhân có hiểu biết hai tiêu chuẩn quốc tế, hai tiêu chuẩn TCVN ISO/IEC 27001 ISO/IEC 20000-1 không thuộc tiêu chuẩn Tiêu chuẩn mong đợi tất người đọc truy cập để chép hai tiêu chuẩn quốc tế Do đó, tiêu chuẩn không tái sử dụng phần tiêu chuẩn khác Tương tự, tiêu chuẩn không mô tả tất phần tiêu chuẩn quốc tế cách tồn diện Các phần vấn đề trùng lặp mô tả chi tiết Tiêu chuẩn không đưa hướng dẫn tương tự với thay đổi luật pháp quy định bên kiểm sốt tổ chức Điều thay đổi tùy theo quốc gia tác động việc hoạch định hệ thống quản lý tổ chức CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN NINH - HƯỚNG DẪN TÍCH HỢP TRIỂN KHAI TCVN ISO/IEC 27001 VÀ ISO/IEC 20000-1 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Phạm vi áp dụng Tiêu chuẩn cung cấp hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 cho tổ chức có ý định hoặc: a) Triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 triển khai, ngược lại; b) Triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 nhau; c) Tích hợp hệ thống quản lý TCVN ISO/IEC 27001 ISO/IEC 20000-1 có Tiêu chuẩn nêu bật điểm khác biệt việc tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 Thực tế, TCVN ISO/IEC 27001 ISO/IEC 20000-1 tích hợp với hệ thống quản lý khác TCVN ISO 9001 TCVN ISO 14001 Tài liệu viện dẫn Các tài liệu viện dẫn sau cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm cơng bố áp dụng phiên nêu Đối với tài liệu viện dẫn khơng ghi năm cơng bố áp dụng phiên nhất, bao gồm sửa đổi, bổ sung (nếu có) TCVN ISO/IEC 27001:2009 Cơng nghệ thơng tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Các yêu cầu (ISO/IEC 27001 : 2005; Information technology - Security techniques - Information security management systems - Requirements) ISO/IEC 20000-1:20111 Information technology - Service management - Service management system requirements (Công nghệ thông tin - Quản lý dịch vụ - Các yêu cầu hệ thống quản lý dịch vụ) ISO/IEC 27000:2009 Information technology - Sercurity techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Tổng quan từ vựng) Thuật ngữ, thuật ngữ viết tắt định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa nêu ISO/IEC 27000:2009 ISO/IEC 20000-1 thuật ngữ, định nghĩa sau: ISMS - hệ thống quản lý an ninh thông tin (information security management system) (từ TCVN ISO/IEC 27001:2005) SMS - hệ thống quản lý dịch vụ (service management system) (từ ISO/IEC 20000-1) Phụ lục A tiêu chuẩn so sánh nội dung TCVN ISO/IEC 27001 ISO/IEC 20000-1:2011 theo Điều Phụ lục B tiêu chuẩn so sánh thuật ngữ định nghĩa trong: • ISO/IEC 27000:2009, Bảng thuật ngữ dùng cho TCVN ISO/IEC 27001; • Thuật ngữ dùng TCVN ISO/IEC 27001; • Thuật ngữ định nghĩa dùng ISO/IEC 20000-1:2011 Tổng quan TCVN ISO/IEC 27001 ISO/IEC 20000-1 4.1 Hiểu biết tiêu chuẩn quốc tế Một tổ chức nên có am hiểu đặc trưng, giống khác TCVN ISO/IEC 27001 ISO/IEC 20000-1 trước hoạch định hệ thống quản lý tích hợp Điều giúp tối đa hóa thời gian nguồn lực sẵn có cho việc triển khai Các Điều từ 4.2 tới 4.4 tiêu chuẩn giới thiệu khái niệm làm tảng cho hai tiêu chuẩn, không dùng thay cho việc soát xét chi tiết 4.2 Khái niệm TCVN ISO/IEC 27001 TCVN ISO/IEC 27001 đưa mơ hình cho việc thiết lập, thực thi, vận hành, giám sát, xem xét, trì cải tiến ISMS để bảo vệ tài sản thông tin Tài sản thông tin bao gồm thông tin dạng nào, lưu giữ hình thức, dùng cho mục đích bởi, bên tổ chức Để phù hợp với TCVN ISO/IEC 27001, tổ chức phải triển khai ISMS dựa quy trình đánh giá rủi ro để nhận diện rủi ro tài sản thông tin Tổ chức phải chọn lựa, thiết lập, giám sát xem xét loạt biện pháp để quản lý rủi ro phần công việc Các biện pháp biết tới kiểm sốt Tổ chức phải xác định mức chấp nhận rủi ro, tính tới yêu cầu doanh nghiệp yêu cầu ràng buộc từ bên ngồi Ví dụ u cầu ràng buộc từ bên yêu cầu pháp lý quy định nghĩa vụ hợp đồng TCVN ISO/IEC 27001 dùng cho tất tổ chức thuộc loại hình quy mơ 4.3 Khái niệm ISO/IEC 20000-1 ISO/IEC 20000-1 dùng cho tổ chức thành phần tổ chức, có sử dụng cung cấp dịch vụ Tiêu chuẩn mang lại lợi ích cho khách hàng bên cung cấp dịch vụ Tuy nhiên, tất quy trình tiêu chuẩn kiểm soát bên cung cấp dịch vụ, bên cung cấp dịch vụ cần phù hợp với tiêu chuẩn Tiêu chuẩn chủ yếu liên quan tới việc đảm bảo dịch vụ thỏa mãn yêu cầu dịch vụ mang lại lợi ích cho khách hàng bên cung cấp dịch vụ Việc quản lý dịch vụ chi phối kiểm soát tài nguyên hoạt động bên cung cấp dịch vụ việc thiết kế, phát triển, chuyển đổi, chuyển giao cải tiến dịch vụ để thỏa mãn yêu cầu dịch vụ thỏa thuận với (các) khách hàng Để thỏa mãn đầy đủ yêu cầu tiêu chuẩn này, bên cung cấp dịch vụ nên thực thi dải quy trình quản lý dịch vụ cụ thể Các quy trình bao gồm quản lý cố, quản lý thay đổi quản lý vấn đề quản lý khác Quản lý an ninh thông tin quy trình quản lý dịch vụ ISO/IEC 20000-1 ISO/IEC 20000-1 dùng cho tất tổ chức thuộc loại hình quy mô 4.4 Điểm giống khác Quản lý dịch vụ quản lý an ninh thông tin thường xem không liên kết hay độc lập Về khía cạnh khơng liên kết, quản lý dịch vụ thường liên quan đến tính hiệu tính lợi nhuận, đó, quản lý an ninh thơng tin thường không hiểu tảng sở việc chuyển giao dịch vụ hiệu Kết quản lý dịch vụ thường thực thi Tuy nhiên, Hình 1, yêu cầu quản lý dịch vụ theo ISO/IEC 20000-1, bao gồm nhiều mục tiêu biện pháp kiểm soát theo Phụ lục A TCVN ISO/IEC 27001 Quản lý an ninh thông tin quản lý dịch vụ rõ ràng đề cập đến quy trình hoạt động giống nhau, hệ thống quản lý nêu bật số chi tiết so với chi tiết khác Chi tiết xem phụ lục A Khi sử dụng hai tiêu chuẩn này, nên hiểu chúng có đặc trưng khác biệt nhiều khía cạnh Ví dụ, phạm vi chúng khác nhau, xem Điều 5.2 tiêu chuẩn Chúng có mục đích khác ISO/IEC 20000-1 thiết kế để đảm bảo tổ chức cung cấp dịch vụ hiệu quả, TCVN ISO/IEC 27001 thiết kế cho phép tổ chức quản lý rủi ro an ninh thông tin phòng ngừa cố an ninh Hình - So sánh khái niệm TCVN ISO/IEC 27001 ISO/IEC 20000-1 Cách tiến cận cho việc tích hợp triển khai 5.1 Tổng quan Việc hoạch định tổ chức để triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 rơi vào ba tình huống: • Có xếp quản lý chun trách bao gồm quản lý an ninh thông tin quản lý dịch vụ (các hệ thống quản lý thức tồn cho lĩnh vực khác, quản lý chất lượng); • Có hệ thống quản lý dựa tiêu chuẩn; • Có hệ thống quản lý tách biệt dựa hai tiêu chuẩn, khơng tích hợp Tổ chức hoạch định việc triển khai hệ thống quản lý tích hợp phải cân nhắc điểm sau: a) (Các) hệ thống quản lý khác sử dụng (như hệ thống quản lý chất lượng); b) Tất dịch vụ, quy trình phụ thuộc chúng hồn cảnh hệ thống quản lý tích hợp; c) Các thành phần tiêu chuẩn hợp cách thức chúng hợp nhất; d) Các thành phần tách biệt; e) Tác động hệ thống quản lý tích hợp khách hàng, bên cung cấp bên khác; f) Tác động lên công nghệ sử dụng; g) Tác động lên, gây rủi ro cho dịch vụ quản lý dịch vụ; h) Tác động lên, gây rủi ro cho việc an ninh thông tin quản lý an ninh thông tin; i) Giáo dục đào tạo hệ thống quản lý tích hợp; j) Các giai đoạn trình tự việc tiến hành hoạt động 5.2 Xem xét phạm vi áp dụng Phạm vi mà hai tiêu chuẩn khác đáng kể vấn đề phạm vi áp dụng, cụ thể tài sản gì, quy trình phần tổ chức nên bao gồm hệ thống quản lý ISO/IEC 20000-1 đề cập tới yêu cầu: thiết kế, chuyển dịch, chuyển giao cải tiến dịch vụ để thỏa mãn yêu cầu Điều triển khai thơng qua tập quy trình Do phạm vi ISO/IEC 20000-1 bao gồm quy trình quản lý bên tổ chức, dịch vụ cung cấp TCVN ISO/IEC 27001 liên quan đến cách thức quản lý rủi ro an ninh thông tin Phạm vi TCVN ISO/IEC 27001 bao quát thành phần hoạt động mà tổ chức mong muốn an tồn Theo đó, phạm vi triển khai hai tiêu chuẩn mô tả khác Do triển khai TCVN ISO/IEC 27001 với phạm vi với ISO/IEC 20000-1, ISO/IEC 20000-1 khơng thể áp dụng cho tồn tổ chức tổ chức hồn tồn bên cung cấp dịch vụ Do số quy trình, tài sản vai trị tổ chức bị loại bỏ khỏi phạm vi cho ISMS phát triển để đáp ứng với TCVN ISO/IEC 27001 Với ISO/IEC 20000-1, điều khơng bị loại bỏ khỏi phạm vi chúng phần, góp phần vào, dịch vụ phạm vi SMS Phạm vi ISMS xác định cách gianh giới vật lý rõ ràng, vành đai an ninh Trong số trường hợp, hai tiêu chuẩn khơng thiết lập cho tất cả, hay chí thành phần nào, hoạt động tổ chức Ví dụ, tổ chức tuân thủ theo yêu cầu ISO/IEC 20000-1 khơng quản trị quy trình vận hành bên khác Tổ chức triển khai SMS ISMS với số trùng lặp phạm vi áp dụng khác Trong đó, hoạt động nằm phạm vi áp dụng hai tiêu chuẩn này, hệ thống quản lý tích hợp phải tính tới hai tiêu chuẩn này, xem Phụ lục A tiêu chuẩn Khác biệt phạm vi áp dụng làm nảy sinh số dịch vụ bao gồm SMS bị loại trừ ISMS Tương tự, SMS loại trừ quy trình chức ISMS Ví dụ, số tổ chức chọn triển khai ISMS với chức truyền thông vận hành, dịch vụ quản lý ứng dụng bao gồm SMS Ngược lại, ISMS bao gồm tất dịch vụ, SMS bao gồm dịch vụ cho khách hàng số dịch vụ cho tất khách hàng Tổ chức phải cân đối phạm vi tiêu chuẩn nhiều để đảm bảo hệ thống quản lý tích hợp thành cơng CHÚ THÍCH: Hướng dẫn xác định phạm vi cho ISO/IEC 20000-1 sẵn có ISO/IEC 200003:2012, Hướng dẫn xác định phạm vi tính áp dụng ISO/IEC 20000-1 5.3 Các kịch tiền triển khai 5.3.1 Tổng quan Tổ chức hoạch định hệ thống quản lý tích hợp ba tình huống, mơ tả Điều từ 5.3.2 tới 5.3.4 tiêu chuẩn Trong tất trường hợp, tổ chức có số dạng quy trình quản lý, khơng tổ chức không tồn Các điều bên cung cấp gợi ý cho việc triển khai ba trạng thái mô tả Điều 5.1 tiêu chuẩn 5.3.2 Khơng có tiêu chuẩn sử dụng làm sở cho hệ thống quản lý Dễ dàng giả định nơi không tiêu chuẩn thực khơng có sách, quy trình thủ tục, thế, tình đơn giản để giải Khơng may, quan niệm sai Các tổ chức hệ thống quản lý dựa TCVN ISO/IEC 27001 ISO/IEC 20000-1 có dạng hệ thống quản lý Dạng sau thích nghi để đạt tới việc phù hợp với hai tiêu chuẩn Quyết định liên quan đến thứ tự theo hai hệ thống quản lý thực phải dựa nhu cầu doanh nghiệp Các định bị ảnh hưởng liệu khuyến khích việc vị trí cạnh tranh dùng tiêu chuẩn hay tiêu chuẩn khác, hay nhu cầu để chứng tỏ yêu cầu tiêu chuẩn hay tiêu chuẩn khác cho khách hàng có khách hàng Quyết định quan trọng khác liệu việc triển khai hệ thống quản lý dựa hai tiêu chuẩn từ lúc bắt đầu, hay thiết lập hệ thống quản lý dựa tiêu chuẩn sau mở rộng để bao quát yêu cầu tiêu chuẩn kia, xem Điều 5.3.3 tiêu chuẩn Cả hai tiêu chuẩn triển khai đồng thời, hoạt động nỗ lực triển khai phối hợp trùng lặp giảm thiểu Tuy nhiên, tùy theo chất tổ chức, cần thận trọng để bắt đầu với tiêu chuẩn sau triển khai tiêu chuẩn Các cân nhắc minh họa kịch sau a) tổ chức cung cấp dịch vụ bắt đầu với việc triển khai ISO/IEC 20000-1 sau đó, khai thác từ học rút việc triển khai đó, mở rộng hệ thống quản lý bao gồm TCVN ISO/IEC 27001 b) Tổ chức sử dụng bên cung cấp, bao gồm bên khác, để chuyển giao vài thành phần dịch vụ tập trung trước tiên vào ISO/IEC 20000-1 Điều cung cấp nhiều yêu cầu cho bên khác, kể việc quản lý bên cung cấp Điều cho phép giải vấn đề quản lý bên cung cấp kiểm sốt quy trình Tổ chức sau phải chuyển sang TCVN ISO/IEC 27001 c) Tổ chức nhỏ tập trung vào tiêu chuẩn TCVN ISO/IEC 27001, ISO/IEC 20000-1, tùy theo độ tin cậy vào hệ thống dịch vụ an ninh thông tin d) Tổ chức lớn với việc chuyển giao dịch vụ nội triển khai dự án Nếu việc được, phải phân chia việc thực thành hai dự án song song bên chương trình bao qt tồn cơng việc Mỗi dự án phải quản lý tiêu chuẩn, tích hợp triển khai dự án Nếu cách tiếp cận chọn Điều quan trọng cần đảm bảo việc thực tương thích chúng phát triển Điều đưa vào tổng phí phụ rủi ro thêm cho kết nên dùng khơng có phương án khác e) Bất kỳ tổ chức coi tầm quan trọng an ninh thông tin mức cao phải thực ISMS trước hết mà tuân thủ yêu cầu TCVN ISO/IEC 27001 Giai đoạn nên việc mở rộng hệ thống quản lý để đáp ứng yêu cầu ISO/IEC 20000-1, hỗ trợ an ninh thông tin Cuộc họp nhóm cơng tác tích hợp q trình triển khai hai tiêu chuẩn giúp đảm bảo việc liên kết hai tiêu chuẩn 5.3.3 Tồn hệ thống quản lý thỏa mãn đầy đủ yêu cầu hai tiêu chuẩn Khi hệ thống quản lý phù hợp với hai tiêu chuẩn rồi, mục đích phải tích hợp với yêu cầu tiêu chuẩn Điều phải thực mà không gây tổn thất dịch vụ gây nguy hiểm cho an ninh thông tin dịch vụ Tuy nhiên, hệ thống quản lý tồn phải chia nhỏ thành phần riêng lẻ Điều phải lên kế hoạch kỹ lưỡng từ trước, với tài liệu có chuyên gia tiêu chuẩn có xem xét để xem cần đưa vào, xem xét chuyên gia tiêu chuẩn triển khai Tổ chức phải nhận diện thuộc tính hệ thống quản lý thực hiện, bao gồm phần sau: a) Phạm vi áp dụng; b) Cấu trúc tổ chức; c) Các sách; d) Các hoạt động hoạch định; e) Thẩm quyền trách nhiệm; f) Thực hành; g) Phương thức quản lý rủi ro; h) Các quy trình; i) Các thủ tục; j) Thuật ngữ định nghĩa; k) Tài nguyên Các thuộc tính phải xem xét để thiết lập cách chúng áp dụng cho hệ thống quản lý tích hợp Nếu cách tiếp cận hai - bước sử dụng, với hệ thống quản lý xem bước một, bước hai hệ thống quản lý triển khai Phạm vi áp dụng cho bước phải định rõ chấp thuận trước bắt đầu triển khai công việc 5.3.4 Tồn hệ thống quản lý riêng rẽ thỏa mãn đầy đủ yêu cầu tiêu chuẩn Trường hợp cuối có lẽ phức tạp Điều giải thích cho vấn đề phạm vi, xem Điều 5.2 tiêu chuẩn Điều tổ chức triển khai TCVN ISO/IEC 27001 lĩnh vực tổ chức, triển khai ISO/IEC 20000-1 cho lĩnh vực khác Tổ chức định áp dụng tiêu chuẩn tiêu chuẩn toàn phạm vi hoạt động rộng Tại số thời điểm, hệ thống quản lý triển khai hoạt động Theo phương án khác, hai tổ chức hoạch định để hợp Một tổ chức chứng tỏ phù hợp với TCVN ISO/IEC 270001, tổ chức chứng tỏ phù hợp với ISO/IEC 20000-1 Việc xem xét thiết lập từ điểm bắt đầu, nhằm đạt tới điểm sau: a) Nhận diện dẫn chứng phạm vi có đề nghị, theo tiêu chuẩn áp dụng đặc biệt ý tới điểm khác biệt b) So sánh hệ thống quản lý có thiết lập có khía cạnh khơng tương thích lẫn nào; c) Bắt đầu đưa bên liên quan hai hệ thống quản lý tham gia vào với bên kia; 1) Bắt đầu với kế hoạch đề cương rộng; 2) Xem xét Điều mức khác tổ chức để bổ sung chi tiết; 3) Cung cấp thông tin phản hồi giải pháp gợi ý cho mức thẩm quyền tương ứng phép định đưa Mặc dù có nhiều cách để tích hợp hệ thống quản lý trì phù hợp, pha lập kế hoạch mở rộng phải hồn thành Xem xét triển khai tích hợp 6.1 Tổng quan Trong tất trường hợp, mục đích tổ chức phải tạo hệ thống quản lý tích hợp có khả phù hợp với hai tiêu chuẩn Mục đích khơng phải so sánh tiêu chuẩn hay xác định tốt Khi quan điểm xung đột Điều phải giải theo cách thỏa mãn yêu cầu hai tiêu chuẩn, đảm bảo tổ chức đạt cải tiến liên tục ISMS SMS Hệ thống quản lý tích hợp lý tưởng phải dựa cách tiếp cận hiệu hai tiêu chuẩn, áp dụng cách thích hợp Điều hỗ trợ việc sử dụng chi tiết bổ sung tiêu chuẩn để hỗ trợ cho tiêu chuẩn Nên ý trì điều cần thiết cho phù hợp với hai tiêu chuẩn Phải trì tính truy xuất nguồn gốc liệu hệ thống quản lý tích hợp yêu cầu tiêu chuẩn tách biệt Để giảm công sức, tập tài liệu tạo cho hệ thống quản lý tích hợp Để hỗ trợ cho điều này, tổ chức tạo tài liệu truy xuất ma trận truy xuất Điều cách rõ ràng hệ thống quản lý tích hợp tuân thủ yêu cầu tiêu chuẩn Lợi ích cách tiếp cận bao gồm việc cho phép theo dõi hoạt động cần để chứng minh phù hợp với tiêu chuẩn 6.2 Các thách thức tiềm ẩn 6.2.1 Việc sử dụng ý nghĩa tài sản Trong ISO/IEC 20000-1, tài sản khác với tài sản thông tin TCVN ISO/IEC 27001 Tài sản thuật ngữ định nghĩa ISO/IEC 20000-1, dùng theo nghĩa tiếng Anh thơng thường giá trị Trong vài điều ISO/IEC 20000-1:2011 việc sử dụng tài sản liên kết với tài sản tài chính, cấp phép phần mềm Trong điều khác, tài sản tham chiếu tới tài sản thông tin Ngược lại, TCVN ISO/IEC 27001 dựa khái niệm việc bảo vệ thơng tin có định nghĩa thức cho tài sản thơng tin Trong phần lại Điều 6.2 tiêu chuẩn này, điểm khác biệt tương đồng việc sử dụng ý nghĩa hai tiêu chuẩn thảo luận Bao gồm gợi ý cách tích hợp hai tiêu chuẩn ISO/IEC 20000-1 sử dụng thuật ngữ định nghĩa, khoản mục cấu hình (CI), phần tử cần kiểm soát để chuyển giao nhiều dịch vụ Do tổ chức phải định nghĩa CI theo mục đích riêng nó, có tính tới nhu cầu tính hiệu "Tài sản thơng tin" bao hàm định nghĩa Trong ISO/IEC 20000-1, sở liệu quản lí cấu hình (CMDB) kho liệu tất CI liên hệ lẫn chúng Một số tài sản tổ chức khơng có CMDB (như máy tính để bàn không dùng để chuyển giao dịch vụ) Tương tự, số CI khơng coi tài sản theo ISO/IEC 20000-1 ví dụ: người Tài sản ISO/IEC 20000-1 thường có giá trị tiền bạc Với TCVN ISO/IEC 27001, tài sản thông tin định nghĩa tri thức liệu có giá trị cho tổ chức, dạng thức, như: giấy, điện tử,.v.v Như kết quả, tài sản thông tin CI CI khơng thiết phải tài sản thơng tin Ví dụ: dây cáp liệu CI, thường tài sản thông tin Hình cung cấp minh họa cho mối quan hệ CI tài sản thông tin Với hệ thống quản lý thơng tin tích hợp, tài sản thơng tin TCVN ISO/IEC 27001 dùng bởi, phần của, dịch vụ ISO/IEC 200001 Hình - Mối quan hệ tài sản thông tin TCVN ISO/IEC 27001 CI ISO/IEC 20000-1 Cả hai tiêu chuẩn không yêu cầu CI tài sản thông tin phải liệt kê riêng rẽ Chúng gộp nhóm thành kiểu, phần cứng, tài liệu Như phần quy trình này, mô tả chúng phải làm quán được, đơn giản phù hợp với hai tiêu chuẩn Ví dụ: lúc đầu cơng việc tích hợp nào, định phải đưa theo cách tài sản phân loại nhận diện Điều đảm bảo tham chiếu rõ ràng thực tài sản Nếu thuật ngữ "tài sản thông tin" sử dụng theo nghĩa TCVN ISO/IEC 27001, tài sản đặc biệt phải cho nhãn bổ sung để đảm bảo trạng thái chúng nhận CI tài sản tài ISO/IEC 20000-1, xem Phụ lục B tiêu chuẩn 6.2.2 Thiết kế chuyển giao dịch vụ ISO/IEC 20000-1:2011, Điều bao quát yêu cầu cho việc thiết kế chuyển giao dịch vụ thay đổi Khơng có Điều tương đương trực tiếp TCVN ISO/IEC 27001, số khía cạnh việc thiết kế, chuyển dịch chuyển giao dịch vụ bao quát TCVN ISO/IEC 27001, Phụ lục A Tuy nhiên, hệ thống quản lý tích hợp phải đảm bảo an ninh thông tin xem xét chi tiết giai đoạn lập kế hoạch việc thiết kế chuyển giao dịch vụ thay đổi Các chủ đề nên xem xét bao gồm đánh giá tác động dịch vụ thay đổi dịch vụ kiểm soát an ninh thơng tin có, xem ISO/IEC 20000-1:2011, Điều 6.6.2 Điều nên thực cho chấm dứt dịch vụ Việc hoạch định cho tất dịch vụ thay đổi nên bao quát việc cân nhắc hệ lụy an ninh thông tin Điều phải thực dù dịch vụ giảm sút phạm vi ISMS 6.2.3 Đánh giá quản lý rủi ro ISO/IEC 20000-1:2011, Điều 4.5.2 4.5.3 bao quát yêu cầu đánh giá rủi ro, cách xử lý rủi ro liên kết với SMS TCVN ISO/IEC 27001:2009, Điều 4.2.1, đưa yêu cầu việc quản lý tất khía cạnh rủi ro liên quan đến an ninh thơng tin Các yêu cầu không bị giới hạn rủi ro liên quan đến ISMS bao quát việc đánh giá xử lý rủi ro khía cạnh khác việc quản lý rủi ro an ninh thông tin Mặc dù rủi ro xem xét TCVN ISO/IEC 27001 ISO/IEC 20000-1, chất rủi ro khác ISO/IEC 20000-1 xem xét rủi ro cho SMS dịch vụ, TCVN ISO/IEC 27001 xem xét rủi ro an ninh thông tin cách thức ảnh hưởng tới tổ chức Tiêu chí đánh giá xử lý rủi ro khác nhau, tùy thuộc vào liệu rủi ro liên quan tới việc chuyển giao dịch vụ, đặc biệt với an ninh thông tin Tuy nhiên, cách thức sử dụng để nhận diện rủi ro hai trường hợp Một vài rủi ro xem xét ISO/IEC 20000-1 ví dụ: rủi ro bên cung cấp không tôn trọng chi phí liên quan đến SLA, khơng coi rủi ro theo quan điểm TCVN ISO/IEC 27001 Vậy rủi ro nhận diện dùng ISO/IEC 20000-1 khơng thể giả định có liên quan đến an ninh thông tin, ngược lại Việc làm chủ sở hữu rủi ro khác biệt hai cách tiếp cận Ví dụ, ISO/IEC 20000-1 tổ chức bên cung cấp dịch vụ sở hữu rủi ro Khách hàng mong đợi để chấp nhận rủi ro lại phần SLA họ kế hoạch trì tính liên tục dịch vụ Trong TCVN ISO/IEC 27001, vấn đề chủ sở hữu rủi ro không thảo luận rõ ràng, thực tế tổ chức coi người chủ sở hữu rủi ro an ninh thông tin Hiểu lầm tùy chọn quản lý rủi ro nảy sinh khác biệt yêu cầu quản lý rủi ro hai tiêu chuẩn Khi hoạch định tích hợp triển khai cho hai tiêu chuẩn, tổ chức phải lưu tâm khác biệt tiêu chí rủi ro tác động mà khác biệt có nên xử lý rủi ro Tổ chức phải chấp nhận hai cách tiếp cận mô tả bên a) Dùng cách tiếp cận chung cho quản lý rủi ro, kể đánh giá rủi ro, cho hai tiêu chuẩn, tránh trùng lặp Ví dụ: rủi ro việc tính sẵn có tài sản thơng tin chia sẻ phần khác hệ thống quản lý tích hợp Đây cách tiếp cận hiệu để tránh trùng lặp nỗ lực b) Dùng phương thức đánh giá rủi ro tách biệt cho hai tiêu chuẩn Nếu tùy chọn chọn, tổ chức phải sử dụng thuật ngữ làm khác biệt đánh giá rủi ro SMS dịch vụ từ ISMS đánh giá rủi ro an ninh thông tin Khi việc đánh giá rủi ro quản lý rủi ro then chốt tổ chức, việc triển khai TCVN ISO/IEC 27001 nên ưu tiên để tận dụng hướng dẫn quản lý rủi ro đánh giá rủi ro Dù tùy chọn chọn tổ chức phải sử dụng thuật ngữ rõ ràng quán Điều yêu cầu việc diễn đạt yêu cầu từ hai tiêu chuẩn cách khác từ phiên công bố Tuy nhiên tổ chức phải đảm bảo việc truy xuất rõ ràng yêu cầu hai tiêu chuẩn 6.2.4 Các khác biệt mức chấp nhận rủi ro Khi khách hàng giao phó liệu hệ thống họ bên thứ ba trì, có khác biệt mức chấp nhận rủi ro khách hàng bên thứ ba Điều không rõ ràng tiêu chuẩn nào, tổ chức phải nhận biết vấn đề đưa định rõ ràng liên quan đến mức rủi ro kiểm soát bên khác Các vấn đề thức mơ tả a) Khách hàng có cách nhìn liên quan đến mức an ninh Điều chấp nhận cho thơng tin nằm kiểm sốt bên thứ ba Điều không tương xứng với mức an ninh mà bên thứ ba coi đủ b) Bên thứ ba có thơng tin riêng họ, như: ghi tài Bên thứ ba có cách nhìn liên quan đến mức an ninh chấp nhận cho thông tin c) Khách hàng bên thứ ba tham gia vào môi trường pháp luật hiệu lực quy định khác nhau, thay đổi theo quốc gia lĩnh vực thị trường Điều dẫn đến quan điểm rủi ro an ninh thông tin khác Các mong đợi trách nhiệm an ninh thông tin khách hàng tổ chức bên thứ ba nên thảo luận hội sớm Các thảo luận quan trọng cho hai bên việc thỏa thuận phạm vi dự án thực hiện, quan trọng tương đương thể chế kiểm soát vận hành dịch vụ có Bất kỳ xung đột tiềm ẩn phải nhận diện định đưa thỏa thuận, cách lý tưởng trước thực 6.2.5 Quản lý cố vấn đề Điểm để thảo luận vấn đề thuật ngữ Trong TCVN ISO/IEC 27001, có thuật ngữ cho biến cố không mong đợi đáng quan tâm: cố an ninh thông tin Ngược lại, ISO/IEC 200001 có số thuật ngữ đặc biệt liên kết với quản lý cố Ví dụ, cố, cố an ninh thông tin, vấn đề, lỗi biết cố chính, xem phụ lục B tiêu chuẩn Những Điều tất cố an ninh thông tin theo TCVN ISO/IEC 27001, tùy theo đặc trưng TCVN ISO/IEC 27001 mơ tả quy trình riêng giải tất cố an ninh thông tin ISO/IEC 20000-1 khơng có đa dạng thuật ngữ, có đa dạng chế quản lý biến cố quản lý yêu cầu dịch vụ cố, thủ tục cố quản lý vấn đề Trong ISO/IEC 200001 biến cố riêng lẻ quản lý nhiều quy trình thủ tục vịng đời ISO/IEC 20000-1 sử dụng định nghĩa TCVN ISO 9000:2007 (ISO/IEC 9000:2005)) cho thủ tục "một cách thức đặc biệt để tiến hành hoạt động quy trình" Với ISO/IEC 20000-1, quy trình mức cao thủ tục, với thủ tục hỗ trợ cho quy trình Hình minh họa mối quan hệ việc quản lý cố an ninh thông tin TCVN ISO/IEC 27001 quản lý cố ISO/IEC 20000-1 Hình - Mơ tả mối quan hệ tiêu chuẩn quản lý cố Các biến cố mà TCVN ISO/IEC 27001 phân loại cố an ninh thơng tin, biến cố ISO/IEC 20000-1 khơng phân loại cố Hai ví dụ cho a) Một tài liệu mật việc tiếp thị sản phẩm tìm thấy bàn sau làm việc, vi phạm sách an ninh thông tin Tài liệu không liên quan tới việc chuyển giao dịch vụ theo cách b) Khóa văn phịng khách hàng tìm thấy bị phá Biến cố coi cố theo TCVN ISO/IEC 27001 Tuy nhiên điều không rơi vào phạm vi ISO/IEC 20000-1 giả định truy cập vào thơng tin liên quan đến yêu cầu ISO/IEC 20000-1:2001, Điều 6.6 Một cách tương tự, có biến cố ISO/IEC 20000-1 phân loại cố, ngồi phạm vi TCVN ISO/IEC 27001 Ví dụ: a) Việc bảo trì theo lịch vượt giới hạn SLA; b) Người dùng báo cáo cố hiệu dịch vụ chậm Điểm trùng lặp định nghĩa "sự cố" liên quan tới điều ISO/IEC 20000-1 nói tới "các cố an ninh thơng tin", điều làm nảy sinh tính bảo mật, tính tồn vẹn tính truy cập liên quan tới dịch vụ Để hịa hợp cách nhìn trên, tổ chức phải định cách xử lý cách quản lý cố, nằm phạm vi hai hệ thống quản lý Quản lý vấn đề định nghĩa ISO/IEC 20000-1 tiến trình nhận diện nguyên nhiều cố để giảm thiểu né tránh tác động cố Trong ISO/IEC 20000-1, tiến trình đặc biệt tách rời Trong TCVN ISO/IEC 27001 quản lý vấn đề không bao quát cách rõ ràng, nói đến yêu cầu quản lý cố an ninh thông tin, xử lý rủi ro hoạt động khắc phục tổ chức Điều 6.6.2: "Bên cung cấp dịch vụ phải thực vận hành kiểm sốt an ninh vật lý, hành kỹ thuật để: a) Duy trì bảo mật, tính tồn vẹn khả truy cập tài sản thông tin." Xem "tài sản" An ninh 2.19 thông tin Sự trì tính bảo mật (2.13), tính tồn vẹn (2.36) tính sẵn sàng (2.10) thơng tin 3.11 Sự trì tính bảo mật, tính tồn vẹn khả truy cập thông tin Trong ISO/IEC 20000-1, từ "tính sẵn có" khơng thể dùng định nghĩa an ninh thông tin Điều 3.11, tính sẵn có thuật ngữ định nghĩa với CHÚ THÍCH 1: Bổ sung, ý nghĩa khác (xem "tính sẵn có") đặc tính khác tính Định nghĩa cho an ninh thơng tin CHÚ THÍCH: Bổ xác thực, trách nhiệm, đáp ứng cho việc sử sung, đặc tính chống chối bỏ độ tin dụng thuật ngữ "khả truy khác tính xác cậy tham gia cập" thay Khả truy cập thực (2.9), trách CHÚ THÍCH 2: Thuật ngữ thực từ định nghĩa nhiệm (2.2), chống "tính sẵn có" khơng ISO/IEC 27000 tính sẵn có chối bỏ (2.49) độ dùng định nghĩa "đặc tính truy cập sử tin cậy (2.56) thuật ngữ dụng dựa địi hỏi tham gia định nghĩa phần thực thể hợp pháp" tiêu chuẩn ISO/IEC 20000 mà không phù hợp với định nghĩa CHÚ THÍCH 3: Đáp ứng từ ISO/IEC 27000:2009 Sự kiện 2.20 Không định nghĩa an ninh Sự xuất định thông tin danh hệ thống, dịch vụ trạng thái mạng nhánh tiềm an ninh thơng tin (2.19) sách (2.28) lỗi kiểm soát (2.10), trạng thái khơng biết trước mà liên quan đến an ninh Các kiện an ninh thông tin dùng ISO/IEC 200001 phần định nghĩa 3.12: cố an ninh thông tin Thêm vào đó, kiện 2.15 (khơng phải kiện an ninh thông tin) dùng trong: a) Định nghĩa rủi ro - xem 3.25 mà bao gồm GHI CHÚ liên quan kiện, b) Định nghĩa "sự liên tục dịch vụ" (3.28) c) ISO/IEC 20000-1 Điều 6.2: báo cáo dịch vụ, d) ISO/IEC 20000-1, Điều 6.3.2: liên tục dịch vụ" kế hoạch sẵn có" Xem "sự kiện": nhiều kiện tạo phần cố an ninh Sự cố an 2.21 ninh thôngMột chuỗi tin kiện an ninh thông tin không 3.12 Một chuỗi kiện an ninh thông tin không mong đợi ISO/IEC 20000-1 định nghĩa 3.12 bao gồm thuật ngữ cố an ninh thông tin ISO/IEC 27000 mong đợi không mong muốn (2.20) mà có khả đáng kể ảnh hưởng đến lựa chọn kinh doanh đe dọa (2.19) không mong muốn mà có ISO/IEC 20000-1, Điều 6.6.3 bao khả đáng kể ảnh gồm yêu cầu: cố an hưởng đến lựa chọn kinh ninh thông tin phải quản lý doanh đe dọa [ISO/IEC sử dụng thủ tục quản lý 27000:2009] cố, với mức ưu tiên thích hợp cho rủi ro an ninh thơng tin Nó khơng phục vụ cho "thứ sai với dịch vụ" mà nguyên nhân vấn đề, nguyên nhân gốc rễ nhiều cố, nguyên nhân gốc rễ không thường biết đến thời điểm ghi vấn đề tạo quy trình quản lý vấn đề chịu trách nhiệm cho điều tra sau Nó quản lý quy trình quản lý vấn đề, việc quản lý cố quy trình yêu cầu dịch vụ Các cố [an ninh thơng tin] quản lý quy trình yêu cầu dịch vụ cố liên quan Sự khác biệt cách thuật ngữ sử dụng hai tiêu chuẩn phức tạp kiện an ninh cố tập phụ loại đặc biệt cố [quản lý dịch vụ] Xem Điều 6.2.5 tiêu chuẩn Quản lý 2.22 Không định nghĩa cố an Các quy trình (2.31) ninh thơngđể phát hiện, báo tin cáo, truy cập, chịu trách nhiệm, định học hỏi từ cố an ninh thông tin (2.21) Xem: Hệ thống 2.23 Không định nghĩa quản lý an Phần hệ thống ninh thôngquản lý tổng quan tin (ISMS) (2.26), dựa hướng tiếp cận rủi ro kinh doanh để thiết lập, thực hiện, vận hành, giám sát, đánh giá, bảo trì nâng cấp an ninh thông tin (2.19) Xem "hệ thống quản lý dịch vụ" "hệ thống quản lý" Rủi ro an 2.24 Không định nghĩa ninh thôngTiềm mà tin đe dọa (2.45) phát tán lỗ hổng (2.46) tài sản (2.3) nhóm tài sản gây Xem "rủi ro" "Sự cố" "Sự cố an ninh thông tin" "Lỗi biết" "Vấn đề" Rủi ro an ninh thông tin không định nghĩa sử dụng phần quản lý an ninh thông tin ISO/IEC 20000-1, Điều 6.6.1 nguy hại cho tổ chức Tính tồn 2.25 Khơng định nghĩa vẹn Đặc tính bảo vệ độ xác đầy đủ tài sản (2.3) Từ "tính tồn vẹn" sử dụng ISO/IEC 20000-1 theo nghĩa tiếng Anh thơng thường; chất lượng trạng thái tồn khơng bị hư hỏng (ví dụ: xem ISO/IEC 20000-1, Điều 6.6.2: "bên cung cấp dịch vụ phải thực vận hành kiểm sốt an ninh thơng tin kỹ thuật, hành vật lý để: a) trì tính bảo mật, tính tồn vẹn khả truy cập tài sản thông tin." ISO/IEC 20000-1, Điều 9.1 bao gồm yêu cầu: "Chúng phải thủ tục tài liệu cho việc ghi, kiểm soát theo dõi biên CI Mức độ kiểm sốt phải trì tính tồn vẹn dịch vụ thành phần dịch vụ yêu cầu dịch có tính đến u cầu dịch vụ rủi ro liên quan tới CI." "Các thay đổi với CI phải truy xuất kiểm tra để đảm bảo tính tồn vẹn CI liệu CMDB." ISO/IEC 20000-1, Điều 9.3 bao gồm yêu cầu: "Bản phát hành phải thực thi mơi trường sống để tính tồn vẹn phần cứng, phần mềm thành phần dịch vụ khác trì suốt thực thi phát hành." Bên liên Không định quan nghĩa 3.13 Cá nhân nhóm có quan tâm đặc biệt hiệu thành công (các) hành động bên cung cấp dịch vụ VÍ DỤ: Các khách hàng, chủ, quản lý, người tổ chức bên cung cấp dịch vụ, bên cung cấp, nhân viên ngân hàng, ủy ban đối tác CHÚ THÍCH 1: Một nhóm bao gồm tổ chức, phần nó, nhiều tổ chức Xem "bên cung cấp dịch vụ" CHÚ THÍCH 2: Đáp ứng theo TCVN ISO 9000:2007 (ISO/IEC 9000:2005)) Nhóm nội Khơng định nghĩa 3.14 Xem "bên cung cấp dịch vụ" Phần bên cung cấp dịch vụ tổ chức mà tham gia vào thỏa thuận văn với bên cung cấp để đóng góp cho việc thiết kế, chuyển đổi, phân phát nâng cấp nhiều dịch vụ CHÚ THÍCH: Nhóm nội bên ngồi phạm vi bên cung cấp dịch vụ SMS Lỗi biếtKhông định nghĩa 3.15 Xem "sự cố" "vấn đề" Vấn đề mà có nguyên nhân gốc rễ định danh phương pháp giảm thiểu loại bỏ tác động dịch vụ cách làm việc với Hệ thống 2.26 Hệ thống quản lý Được sử dụng ISO/IEC quản lý định nghĩa CHÚ 20000-1 để đề cập tới "các hệ Nền tảng THÍCH định nghĩa thống quản lý khác", ISO/IEC sách (2.28), hệ thống quản lý dịch vụ 20000-1 đề cập tới thủ tục (2.30), "hệ thống quản lý dịch vụ" hướng dẫn (2.16) CHÚ THÍCH 1: Một hệ tài nguyên liên thống quản lý tập quan để đạt phần tử tương tác mục tiêu tổ có liên kết để thiết chức lập sách mục tiêu để đạt mục tiêu Chống 2.27 Không định nghĩa chối bỏ sử dụng Khả chứng minh xuất biến cố công bố (2.15) hành động thực thể gốc để giải tranh cãi xuất hay không xuất biến cố (2.15) hay hành động tham gia thực thể biến cố (2.15) Tổ chức Không định nghĩa 3.17 Không tương ứng trực tiếp ISO/IEC 20000-1 sử dụng thuật ngữ "bên cung cấp dịch vụ" "tổ Nhóm người sở chức" cho thực thể khác với xếp trách nhau, nên khác biệt chủ yếu nhiệm, thẩm quyền mối cho giải thích đối quan hệ với hệ thống quản lý kết hợp VÍ DỤ: Đoàn thể, tập Xem "bên cung cấp dịch vụ" đồn, thương hội, cơng ty, tổ chức từ thiện, hiệp hội, doanh nghiệp tư nhân thành phần kết hợp với CHÚ THÍCH 1: Nói chung, việc xếp có trật tự CHÚ THÍCH 2: Một tổ chức cơng cộng tư nhân Chính sách 2.28 Khơng định nghĩa Mục đích định hướng tổng thể thực thức việc quản lý Từ "chính sách" dùng ISO/IEC 20000-1 theo nghĩa tiếng Anh thơng thường : (chính sách - số nhiều) kế hoạch hành động, thường dựa quy tắc thực tế, định phận cá nhân quy tắc tập quy tắc cho định bản, chuỗi hành động phải tuân theo Các sách sử dụng ISO/IEC 20000-1 cho hướng tổ chức Một vài yêu cầu ISO/IEC 20000-1, bao gồm sách quản lý dịch vụ Việc sử dụng phần lớn giống hai tiêu chuẩn Hành 2.29 3.18 động Hành động để loại Hành động để tránh phòng bỏ nguyên nhân loại bỏ nguyên nhân ngừa không phù giảm khả xuất hợp tiềm ẩn khơng phù hợp tình tiềm ẩn tiềm ẩn tình khơng mong đợi khơng mong đợi khác khác [TCVN ISO CHÚ THÍCH: Đáp ứng 9000:2007 (ISO/IEC TCVN ISO 9000:2005)] 9000:2007 (ISO/IEC 9000:2005) Các định nghĩa khác, định nghĩa ISO/IEC 20000-1 mở rộng bao gồm hành động phịng ngừa mà khơng loại bỏ nguyên nhân, việc xung quanh cách để tránh bị tác động; hành động phịng ngừa khơng loại bỏ ngun nhân, việc xung quanh cách để tránh bị tác động Thuật ngữ tương tự sử dụng hai tiêu chuẩn, chúng khác biệt ý nghĩa Nó khơng phải ln ln mong muốn để có hành động phịng ngừa quản lý dịch vụ Thay vào đó, tốt hơn/hiệu để tránh dư thừa Hơn nữa, với ISO/IEC 20000-1, định nghĩa TCVN ISO 9000 (ISO 9000:2005) đáp ứng phép khả Các liên kết cho hoạt động sách ISO/IEC 20000-1, định nghĩa 3.6 ISO/IEC 27000 định nghĩa 2.12 Vấn đề Không định nghĩa 3.19 Xem "sự cố" "lỗi biết" Nguyên nhân gốc rễ nhiều cố CHÚ THÍCH: Ngun nhân gốc rễ khơng thường biết đến thời điểm ghi vấn đề tạo quy trình quản lý vấn đề chịu trách nhiệm cho việc điều tra sau Thủ tục 2.30 3.20 Cả hai định nghĩa dựa TCVN ISO 9000 (ISO Cách thức quy Cách thức đặc trưng để 9000:2005), Chúng đa phần định để thực thực hoạt động giống Chỉ phần CHÚ hoạt động hoặc quy trình [TCVN THÍCH khác biệt, như: thủ tục quy trình ISO 9000:2007 (ISO/IEC khơng ghi lại, 9000:2005)] [TCVN ISO tham chiếu ISO/IEC 9000:2007 (ISO/IEC CHÚ THÍCH: Các thủ tục 20000-1 để thủ tục hóa tất 9000:2005)] ghi lại "thủ tục văn bản" Các thủ tục khơng phần kế hoạch ghi lại phần kế hoạch Quy trình 2.31 3.31 Tập hoạt động Tập hoạt động tương tương tác liên tác liên kết với nhau, kết với nhau, chuyển chuyển đổi đầu vào đổi đầu vào thành đầu thành đầu [TCVN ISO 9000:2007 [TCVN ISO (ISO/IEC 9000:2005)] 9000:2007 (ISO/IEC 9000:2005)] Bản ghi 2.32 Tài liệu nêu rõ kết đạt cung cấp chứng hoạt động thực 3.22 Tài liệu nêu rõ kết đạt cung cấp chứng hoạt động thực Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC 9000:2005) Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC 9000:2005) [TCVN ISO 9000:2007 [TCVN ISO (ISO/IEC 9000:2005)] 9000:2007 (ISO/IEC VÍ DỤ: Các báo cáo kiểm 9000:2005)] toán, báo cáo cố, báo cáo đào tạo biên họp Bản phát Không định 3.23 Không tương ứng trực tiếp hành nghĩa sử dụng Tập hợp nhiều CI thay đổi thiết lập trường thực hệ nhiều thay đổi Sự tin cậy 2.33 Được đề cập an ninh Từ "sự tin cậy" sử dụng thông tin 3.11 ISO/IEC 20000-1 theo Tính chất hành nghĩa tiếng Anh thông thường: vi kết có CHÚ THÍCH 1: Thêm vào đáng tin khả phù hợp đó, tính chất khác tính xác thực, trách nhiệm, ISO/IEC 20000-1, Điều 8.1: chống thoái thác độ tin "CMDB phải quản lý để đảm bảo cậy tham gia độ tin cậy xác nó, bao gồm việc kiểm sốt truy cập cập nhật" Đề nghị Khơng định 3.24 TCVN ISO/IEC 27001, phụ lục A thay đổi nghĩa sử dụng đề cập tới "quản lý thay đổi" Đề nghị thay đổi kiểm soát A.0.1.2 tạo cho dịch vụ, thành phần dịch vụ Nhiều kiểm soát TCVN hệ thống quản lý dịch vụ ISO/IEC 27001 đề cập tới việc quản lý kiểm soát thay đổi CHÚ THÍCH: Một thay đổi Ví dụ: A.8.3, A.10.1, A.10.2.3, cho dịch vụ bao gồm A.12.5.1 việc cung cấp dịch vụ gỡ bỏ dịch vụ mà khơng cịn u cầu Rủi ro 2.34 3.25 Việc sử dụng rõ ràng giới hạn "rủi ro" ISO/IEC 20000, nhiều khía cạnh chủ động việc quản lý dịch vụ nhằm mục đích giảm thiểu rủi ro Sự kết hợp Hiệu mục tiêu khả không thực tế kiện (2.15) hệ chắn (ISO/IEC CHÚ THÍCH 1: Một hiệu Guider 73 20002] Nó phải thích khái độ lệch so với niệm "rủi ro" đáp ứng dự kiến - tích cực và/hoặc ISO/IEC 27001 sửa đổi tiêu cực tương tự ISO/IEC 20000-1, CHÚ THÍCH 2: Các mục dựa ISO 31000 tiêu có khía Xem "lỗ hổng kỹ thuật" cạnh khác (như tài chính, sức khỏe an tồn mục đích mơi trường) áp dụng mức khác (như: chiến lược, toàn tổ chức, dự án, sản phẩm quy trình) CHÚ THÍCH 3: Rủi ro thường đặc trưng tham chiếu tới kiện hậu tiềm ẩn, kết hợp chúng CHÚ THÍCH 4: Rủi ro thường diễn tả thuật ngữ kết hợp kết hợp hậu kiện (bao gồm thay đổi nhiều tình huống) khả tương ứng với xuất [ISO 31000:2009] Chấp 2.35 Không định nghĩa Cụm từ "sự chấp nhận rủi ro" nhận rủi Quyết định chấp ro nhận rủi ro (2.34) [ISO/IEC Guide 73:2002] Phân tích 2.36 Khơng định nghĩa rủi ro Sử dụng có hệ thống thơng tin để định danh nguồn để đánh giá rủi ro (2.34) [ISO/IEC Guide 73:2002] không định nghĩa sử dụng ISO/IEC 20000-1 Tuy nhiên, ISO/IEC 20000-1 yêu cầu để định nghĩa lĩnh vực chấp nhận rủi ro kế hoạch quản lý dịch vụ, Điều 4.5.2 quy trình quản lý an ninh thơng tin, Điều 6.6.1 Các khái niệm tương đồng Điều 5.4, yêu cầu sử dụng lĩnh vực chấp nhận Xem "đánh giá rủi ro" Việc quan tâm đặc biệt phải áp dụng, phân tích rủi ro định nghĩa khơng giống "chấp nhận rủi ro", xem ISO/IEC 270005 để tham chiếu CHÚ THÍCH: Phân tích rủi ro cung cấp sở cho việc đánh giá rủi ro (2.41), xử lý rủi ro (2.43) chấp nhận rủi ro (2.35) Đánh giá 2.37 Khơng định nghĩa rủi ro Quy trình tổng thể (2.31) việc phân tích rủi ro (2.36) đánh giá rủi ro (2.41) [ISO/IEC Guide 73:20002] Các tham chiếu ISO/IEC 20000-1 cho việc đánh giá rủi ro liên quan tới dịch vụ Ví dụ: Điều 4.5.3 (Thiết lập vận hành SMSM (Thực hiện) bao gồm "….d) định danh, đánh giá quản lý rủi ro cho dịch vụ" Điều 5.2 (Lập kế hoạch cho dịch vụ thay đổi mới) bao gồm "…f) định danh, đánh giá quản lý rủi ro." Điều 6.6.1: "d) đảm bảo đánh giá rủi ro thông tin tiến hành khoảng thời gian kế hoạch" Kết nối rủi 2.38 Không định nghĩa ro Việc trao đổi chia sẻ thông tin rủi ro (2.34) người định bên khác Không sử dụng ISO/IEC 20000-1 cách thức liên quan đến rủi ro [ISO/IEC Guide 73:2002] Tiêu chí 2.39 Khơng định nghĩa rủi ro Các thuật ngữ cho việc tham chiếu Được sử dụng ISO/IEC 20000-1 cách thức tương tự việc sử dụng TCVN ISO/IEC 27001, ví dụ: ISO/IEC tầm quan trọng rủi ro (2.34) đánh giá [ISO/IEC Guide 73 2002] 20000-1, Điều 4.5.2 "Kế hoạch quản lý dịch vụ phải bao gồm tham chiếu cho…j) tiếp cận để thực cho việc quản lý rủi ro tiêu chí chấp nhận rủi ro" Khái niệm tương tự cho hai tiêu chuẩn, có ý nghĩa lớn TCVN ISO/IEC 27001 ISO/IEC 20000 Đánh giá 2.40 Không định nghĩa rủi ro Hoạt động để gán giá trị cho khả hậu rủi ro Xem "đánh giá rủi ro" [ISO/IEC Guide 73 2002] Đánh giá 2.41 Không định nghĩa rủi ro Quy trình (2.31) so sánh đánh giá rủi ro (2.34) chống lại tiêu chí rủi ro sẵn có (2.39) để xác định ý nghĩa rủi ro (2.34) Xem "đánh giá rủi ro" [ISO/IEC Guide 73:2002] Quản lý 2.42 Không định nghĩa rủi ro Các hoạt động phối hợp để định hướng kiểm soát tổ chức liên quan đến rủi ro (2.34) Chủ yếu nghĩa hai tiêu chuẩn [ISO/IEC Guide 73:2002] CHÚ THÍCH: Quản lý rủi ro chủ yếu bao gồm việc đánh giá rủi ro (2.37), xử lý rủi ro (2.43), chấp nhận rủi ro (2.35), kết nối rủi ro (2.38), giám sát rủi ro đánh giá rủi ro Xử lý rủi 2.43 Khơng định nghĩa ro Quy trình (2.31) lựa chọn thiết lập tính tốn thay đổi rủi ro (2.34) [ISO/IEC Guide 73:2002] Thuật ngữ "xử lý rủi ro" khơng sử dụng ISO/IEC 20000-1, bao trùm thuật ngữ quản lý rủi ro (xem ví dụ "đánh giá rủi ro") Dịch vụ Không định nghĩa 3.26 Không tương ứng trực tiếp Cách thức phân phối giá trị cho khách hàng cách tạo điều kiện cho kết mà khách hàng muốn đạt CHÚ THÍCH 1: Dịch vụ nhìn chung vơ hình CHÚ THÍCH 2: Một dịch vụ phân phối cho bên cung cấp dịch vụ bên cung cấp, nhóm nội khách hàng vai trò bên cung cấp Thành Không định phần dịch nghĩa vụ 3.27 Không tương ứng trực tiếp Đơn vị đơn lẻ dịch vụ mà kết hợp với đơn vị khác phân phối dịch vụ hoàn chỉnh VÍ DỤ: Phần cứng, phần mềm, cơng cụ, ứng dụng, văn bản, thơng tin, quy trình dịch vụ hỗ trợ CHÚ THÍCH: Một thành phần dịch vụ bao gồm nhiều CI Dịch vụ Không định liên tục nghĩa 3.28 Thỏa Không định thuận nghĩa mức dịch vụ (SLA) 3.29 Xem "lỗ hổng kỹ thuật" "các rủi ro" Khả quản lý rủi ro kiện mà có Xem "kinh doanh liên tục" tác động nghiêm trọng Dịch vụ liên tục xem nhiều dịch vụ tập phụ kinh doanh liên thay phân phối liên tục tục dịch vụ mức thỏa thuận Thuật ngữ không sử dụng TCVN ISO/IEC 27001 Thỏa thuận văn Tuy nhiên, định nghĩa chấp bên cung cấp dịch vụ nhận đề cập đến mục đích khách hàng mà đích kiểm sốt A.10.2 khía danh dịch vụ cạnh an ninh việc phân phối đối tượng dịch vụ trì dịch vụ bên thứ CHÚ THÍCH 1: Một thỏa ba liên quan, kiểm soát thuận mức dịch vụ A.10.2.1 (các mức thỏa thuận thực bên dịch vụ liên tục) cung cấp dịch vụ bên cung cấp, nhóm nội khách hàng đóng vai trị bên cung cấp CHÚ THÍCH 2: Một thỏa thuận mức dịch vụ bao gồm hợp đồng loại khác tài liệu thỏa thuận Quản lý Khơng định dịch vụ nghĩa 3.30 Mục đích kiểm soát A.10.2 TCVN ISO/IEC 27001, liên quan Tập khả quy đến thuật ngữ trình để định hướng kiểm soát hoạt động tài nguyên bên cung cấp dịch vụ việc thiết kế, chuyển giao, phân phối nâng cấp dịch vụ để đáp ứng đầy đủ yêu cầu dịch vụ Hệ thống Không định quản lý nghĩa dịch vụ (SMS) 3.31 Hệ thống quản lý định hướng kiểm soát hành động quản lý dịch vụ bên cung cấp dịch vụ Xem "hệ thống quản lý an ninh thơng tin" (ISMS) CHÚ THÍCH 1: Một hệ thống quản lý tập thành phần liên tác liên hợp để thực sách mục tiêu để đạt mục tiêu CHÚ THÍCH 2: SMS bao gồm tất sách quản lý dịch vụ, mục tiêu, kế hoạch, quy trình, văn tài nguyên yêu cầu cho việc thiết kế, chuyển giao, phân phối nâng cấp dịch vụ đáp ứng đầy đủ yêu cầu phần ISO/IEC 20000 CHÚ THÍCH 3: Được đáp ứng từ định nghĩa "hệ thống quản lý chất lượng" TCVN ISO 9000:2007 (ISO/IEC 9000:2005) Nhà cung Không định cấp dịch nghĩa vụ 3.32 Bên cung cấp dịch vụ ISO/IEC 20000-1, định nghĩa 3.32 Tổ chức hay phần tổ chức mà nhằm đáp ứng đầy tổ chức mà quản lý đủ yêu cầu ISO/IEC phân phối nhiều 20000-1 dịch vụ cho khách hàng Thuật ngữ sử dụng CHÚ THÍCH: Một khách đưa điểm khác biệt hàng nội bên cung cấp dịch vụ ngoại tổ chức nhóm khác, khách hàng, bên cung cấp dịch vụ bên khác (các bên cung cấp, nhóm nội bộ, khách hàng, đóng vai trị bên cung cấp), tổ chức ngoại bộ, bên quan tâm bên cung cấp sản phẩm dịch vụ hỗ trợ vận hành SMS Một bên cung cấp dịch vụ phần tổ chức lớn toàn tổ chức Yêu cầu Không định dịch vụ nghĩa 3.33 Yêu cầu Không định dịch vụ nghĩa 3.34 Không tương ứng trực tiếp Yêu cầu thông tin, lời khuyên, truy cập từ dịch vụ thay đổi tiền - chấp nhận Yêu cầu dịch vụ định nghĩa ISO/IEC 20000-1, định nghĩa 3.34 Các nhu cầu khách hàng người sử dụng dịch vụ, bao gồm yêu Trong TCVN ISO/IEC 27001, "yêu cầu mức dịch vụ, cầu" dùng nghĩa tiếng nhu cầu bên cung cấp Anh thông thường của: nhu dịch vụ cầu, vài thứ mà yêu cầu, cần thiết, u cầu Nó khơng dùng ISO/IEC 20000 "các yêu cầu dịch vụ", có vài sử dụng "các yêu cầu an ninh", yêu cầu pháp lý quy định Bên cung Không định cấp nghĩa 3.35 ISO/IEC 20000-1 bao gồm tham chiếu yêu cầu cho việc quản lý của: Tổ chức phần tổ chức mà bên tổ chức a) Các bên cung cấp, bên cung cấp dịch vụ b) Các bên cung cấp (quản tham gia hợp lý bên cung cấp hợp đồng đồng với bên cung cấp phụ) dịch vụ để góp phần vào việc thiết kế, chuyển giao, c) Các khách hàng (đóng vai trị bên cung cấp) phân phối nâng cấp nhiều dịch vụ Tất đóng góp cho tổng thể quy trình dịch vụ quản lý bên cung cấp dịch vụ: CHÚ THÍCH: Các bên cung cấp bao gồm Quản lý dịch vụ bao gồm bên bên cung cấp dẫn đầu cung cấp/ bên cung cấp (và không gồm nhà thông qua bên cung cấp thầu phụ họ chính, bên cung cấp hợp đồng phụ) Quản lý mức dịch vụ bao trùm việc quản lý nhóm nội khách hàng, đóng vai trị bên cung cấp TCVN ISO/IEC 27001 sử dụng thuật ngữ "bên cung cấp" lần Báo cáo 2.44 Không định nghĩa áp dụng sử dụng Báo cáo tài liệu mô tả mục tiêu kiểm soát (2.11) kiểm soát (2.10) mà liên quan ISO/IEC 20000-1, Điều 1.2 Ứng dụng không giống báo cáo áp dụng TCVN ISO/IEC 27001 chấp nhận cho ISMS tổ chức (2.33) Đe dọa 2.45 Không định nghĩa Nguyên nhân tiềm ẩn rắc rối không mong đợi, dẫn đến việc nguy hại hệ thống tổ chức Chuyển Không định đổi nghĩa Trong ISO/IEC 20000-1, thuật ngữ "đe dọa" sử dụng lần, định nghĩa 3.12: "Sự cố an ninh thông tin: đơn lẻ chuỗi kiện an ninh thơng tin khơng mong muốn mong đợi mà có khả quan trọng ảnh hưởng đến vận hành kinh doanh đe dọa an ninh thông tin" 3.37 Một liên kết tồn việc chuyển đổi, sử dụng Các hành động liên quan ISO/IEC 20000-1, Điều cách việc di chuyển thức vài thay đổi dịch vụ thay đổi kiểm soát dựa TCVN tới từ mơi trường ISO/IEC 27001 Các quy trình sống kiểm soát, miêu tả ISO/IEC 20000-1, Điều 9, liên kết chặt chẽ định nghĩa TCVN ISO/IEC 27001 quản lý việc quản lý thay đổi điều sau: A.10.1.2 Quản lý thay đổi thủ tục vận hành trách nhiệm A.10.2.3 Quản lý thay đổi dịch vụ bên thứ ba Lỗ hổng 2.46 Không định nghĩa an ninh sử dụng Điểm yếu tài sản (2.3) kiểm sốt (2.10) mà bị khai thác đe dọa (2.45) Không tương ứng trực tiếp THƯ MỤC TÀI LIỆU THAM KHẢO [1] ISO 9000 Quality management systems - Fundamentals and vocabulary [2] ISO 9004 Quality management systems - Guidelines for performance improvements [3] ISO/IEC TS 15504-8 Information technology - Service management - Part 8: Process assessment mode for service management (đang phát triển) [4] TCVN ISO 19011 : 2003 Hệ thống quản lý chất lượng - Hướng dẫn đánh giá hệ thống quản lý chất lượng, môi trường (ISO 19011 Quality management systems - Guidelines for quality and/or environmental management systems auditing) [5] TCVN 8695-2:2011 Công nghệ thông tin - Quản lý dịch vụ - Phần 2: Quy tắc thực hành (ISO/IEC 20000-2 Information technology - Service management - Part 2: Guidance on the application of service management systems) [6] ISO/IEC 20000-3 Information technology - Service management - Part 3: Guidance on the application of scope definition and applicability for ISO/IEC 20000-1 [7] ISO/IEC 20000-4 Information technology - Service management - Part 4: Process referance model for service management [8] ISO/IEC 20000-5 Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1 [9] ISO/IEC TR 900062 Information technology - Guidelines for the application of ISO 9001:2008 to IT service management and it intergration with ISO/IEC 20000-1:2011 [10] TCVN ISO/IEC 27002 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin (ISO/IEC 27002 Information technology - Security techniques - Information security management systems - Code of practice for information security control) (đang soát xét) [11] ISO/IEC 27003 Information technology - Security techniques - Information security management systems - Information security management system implementation guidance [12] ISO/IEC 27004 Information technology - Security techniques - Information security management systems - Information security management system measurements [13] ISO/IEC 27005 Information technology - Security techniques - Information security management systems - Information security risk management [14] ISO/IEC 27006 Information technology - Security techniques - Information security management systems - Requirements for bodies providing audiit and certification of information security management systems [15] ISO/IEC 27007 Information technology - Security techniques - Information security management systems - Guidelines for information security management system auditing [16] ISO/IEC TR 27008 Information technology - Security techniques - Information security management systems - Guidelines for auditors on information security controls [17] ISO/IEC 27010 Information technology - Security techniques - Information security management systems - Information security management system for inter-sector and inter-organizational communications [18] ISO/IEC 27014 Information technology - Security techniques - Information security management systems - Governance of information security [19] ISO/IEC 31000 Risk management - Principles and Guidelines on Implementation MỤC LỤC Lời nói đầu Lời giới thiệu Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ, thuật ngữ viết tắt định nghĩa Tổng quan TCVN ISO/IEC 27001 ISO/IEC 20000-1 Cách tiếp cận cho việc tích hợp triển khai Cân nhắc cho việc tích hợp triển khai Phụ lục A (tham khảo) Tương ứng ISO/IEC 27001:2009 ISO/IEC 20000-1:2011 Phụ lục B (tham khảo) So sánh thuật ngữ ISO/IEC 27000:2009 ISO/IEC 20000-1:2011 Thư mục tài liệu tham khảo ... quản lý dịch vụ Xem TCVN ISO/IEC 27001, phụ lục A, Điều A.7.1.1 Chu trình PDCA, bao gồm việc CHÚ THÍCH: Đáp ứng giới thiệu TCVN ISO/IEC 27001, theo TCVN ISO 9000:2007 giống với TCVN ISO 9001 (ISO/IEC... cung cấp chứng hoạt động thực Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC 9000:2005) Cả hai dựa TCVN ISO 9000:2007 (ISO/IEC 9000:2005) [TCVN ISO 9000:2007 [TCVN ISO (ISO/IEC 9000:2005)] 9000:2007 (ISO/IEC... ISO/IEC 27000:2009, Bảng thuật ngữ dùng cho TCVN ISO/IEC 27001; • Thuật ngữ dùng TCVN ISO/IEC 27001; • Thuật ngữ định nghĩa dùng ISO/IEC 20000-1:2011 Tổng quan TCVN ISO/IEC 27001 ISO/IEC 20000-1 4.1
