Tiêu chuẩn Quốc gia TCVN 11238:2015 cung cấp tổng quan về hệ thống quản lý an toàn thông tin và các thuật ngữ, định nghĩa thường được sử dụng trong họ tiêu chuẩn ISMS. Tiêu chuẩn này được áp dụng cho tất cả các loại hình và quy mô tổ chức (ví dụ các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi lợi nhuận).
TIÊU CHUẨN QUỐC GIA TCVN 11238:2015 ISO/IEC 27000:2014 CÔNG NGHỆ THƠNG TIN - CÁC KỸ THUẬT AN TỒN - HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN - TỔNG QUAN VÀ TỪ VỰNG Information technology - Security techniques - Information security management systems - Overview and vocabulary Lời nói đầu TCVN 11238:2015 hoàn toàn tương đương với ISO/IEC 27000:2014 TCVN 11238:2015 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) biên soạn, Bộ Thông tin Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học Công nghệ công bố Lời giới thiệu Tổng quan Các tiêu chuẩn cho hệ thống quản lý cung cấp mơ hình cho việc thiết lập vận hành hệ thống quản lý Mơ hình kết hợp đặc tính mà chun gia lĩnh vực an tồn thơng tin đạt đồng thuận phạm vi quốc tế Các tiêu chuẩn quốc gia quản lý an tồn thơng tin gọi họ tiêu chuẩn hệ thống quản lý an tồn thơng tin (ISMS - lnformation Security Management System) Thông qua sử dụng họ tiêu chuẩn ISMS, tổ chức xây dựng triển khai khung cho việc quản lý an toàn tài sản thông tin họ, bao gồm thơng tin tài chính, sở hữu trí tuệ, chi tiết nhân sự, thông tin khách hàng hay bên thứ ba cung cấp Các tiêu chuẩn dùng để chuẩn bị cho đánh giá độc lập hệ thống ISMS áp dụng để bảo vệ thông tin Họ tiêu chuẩn ISMS Họ tiêu chuẩn ISMS (xem Điều 4) nhằm mục đích hỗ trợ tổ chức thuộc loại hình, quy mơ để triển khai vận hành hệ thống quản lý an tồn thơng tin, bao gồm tiêu chuẩn sau tiêu đề chung Công nghệ thông tin - Các kỹ thuật an toàn (sắp xếp theo thứ tự số): - TCVN 11238 (ISO/IEC 27000), Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng (Information security management systems - Overview and vocabulary) - TCVN ISO/IEC 27001 (ISO/IEC 27001), Hệ thống quản lý an tồn thơng tin - Các yêu cầu (ISO/IEC 2700 lnformation security management systems - Requirements) - TCVN ISO/IEC 27002 (ISO/IEC 27002), Quy tắc thực hành cho hệ thống quản lý an tồn thơng tin (Code of practice for information security management) - TCVN 10541 (ISO/IEC 27003), Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin (Information security management system implementation guidance) - TCVN 10542 (ISO/IEC 27004), Quản lý an tồn thơng tin - Đo lường (Information security management - Measurement) - TCVN 10295 (ISO/IEC 27005), Quản lý rủi ro an toàn thông tin (Information security risk management) - ISO/IEC 27006, Các yêu cầu quan đánh giá chứng nhận hệ thống quản lý an tồn thơng tin (Requirements for bodies providing audit and certification of information security management systems) - ISO/IEC 27007, Hướng dẫn đánh giá hệ thống quản lý an tồn thơng tin (Guidelines for information security management systems auditing) - ISO/IEC TR 27008, Hướng dẫn cho đánh giá viên biện pháp kiểm soát hệ thống quản lý an tồn thơng tin (Guidelines for auditors on information security management systems controls) - TCVN 10543 (ISO/IEC 27010), Quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành (Information security management guidelines for inter-sector and inter-organisational communications) - ISO/IEC 27011, Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thơng dựa theo ISO/IEC 27002 (Information security management guidelines for telecommunications organisations based on ISO/IEC 27002) - TCVN 9965 (ISO/IEC 27013), Hướng dẫn triển khai tích hợp TCVN ISO/IEC 27001 ISO/IEC 20000-1 (Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1) - ISO/IEC 27014, Quản trị an toàn thông tin (Governance of information security) - ISO/IEC TR 27015, Hướng dẫn quản lý an tồn thơng tin cho dịch vụ tài (Information security management guidelines for financial services) - ISO/IEC TR 27016, Quản lý an tồn thơng tin - Kinh tế tổ chức (Information security management - Organisational economics) CHÚ THÍCH: Tiêu đề chung "Cơng nghệ thơng tin - Các kỹ thuật an tồn" biểu thị tiêu chuẩn biên soạn Ủy ban kỹ thuật liên ngành ISO/IEC JTC 1, Công nghệ thông tin, tiểu ban SC 27, Các kỹ thuật an toàn Công nghệ thông tin Các tiêu chuẩn không thuộc tiêu đề chung nêu song thuộc họ tiêu chuẩn ISMS bao gồm: - ISO 27799:2008, Tin học y tế - Quản lý an tồn thơng tin y tế sử dụng ISO/IEC 27002 (Health informatics - Information security management in health using ISO/IEC 27002) Mục đích tiêu chuẩn Tiêu chuẩn trình bày tổng quan hệ thống quản lý an tồn thơng tin, định nghĩa thuật ngữ liên quan CHÚ THÍCH: Phụ lục A trình bày rõ việc dạng quy ước sử dụng để biểu thị yêu cầu và/hoặc hướng dẫn họ tiêu chuẩn ISMS Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn với nội dung: a) Xác định yêu cầu hệ thống quản lý an tồn thơng tin (ISMS) việc chứng nhận hệ thống đó; b) Cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết và/hoặc giải nghĩa cho yêu cầu quy trình khái quát để thiết lập, triển khai, trì cải thiện hệ thống quản lý an tồn thơng tin c) Trình bày hướng dẫn theo lĩnh vực cụ thể cho hệ thống quản lý an tồn thơng tin (ISMS); d) Trình bày việc đánh giá tuân thủ cho hệ thống quản lý an tồn thơng tin (ISMS) Các thuật ngữ định nghĩa đưa tiêu chuẩn này: - gồm thuật ngữ định nghĩa sử dụng chung họ tiêu chuẩn ISMS; - Không gồm tất thuật ngữ định nghĩa áp dụng họ tiêu chuẩn ISMS; - Không hạn chế họ tiêu chuẩn ISMS việc đưa thêm thuật ngữ áp dụng CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TỒN - HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN - TỔNG QUAN VÀ TỪ VỰNG Information technology - Security techniques - Information security management systems Overview and vocabulary Phạm vi áp dụng Tiêu chuẩn cung cấp tổng quan hệ thống quản lý an tồn thơng tin thuật ngữ, định nghĩa thường sử dụng họ tiêu chuẩn ISMS Tiêu chuẩn áp dụng cho tất loại hình quy mơ tổ chức (ví dụ doanh nghiệp thương mại, quan phủ, tổ chức phi lợi nhuận) Thuật ngữ định nghĩa Tiêu chuẩn sử dụng thuật ngữ định nghĩa sau: 2.1 Biện pháp kiểm soát truy cập (access control) Sự đảm bảo việc truy cập vào tài sản phép bị hạn chế dựa sở u cầu an tồn nghiệp vụ 2.2 Mơ hình phân tích (analytical model) Mơ hình có sử dụng thuật tốn phép tính tốn kết hợp nhiều số đo (2.10) và/hoặc số đo dẫn xuất (2.22) với tiêu chí định liên quan 2.3 Tấn cơng (attack) Việc tìm cách phá hủy, làm lộ, thay đổi, vơ hiệu hóa, đánh cắp giành quyền truy cập trái phép thực thi việc sử dụng trái phép tài sản 2.4 Thuộc tính (attribute) Đặc tính đặc điểm đối tượng (2.55) dùng để phân biệt định tính định lượng người phương thức tự động [ISO/IEC 15939:2007] 2.5 Đánh giá (audit) Quy trình (2.61) có hệ thống, độc lập lập tài liệu để thu chứng đánh giá đánh giá chứng cách khách quan để xác định mức độ đáp ứng tiêu chí đánh giá CHÚ THÍCH 1: Đánh giá đánh giá nội (bên thứ nhất) đánh giá bên (bên thứ hai bên thứ ba) đánh giá kết hợp (kết hợp hai nhiều nguyên tắc) CHÚ THÍCH 2: "Bằng chứng đánh giá" "tiêu chí đánh giá" định nghĩa TCVN ISO 19011 2.6 Phạm vi đánh giá (audit scope) Mức độ giới hạn việc đánh giá (2.5) [TCVN ISO 19011:2013] 2.7 Xác thực (authentication) Cung cấp đảm bảo việc đặc điểm tuyên bố thực thể xác 2.8 Tính xác thực (authenticity) Đặc tính mà thực thể thứ tuyên bố 2.9 Tính sẵn sàng (availability) Đặc tính truy cập sử dụng theo yêu cầu thực thể phép 2.10 Số đo (base measure) Số đo (2.47) xác định thuộc tính (2.4) phương pháp định lượng [ISO/IEC 15939:2007] CHÚ THÍCH 1: Số đo độc lập chức với số đo khác 2.11 Năng lực (competence) Khả ứng dụng kiến thức kỹ để đạt kết dự kiến 2.12 Tính bí mật (confidentiality) Đặc tính thơng tin không sẵn sàng cung cấp không tiết lộ cho cá nhân, thực thể trình 2.61 khơng phép 2.13 Sự phù hợp (conformity) Sự đáp ứng yêu cầu (2.63) CHÚ THÍCH: Thuật ngữ "conformance' đồng nghĩa nhung không dùng 2.14 Hậu (consequence) Kết kiện (2.25) có ảnh hưởng tác động đến mục tiêu (2.56) [Có sửa đổi TCVN 9788:2013 (ISO GUIDE 73:2009)] CHÚ THÍCH 1: Một kiện dẫn đến loạt hậu CHÚ THÍCH 2: Một hậu chắn khơng chắn thường có tính tiêu cực bối cảnh an tồn thơng tin CHÚ THÍCH 3: Hậu biểu thị định tính định lượng CHÚ THÍCH 4: Hậu ban đầu bị leo thang qua hiệu ứng dây chuyền 2.15 Cải tiến liên tục (continual improvement) Hoạt động có định kỳ để nâng cao hiệu (2.59) 2.16 Biện pháp kiểm soát (control) Biện pháp điều chỉnh rủi ro (2.68) [TCVN 9788:2013 (ISO GUIDE 73:2009)] CHÚ THÍCH 1: Biện pháp kiểm sốt bao gồm quy trình, sách, thiết bị, thực hành hành động khác nhằm điều chỉnh rủi ro CHÚ THÍCH 2: Biện pháp kiểm sốt khơng phải lúc có tác động mong muốn giả định 2.17 Mục tiêu biện pháp kiểm soát (control objective) Tun bố mơ tả cần đạt kết việc thực thi biện pháp kiểm soát (2.16) 2.18 Khắc phục (correction) Hành động để loại bỏ điểm không phù hợp (2.53) phát 2.19 Hành động khắc phục (corrective action) Hành động để loại bỏ nguyên nhân gây điểm không phù hợp (2.53) để ngăn chặn tái diễn 2.20 Dữ liệu (data) Tập hợp giá trị gán cho số đo (2.10), số đo dẫn xuất (2.22) và/hoặc báo (2.27) [ISO/IEC 15939:2007] CHÚ THÍCH 1: Định nghĩa áp dụng bối cảnh TCVN 10542:2014 2.21 Tiêu chí định (decision criteria) Ngưỡng, mục tiêu mẫu dùng để xác định cần thiết cho hành động điều tra thêm, để mô tả mức độ tin cậy kết đưa [ISO/IEC 15939:2007] 2.22 Số đo dẫn xuất (derived measure) Số đo (2.47) định nghĩa hàm hai hay nhiều giá trị số đo (2.10) [ISO/IEC 15939:2007] 2.23 Thông tin lập tài liệu (documented information) Thông tin có u cầu kiểm sốt trì tổ chức (2.57) mơi trường mà chứa đựng CHÚ THÍCH 1: Thơng tin lập tài liệu định dạng, phương tiện từ nguồn CHÚ THÍCH 2: Thơng tin lập tài liệu đề cập tới: - Hệ thống quản lý (2.46), bao gồm quy trình (2.61) liên quan; - Thơng tin tạo để tổ chức vận hành (tài liệu); - Bằng chứng kết đạt (bản ghi) 2.24 Hiệu (effectiveness) Mức độ mà hoạt động theo kế hoạch thực kết theo kế hoạch đạt 2.25 Sự kiện (event) Sự xuất thay đổi tập việc cụ thể [TCVN 9788:2013] CHÚ THÍCH 1: Một kiện nhiều biến cố nhiều nguyên nhân gây CHÚ THÍCH 2: Một kiện bao gồm việc khơng xảy CHÚ THÍCH 3: Một kiện đơi coi "sự cố" "tai nạn" 2.26 Bộ phận quản lý thực thi (executive management) Cá nhân nhóm người có trách nhiệm giao quan điều hành (2.29) để triển khai chiến lược sách để hồn thành mục tiêu/mục đích tổ chức (2.57) CHÚ THÍCH: Bộ phận quản lý thực thi đơi cịn gọi Ban quản lý cấp cao bao gồm giám đốc điều hành, giám đốc tài chính, giám đốc cơng nghệ thơng tin người có vai trị tương tự 2.27 Ngữ cảnh bên ngồi (external context) Mơi trường bên ngồi, tổ chức tìm cách đạt mục tiêu [TCVN 9788:2013] CHÚ THÍCH: Bối cảnh bên ngồi bao gồm: - Mơi trường văn hóa, xã hội, trị, pháp lý, quy định, tài chính, cơng nghệ, kinh tế, tự nhiên cạnh tranh, cho dù quốc tế, quốc gia, khu vực địa phương nào; - Động lực xu hướng có ảnh hưởng đến mục tiêu (2.56) tổ chức (2.57); - Mối quan hệ với đối tác bên nhận thức giá trị chúng 2.28 Quản trị an toàn thông tin (governance of information security) Hệ thống mà hoạt động an tồn thơng tin tổ chức (2.57) định hướng kiểm soát 2.29 Cơ quan điều hành (governing body) Cá nhân nhóm người có trách nhiệm đảm bảo hiệu (2.59) tuân thủ tổ chức (2.57) CHÚ THÍCH: Cơ quan điều hành pháp lý ban giám đốc 2.30 Chỉ báo (indicator) Số đo (2.47) cung cấp ước tính ước lượng thuộc tính (2.4) cụ thể suy từ mơ hình phân tích (2.2) dành cho nhu cầu thông tin (2.31) xác định 2.31 Nhu cầu thông tin (information need) Hiểu biết cần thiết để quản lý mục tiêu, mục đích, rủi ro vấn đề [ISO/IEC 15939:2007] 2.32 Các phương tiện xử lý thông tin (information processing facilities) Bất kỳ hệ thống xử lý thông tin, dịch vụ sở hạ tầng, vị trí vật lý chứa đựng chúng 2.33 An tồn thơng tin (information security) Bảo tồn tính bí mật (2.11), tính tồn vẹn (2.40) tính sẵn sàng (2.9) thơng tin CHÚ THÍCH: Ngồi ra, an tồn thơng tin bao gồm thuộc tính khác tính xác thực (2.8), trách nhiệm giải trình, tính chống chối bỏ (2.54) tính tin cậy (2.62) 2.34 Tính liên tục an tồn thơng tin (information security continuity) Các quy trình (2.61) thủ tục để đảm bảo vận hành liên lục an tồn thơng tin (2.33) 2.35 Sự kiện an tồn thơng tin (information security event) Sự kiện xác định hệ thống, dịch vụ trạng thái mạng cho thấy có khả vi phạm sách an tồn thơng tin hay thất bại biện pháp kiểm sốt tình chưa biết liên quan đến an tồn thơng tin 2.36 Sự cố an tồn thơng tin (information security incident) Một loạt kiện an tồn thơng tin (2.35) khơng mong muốn khơng dự tính có khả ảnh hưởng đáng kể đến hoạt động nghiệp vụ đe dọa an tồn thơng tin (2.33) 2.37 Quản lý cố an tồn thơng tin (information security incident management) Các quy trình (2.61) phát hiện, báo cáo, đánh giá, đáp ứng, đối phó đúc rút kinh nghiệm từ cố an tồn thơng tin (2.36) 2.38 Cộng đồng chia sẻ thơng tin (information sharing community) Nhóm tổ chức đồng ý chia sẻ thông tin CHÚ THÍCH: tổ chức cá nhân 2.39 Hệ thống thông tin (information system) Là tập hợp ứng dụng, dịch vụ, tài sản công nghệ thông tin thành phần xử lý thông tin khác 2.40 Tính tồn vẹn (integrity) Đặc tính độ xác đầy đủ 2.41 Bên quan tâm (interested party) Cá nhân tổ chức (2.57) ảnh hưởng bị ảnh hưởng bởi, tự nhận thấy bị ảnh hưởng định hành động 2.42 Ngữ cảnh bên (internal context) Môi trường nội bộ, tổ chức tìm cách đạt mục tiêu [TCVN 9788:2013] CHÚ THÍCH: Ngữ cảnh bên bao gồm: - Quản lý, cấu tổ chức, vai trị trách nhiệm giải trình; - Chính sách, mục tiêu chiến lược đưa để đạt chúng; - Năng lực, hiểu tài nguyên kiến thức (ví dụ vốn, thời gian, người, quy trình, hệ thống cơng nghệ); - Hệ thống thông tin, luồng thông tin quy trình định (cả thức khơng thức); - Mối quan hệ, nhận thức giá trị bên liên quan nội bộ; - Văn hóa tổ chức; - Các tiêu chuẩn, hướng dẫn mơ hình chấp nhận tổ chức; - Hình thức mức độ mối quan hệ hợp đồng 2.43 Dự án ISMS (ISMS project) Các hoạt động có trình tự thực tổ chức (2.57) để thực thi hệ thống ISMS 2.44 Mức rủi ro (level of risk) Mức độ nghiêm trọng rủi ro (2.68) thể kết hợp hậu (2.15) khả xảy (2.40) rủi ro [TCVN 9788:2013, đoạn "hoặc kết hợp rủi ro" bị xóa bỏ.] 2.45 Khả xảy (likelihood) Cơ hội xảy điều [TCVN 9788:2013] 2.46 Hệ thống quản lý (management system) Tập hợp phần tử có tương quan tác động lẫn tổ chức (2.57) để thiết lập sách (2.60), mục tiêu (2.56) quy trình (2.61) để đạt mục tiêu tổ chức CHÚ THÍCH 1: Một hệ thống quản lý có một vài quy tắc CHÚ THÍCH 2: Các thành phần hệ thống gồm cấu tổ chức, vai trò trách nhiệm, kế hoạch, vận hành CHÚ THÍCH 3: Phạm vi hệ thống quản lý bao gồm tồn tổ chức, số chức cụ thể xác định tổ chức, số phần cụ thể xác định tổ chức hay vài chức qua nhóm tổ chức 2.47 Số đo (measure) Biến số dùng để gán giá trị có từ kết phép đo (2.48) [ISO/IEC 15939:2007] CHÚ THÍCH: Thuật ngữ "số đo" dùng để chung số đo bản, số đo dẫn xuất báo 2.48 Phép đo (measurement) Quy trình (2.61) để nhận biết giá trị CHÚ THÍCH: Trong bối cảnh an tồn thơng tin (2.33) quy trình để nhận biết giá trị yêu cầu thơng tin tính hiệu (2.24) hệ thống quản lý an tồn thơng tin (2.46) biện pháp kiểm sốt (2.16) có liên quan, sử dụng phương pháp đo lường (2.50), hàm đo lường (2.49), mơ hình phân tích (2.2) tiêu chí định (2.21) 2.49 Chức đo lường (measurement function) Thuật tốn tính tốn thực để kết hợp hai nhiều số đo (2.10) [ISO/IEC 15939:2007] 2.50 Phương pháp đo lường (measurement method) Trình tự logic hoạt động, mơ tả cách tổng quát, sử dụng để định lượng thuộc tính (2.4) xét theo thang đo (2.80) cụ thể [ISO/IEC 15939:2007] CHÚ THÍCH: Loại phương pháp đo lường phụ thuộc vào chất hoạt động sử dụng để định lượng thuộc tính Có thể phân biệt hai loại: - Chủ quan: định lượng liên quan đến phán xét người; - Khách quan: định lượng dựa nguyên tắc số 2.51 Kết đo lường (measurement results) Một nhiều báo (2.30) giải thích liên quan chúng nhằm giải nhu cầu thông tin (2.31) 2.52 Giám sát (monitoring) Hoạt động xác định phát trạng thái hệ thống, quy trình (2.61) hành động CHÚ THÍCH: Để phát tình trạng cần để kiểm tra, giám sát quan sát chặt chẽ 2.53 Điểm không phù hợp (nonconformity) Sự không đáp ứng yêu cầu (2.63) 2.54 Chống chối bỏ (non-repudiation) Khả chứng minh xuất kiện hành động yêu cầu thực thể sinh chúng 2.55 Đối tượng (object) Thành phần đặc trưng qua phép đo (2.48) thuộc tính (2.4) 2.56 Mục tiêu (objective) Kết cần đạt CHÚ THÍCH 1: Mục tiêu chiến lược, chiến thuật vận hành CHÚ THÍCH 2: Mục tiêu liên quan đến nhiều quy tắc khác (như mục đích tài chính, sức khỏe, an tồn mơi trường) áp dụng mức khác (như chiến lược, toàn tổ chức, dự án quy trình (2.61) CHÚ THÍCH 3: Mục tiêu thể theo cách khác kết dự định, mục đích, tiêu chí vận hành, mục tiêu an tồn thơng tin việc sử dụng từ với nghĩa tương tự (như mục đích, mục tiêu, đích) CHÚ THÍCH 4: Trong bối cảnh hệ thống quản lý an tồn thơng tin, mục tiêu an tồn thơng tin thiết lập tổ chức, phù hợp với sách an tồn thông tin để đạt kết cụ thể 2.57 Tổ chức (organization) Cá nhân nhóm người có chức riêng với trách nhiệm, quyền hạn mối quan hệ để đạt mục tiêu đề (2.56) CHÚ THÍCH: Khái niệm tổ chức bao gồm không giới hạn đến: doanh nghiệp tư nhân, công ty, tập đoàn, hãng, doanh nghiệp, quan, quan hệ đối tác, tổ chức từ thiện, phần kết hợp thành phần, có hay khơng có hợp nhất, cơng tư 2.58 Thuê (outsource) Tạo xếp mà tổ chức (2.57) bên thực phần chức quy trình (2.61) tổ chức CHÚ THÍCH: Một tổ chức bên nằm phạm vi hệ thống quản lý (2.46), chức q trình th ngồi nằm phạm vi 2.59 Hiệu (performance) Kết phép đo CHÚ THÍCH 1: Hiệu liên quan đến kết định lượng hay định tính CHÚ THÍCH 2: Hiệu liên quan đến việc quản lý hoạt động, quy trình (2.61), sản phẩm (bao gồm dịch vụ), hệ thống tổ chức (2.57) 2.60 Chính sách (policy) Mục đích định hướng tổ chức (2.57) thể thức ban quản lý cấp cao (2.84) 2.61 Quy trình (process) Tập hoạt động tương tác có liên quan nhằm biến đổi đầu vào thành đầu 2.62 Tính tin cậy (reliability) Đặc tính hành vi kết mong đợi có tính qn 2.63 u cầu (requirement) Nhu cầu hay mong muốn quy định, thường ngụ ý bắt buộc CHÚ THÍCH 1: “thường ngụ ý" có nghĩa theo thơng lệ hay tục lệ tổ chức hay bên quan tâm nhu cầu mong muốn xem xét bắt buộc CHÚ THÍCH 2: Một yêu cầu cụ thể u cầu tun bố, ví dụ thơng tin lập tài liệu 2.64 Rủi ro tồn đọng (residual risk) Rủi ro (2.68) lại sau xử lý rủi ro (2.79) CHÚ THÍCH 1: Rủi ro tồn đọng gồm rủi ro khơng xác định CHÚ THÍCH 2: Rủi ro tồn đọng coi "rủi ro giữ lại" 2.65 Soát xét (review) Hoạt động thực để xác định tính phù hợp, thích đáng hiệu (2.24) chủ thể đối tượng nhằm đạt mục tiêu thiết lập 2.66 Đối tượng soát xét (review object) Thành phần cụ thể soát xét 2.67 Mục tiêu sốt xét (review objective) Tun bố mơ tả phải đạt kết việc sốt xét 2.68 Rủi ro (risk) Tác động không chắn lên mục tiêu [TCVN 9788:2013] CHÚ THÍCH 1: Tác động chênh lệch so với dự kiến - dương âm CHÚ THÍCH 2: Sự khơng chắn tình trạng, chí phần, thiếu hụt thông tin liên quan tới việc hiểu nhận thức kiện (2.25), hậu (2.14) kiện khả xảy (2.45) CHÚ THÍCH 3: Rủi ro thường đặc trưng tham chiếu đến kiện (2.25) hậu (2.14) có, kết hợp chúng CHÚ THÍCH 4: Rủi ro an tồn thơng tin thường thể kết hợp hậu (2.14) kiện (bao gồm thay đổi hoàn cảnh) khả xảy (2.45) kèm theo CHÚ THÍCH 5: Trong bối cảnh hệ thống quản lý an tồn thơng tin, rủi ro an tồn thơng tin thể ảnh hưởng khơng chắn lên mục tiêu an tồn thơng tin CHÚ THÍCH 6: Rủi ro an tồn thơng tin có liên quan đến khả phát sinh mối đe dọa (2.83) khai thác điểm yếu (2.89) tài sản thơng tin nhóm tài sản thơng tin gây thiệt hại cho tổ chức 2.69 Chấp nhận rủi ro (risk acceptance) Quyết định có hiểu biết việc đối mặt với rủi ro (2.68) cụ thể [TCVN 9788:2013] CHÚ THÍCH 1: Chấp nhận rủi ro xảy mà khơng cần xử lý rủi ro (2.79) xảy trình xử lý rủi ro CHÚ THÍCH 2: Rủi ro chấp nhận đối tượng việc giám sát (2.52) sốt xét (2.65) 2.70 Phân tích rủi ro (risk analysis) Quy trình nhằm tìm hiểu chất rủi ro (2.68) để xác định mức rủi ro (2.44) [TCVN 9788:2013] CHÚ THÍCH 1: Phân tích rủi ro cung cấp sở cho việc đánh giá rủi ro (2.74) định cách xử lý rủi ro (2.79) CHÚ THÍCH 2: Phân tích rủi ro bao gồm việc dự đoán rủi ro 2.71 Đánh giá rủi ro (risk assessment) Quy trình (2.61) tổng thể việc nhận biết rủi ro (2.75), phân tích rủi ro (2.70) đánh giá rủi ro (2.74) [TCVN 9788:2013] 2.72 Tư vấn truyền thông rủi ro (risk communication and consultation) Các quy trình liên tục lặp lại mà tổ chức cần thực để cung cấp, chia sẻ có thông tin tham gia vào đối thoại với bên liên quan (2.82) việc quản lý rủi ro (2.68) CHÚ THÍCH 1: Thơng tin liên quan đến tồn tại, chất, hình thức, khả xảy ra, tầm quan trọng, ước lượng, chấp nhận xử lý rủi ro CHÚ THÍCH 2: Tư vấn quy trình hai chiều trao đổi thơng tin tổ chức bên liên quan vấn đề trước đưa định xác định hướng vấn đề Tư vấn là: - Một quy trình có tác động đến việc định thông qua ảnh hưởng qua ép buộc; - Một đầu vào để đưa định, không tham gia vào việc định 2.73 Tiêu chí rủi ro (risk criteria) Điều tham chiếu, qua để ước lượng tầm quan trọng rủi ro (2.68) [TCVN 9788:2013] CHÚ THÍCH 1: Tiêu chí rủi ro dựa mục tiêu tổ chức, ngữ cảnh bên ngồi bên CHÚ THÍCH 2: Tiêu chí rủi ro bắt nguồn từ tiêu chuẩn, luật pháp, sách yêu cầu khác 2.74 Đánh giá rủi ro (risk evaluation) Quy trình (2.61) so sánh kết phân tích rủi ro (2.70) với tiêu chí rủi ro (2.73) để xác định xem rủi ro (2.68) / tầm cỡ chấp nhận hay bỏ qua hay khơng [TCVN 9788:2013] CHÚ THÍCH: Ước lượng rủi ro hỗ trợ việc định việc xử lý rủi ro (2.79) 2.75 Nhận biết rủi ro (risk identification) Quy trình tìm kiếm, nhận biết mơ tả rủi ro (2.68) [TCVN 9788:2013] CHÚ THÍCH 1: Nhận biết rủi ro liên quan đến việc xác định nguồn rủi ro, kiện, nguyên nhân gây chúng, hậu tiềm ẩn chúng CHÚ THÍCH 2: Nhận biết rủi ro liên quan đến liệu lịch sử, phân tích lý thuyết, hiểu biết ý kiến chuyên gia, nhu cầu bên liên quan 2.76 Quản lý rủi ro (risk management) Các hoạt động phối hợp để định hướng biện pháp kiểm soát tổ chức (2.57) mặt rủi ro (2.68) [TCVN 9788:2013] 2.77 Quy trình quản lý rủi ro (risk management process) Việc ứng dụng cách hệ thống sách quản lý, thủ tục thực hành hoạt động truyền thông, tư vấn, thiết lập ngữ cảnh, xác định, phân tích, ước lượng, xử lý, giám sát soát xét rủi ro (2.68) [TCVN 9788:2013] CHÚ THÍCH 1: TCVN 10295 sử dụng thuật ngữ "quy trình" để mơ tả việc quản lý rủi ro nói chung Các phần tử quy trình quản lý rủi ro gọi "các hoạt động" 2.78 Chủ thể rủi ro (risk owner) Cá nhân thực thể có trách nhiệm quyền hạn quản lý rủi ro (2.68) [TCVN 9788:2013] 2.79 Xử lý rủi ro (risk treatment) Quy trình (2.61) để sửa đổi rủi ro (2.68) [TCVN 9788:2013] CHÚ THÍCH 1: xử lý rủi ro bao gồm: - Tránh rủi ro cách định không bắt đầu tiếp tục hoạt động làm phát sinh rủi ro; - Bám theo làm tăng rủi ro để nắm bắt hội; - Loại bỏ nguồn rủi ro; - Thay đổi khả xảy ra; - Thay đổi hậu quả; - Chia sẻ rủi ro với bên bên khác (bao gồm hợp đồng tài rủi ro); - Duy trì rủi ro cách lựa chọn với hiểu biết CHÚ THÍCH 2: Cách xử lý rủi ro để đối phó với hậu tiêu cực gọi "giảm bớt rủi ro", hiệu Mọi hoạt động có sử dụng tài nguyên cần phải quản lý phép việc chuyển đổi đầu vào thành đầu sử dụng tập hợp hoạt động có liên quan hay có tương tác - Đây xem quy trình Kết quy trình trực tiếp tạo thành đầu vào cho quy trình khác thường việc chuyển đổi thực điều kiện có kế hoạch có kiểm sốt Việc áp dụng hệ thống quy trình tổ chức, với nhận biết tương tác quy trình việc quản lý chúng gọi "cách thức tiếp cận quy trình" 3.4 Tại ISMS lại quan trọng Rủi ro liên quan đến tài sản thông tin tổ chức cần phải giải Đạt an tồn thơng tin địi hỏi phải quản lý rủi ro, bao gồm rủi ro từ mối đe dọa liên quan vật lý, người cơng nghệ tất hình thức thông tin tổ chức sử dụng tổ chức Việc áp dụng hệ thống ISMS trông đợi định chiến lược cho tổ chức điều cần thiết định tích hợp nhuần nhuyễn, có mở rộng cập nhật phù hợp với nhu cầu tổ chức Việc thiết kế thực hệ thống ISMS tổ chức bị ảnh hưởng nhu cầu mục tiêu tổ chức, yêu cầu an ninh, quy trình kinh doanh áp dụng, quy mơ cấu trúc tổ chức Thiết kế hoạt động hệ thống ISMS cần phản ánh lợi ích u cầu an tồn thơng tin tất bên liên quan đến tổ chức bao gồm khách hàng, nhà cung cấp, đối tác kinh doanh, cổ đơng bên thứ ba khác có liên quan Trong giới kết nối với nhau, thơng tin quy trình liên quan, hệ thống mạng lưới tài sản kinh doanh quan trọng Tổ chức hệ thống thông tin mạng lưới họ phải đối mặt với mối đe dọa an ninh từ loạt nguồn khác nhau, bao gồm gian lận máy tính, hoạt động gián điệp, phá hoại, hỏa hoạn lũ lụt Thiệt hại cho hệ thống thông tin mạng lưới gây mã độc hại, tin tặc máy tính công từ chối dịch vụ trở nên phổ biến hơn, với nhiều tham vọng ngày tinh vi Hệ thống ISMS quan trọng cho hoạt động nghiệp vụ khu vực công tư Trong ngành nào, hệ thống ISMS tạo động lực hỗ trợ thương mại điện tử cần thiết cho hoạt động quản lý rủi ro Việc kết nối mạng công cộng tư nhân, chia sẻ tài sản thơng tin làm tăng khó khăn việc kiểm sốt truy cập thơng tin xử lý thơng tin Ngồi ra, việc phân tán thiết bị lưu trữ di động có chứa tài sản thơng tin làm giảm hiệu biện pháp kiểm soát truyền thống Khi tổ chức áp dụng hệ thống tiêu chuẩn ISMS, họ có khả thể việc áp dụng cách quán ngun tắc an tồn thơng tin phù hợp tương ứng cho đối tác kinh doanh bên liên quan khác An tồn thơng tin thường khơng phải lúc tính đến thiết kế phát triển hệ thống thơng tin Mặt khác, an tồn thơng tin thường coi giải pháp kỹ thuật Tuy nhiên, an tồn thơng tin đạt thơng qua phương tiện kỹ thuật có hạn chế khơng có hiệu khơng hỗ trợ quản lý thủ tục phù hợp khn khổ hệ thống ISMS Tích hợp an ninh vào hệ thống thông tin sau triển khai thực tế cồng kềnh tốn Một hệ thống ISMS liên quan đến việc xác định biện pháp kiểm soát đưa yêu cầu cần lập kế hoạch cặn kẽ, chi tiết Ví dụ, kiểm sốt truy cập mặt kỹ thuật (logic), vật lý, hành (quản lý) kết hợp chúng, cung cấp phương tiện để đảm bảo quyền truy cập vào tài sản thơng tin hợp pháp có giới hạn dựa yêu cầu nghiệp vụ an tồn thơng tin Việc áp dụng thành cơng hệ thống ISMS điều quan trọng để bảo vệ tài sản thông tin cho phép tổ chức: a) đảm bảo thơng tin bảo vệ đầy đủ chống lại mối đe dọa liên tục; b) trì khung tổng thể, có cấu trúc để xác định đánh giá rủi ro an tồn thơng tin, lựa chọn áp dụng biện pháp kiểm soát khả dụng, đo lường cải thiện hiệu chúng; c) liên tục cải thiện môi trường kiểm soát; d) tuân thủ pháp luật quy định cách hiệu 3.5 Thiết lập, giám sát, trì cải thiện hệ thống ISMS 3.5.1 Tổng quan Một tổ chức cần thực bước sau việc xây dựng, giám sát, trì cải thiện hệ thống ISMS: a) xác định tài sản thơng tin u cầu an tồn thơng tin liên quan (xem 3.5.2); b) đánh giá rủi ro an tồn thơng tin (xem 3.5.3) xử lý rủi ro an tồn thơng tin (xem 3.5.4); c) lựa chọn thực biện pháp kiểm soát liên quan đến quản lý rủi ro chấp nhận (xem 3.5.5); d) giám sát, trì nâng cao hiệu biện pháp kiểm sốt tài sản thơng tin tổ chức (xem 3.5.6) Để đảm bảo hệ thống ISMS hoạt động hiệu việc bảo vệ tài sản thông tin tổ chức sở liên tục, cần thực bước (a) - (d) lặp lặp lại để xác định thay đổi rủi ro chiến lược tổ chức, mục tiêu kinh doanh 3.5.2 Xác định yêu cầu an tồn thơng tin Trong chiến lược kinh doanh mục tiêu chung tổ chức, quy mô hoạt động, không gian địa lý u cầu an tồn thơng tin xác định thơng qua: a) tài sản thông tin xác định giá trị chúng; b) nhu cầu kinh doanh để xử lý thông tin, lưu trữ truyền thông; c) yêu cầu pháp lý, quy định hợp đồng Việc thực phương pháp đánh giá rủi ro gắn với tài sản thông tin tổ chức liên quan đến thực phân tích: mối đe dọa đến tài sản thơng tin, điểm yếu khả xảy mối đe dọa cụ thể tới tài sản thông tin, tác động tiềm cố an toàn thơng tin tài sản thơng tin Chi phí cho biện pháp kiểm soát tương ứng dự kiến tỷ lệ thuận với tác động thấy vào hoạt động kinh doanh rủi ro 3.5.3 Đánh giá rủi ro an tồn thơng tin Quản lý rủi ro an tồn thơng tin địi hỏi phải đánh giá nguy có phương pháp xử lý rủi ro thích hợp, bao gồm dự tốn chi phí lợi ích, u cầu pháp lý, mối quan tâm bên liên quan, đầu vào biến thích hợp khác Đánh giá rủi ro cần xác định, định lượng đặt mức ưu tiên cho rủi ro theo tiêu chí chấp nhận rủi ro mục tiêu có liên quan đến tổ chức Kết hướng dẫn xác định hành động quản lý phù hợp mức ưu tiên cho việc quản lý rủi ro an toàn thơng tin thực thi biện pháp kiểm sốt lựa chọn để bảo vệ chống lại rủi ro Đánh giá rủi ro phải bao gồm phương pháp tiếp cận có hệ thống ước tính mức độ rủi ro (phân tích rủi ro) quy trình so sánh rủi ro ước tính theo tiêu chí rủi ro để xác định tầm quan trọng rủi ro (đánh giá rủi ro) Đánh giá rủi ro phải thực định kỳ để giải vấn đề thay đổi u cầu an tồn thơng tin tình rủi ro, ví dụ tài sản, mối đe dọa, điểm yếu, tác động, ước lượng rủi ro xảy thay đổi đáng kể Việc đánh giá rủi ro cần thực cách có phương pháp, có khả cho kết so sánh tái tạo kết Đánh giá rủi ro an tồn thơng tin nên có phạm vi xác định rõ ràng để có hiệu nên bao gồm mối quan hệ với đánh giá rủi ro lĩnh vực khác, thích hợp TCVN 10295 cung cấp hướng dẫn quản lý rủi ro an tồn thơng tin, bao gồm tư vấn đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, báo cáo rủi ro, giám sát rủi ro sốt xét rủi ro Ngồi cịn có ví dụ phương pháp đánh giá rủi ro 3.5.4 Xử lý rủi ro an tồn thơng tin Trước xem xét xử lý rủi ro, tổ chức nên định tiêu chí để xác định có hay khơng rủi ro chấp nhận Rủi ro chấp nhận đánh giá nguy thấp chi phí xử lý khơng hiệu Quyết định nên ghi lại Đối với rủi ro xác định sau đánh giá rủi ro, cần phải đưa định xử lý rủi ro Tùy chọn cho xử lý rủi ro bao gồm: a) áp dụng biện pháp kiểm sốt thích hợp để giảm thiểu rủi ro; b) chấp nhận rủi ro có chủ ý khách quan, chúng đáp ứng rõ ràng sách tiêu chí tổ chức đặt chấp nhận rủi ro; c) tránh rủi ro cách khơng cho phép hành động gây rủi ro xảy ra; d) chia sẻ rủi ro liên quan đến bên khác, ví dụ cơng ty bảo hiểm nhà cung cấp Đối với rủi ro mà định xử lý rủi ro định việc áp dụng biện pháp kiểm sốt thích hợp, nên lựa chọn thực biện pháp kiểm soát 3.5.5 Chọn lựa triển khai biện pháp kiểm sốt Khi u cầu an tồn thơng tin xác định (xem 3.5.2), rủi ro an tồn thơng tin cho tài sản thông tin cụ thể xác định đánh giá (xem 3.5.3), định xử lý rủi ro an tồn thơng tin đưa (xem 3.5.4), việc lựa chọn thực biện pháp kiểm soát cho áp dụng để giảm thiểu rủi ro Các biện pháp kiểm soát phải đảm bảo rủi ro giảm đến mức chấp nhận có xem xét đến: a) yêu cầu hạn chế pháp luật quy định quốc gia quốc tế; b) mục tiêu tổ chức; c) yêu cầu hạn chế hoạt động; d) chi phí thực hoạt động liên quan đến rủi ro giảm lại tỷ lệ thuận với yêu cầu hạn chế tổ chức; e) nên thực giám sát, đánh giá nâng cao hiệu hiệu lực biện pháp kiểm sốt an tồn thơng tin nhằm hỗ trợ mục tiêu tổ chức Việc lựa chọn thực biện pháp kiểm soát nên ghi chép tuyên bố áp dụng nhằm hỗ trợ yêu cầu tuân thủ f) cần thiết để cân đầu tư việc thực vận hành biện pháp kiểm soát với mát kết cố an tồn thơng tin Các biện pháp kiểm sốt trình bày tiêu chuẩn TCVN ISO/IEC 27002 coi thực hành tốt cho hầu hết tổ chức dễ dàng thiết kế riêng để phù hợp với quy mô độ phức tạp khác tổ chức Các tiêu chuẩn khác hệ thống tiêu chuẩn ISMS đưa hướng dẫn việc lựa chọn áp dụng biện pháp kiểm soát tiêu chuẩn TCVN ISO/IEC 27002 cho hệ thống quản lý an tồn thơng tin Các biện pháp kiểm sốt an tồn thơng tin cần xem xét giai đoạn thiết kế đặc tả yêu cầu hệ thống yêu cầu dự án Nếu không làm dẫn đến thêm chi phí giải pháp hiệu có thể, trường hợp xấu nhất, khơng có khả để đạt an ninh đầy đủ Các biện pháp kiểm sốt lựa chọn từ TCVN ISO/IEC 27002 từ tập kiểm soát khác biện pháp kiểm sốt thiết kế để đáp ứng nhu cầu cụ thể tổ chức Cần nhận số biện pháp kiểm sốt không áp dụng hệ thống thông tin, mơi trường khơng khả thi cho tất tổ chức Đôi phải thời gian để thực thiết lập chọn lựa biện pháp kiểm sốt khoảng thời gian mức rủi ro cao mức chịu đựng sở dài hạn Tiêu chí rủi ro nên gồm khả chịu lỗi rủi ro sở ngắn hạn biện pháp kiểm soát triển khai Các bên quan tâm nên thông báo mức rủi ro ước lượng dự kiến thời điểm khác biện pháp triển khai tăng lên Cần lưu ý khơng có tập biện pháp kiểm sốt đạt an tồn thơng tin đầy đủ Hoạt động quản lý bổ sung nên thực để giám sát, đánh giá nâng cao hiệu hiệu lực biện pháp kiểm sốt an tồn thơng tin nhằm hỗ trợ mục tiêu tổ chức Việc lựa chọn thực biện pháp kiểm soát nên ghi chép tuyên bố áp dụng nhằm hỗ trợ yêu cầu tuân thủ 3.5.6 Giám sát, trì cải thiện hiệu hệ thống ISMS Một tổ chức cần trì cải thiện hệ thống ISMS thơng qua giám sát đánh giá lực sách mục tiêu tổ chức báo cáo kết với nhà quản lý để xem xét Việc soát xét ISMS kiểm tra xem hệ thống ISMS có bao gồm biện pháp kiểm sốt đặc thù thích hợp để xử lý rủi ro phạm vi hệ thống ISMS hay khơng Ngồi ra, dựa ghi khu vực giám sát, có chứng thẩm tra theo vết hành động khắc phục, phòng ngừa cải thiện 3.5.7 Cải thiện liên tục Mục đích việc cải thiện liên tục ISMS để tăng khả đạt mục tiêu liên quan tới trì tính bí mật, tính sẵn sàng tính tồn vẹn thơng tin Trọng tâm việc cải thiện liên tục tìm kiếm hội để cải thiện không giả định hoạt động quản lý đủ tốt tốt hệ thống Các hành động cải thiện bao gồm: a) phân tích đánh giá tình để xác định vùng cần cải thiện; b) thiết lập mục tiêu cải thiện; c) tìm kiếm giải pháp để đạt mục tiêu; d) đánh giá giải pháp thực lựa chọn; e) triển khai giải pháp lựa chọn; f) đo lường, xác minh, phân tích đánh giá kết triển khai để xác định mục tiêu đáp ứng; g) thức hóa thay đổi; Kết soát xét cần thiết để xác định hội để cải thiện Bằng cách này, cải thiện hoạt động liên tục, có nghĩa là: hành động lặp lại thường xuyên Phản hồi từ khách hàng bên quan tâm khác, đánh giá soát xét hệ thống quản lý an tồn thơng tin sử dụng để xác định hội cải thiện 3.6 Các yếu tố quan trọng định thành công ISMS Có nhiều yếu tố quan trọng cho việc thực thành công hệ thống ISMS cho phép đáp ứng mục tiêu kinh doanh tổ chức Ví dụ yếu tố thành công quan trọng bao gồm: a) sách an tồn thơng tin, mục tiêu hoạt động phù hợp với mục tiêu; b) cách thức tiếp cận khung cho việc thiết kế, thực hiện, giám sát, bảo trì cải thiện an tồn thơng tin phù hợp với văn hóa doanh nghiệp; c) hỗ trợ cam kết rõ ràng từ tất cấp quản lý, đặc biệt từ cấp quản lý cao nhất; d) hiểu biết nhu cầu bảo vệ tài sản thông tin đạt thông qua việc áp dụng quản lý rủi ro an toàn thơng tin (xem TCVN 10295); e) chương trình nâng cao nhận thức giáo dục đào tạo an toàn thông tin hiệu quả, thông báo cho tất nhân viên bên liên quan khác nghĩa vụ an tồn thơng tin họ xác định sách an tồn thơng tin, tiêu chuẩn động viên họ để có hành động phù hợp; f) quy trình quản lý cố an tồn thơng tin hiệu quả; g) cách thức tiếp cận quản lý trì liên tục kinh doanh hiệu quả; h) hệ thống đo lường sử dụng để ước lượng hiệu suất quản lý an toàn thông tin ý kiến phản hồi để cải thiện Một hệ thống ISMS làm tăng khả cho tổ chức đạt yếu tố thành công quan trọng cần thiết để bảo vệ tài sản thông tin 3.7 Lợi ích họ tiêu chuẩn ISMS Lợi ích việc thực hệ thống ISMS chủ yếu kết việc giảm thiểu rủi ro an tồn thơng tin (tức giảm khả /hoặc tác động gây cố an tồn thơng tin) Đặc biệt, lợi ích thực tế cho tổ chức để đạt thành công bền vững từ việc áp dụng hệ thống tiêu chuẩn ISMS bao gồm: a) khung có cấu trúc hỗ trợ quy trình xác định, thực hiện, vận hành trì hệ thống ISMS tồn diện, hiệu quả, có giá trị, tích hợp xếp nhằm đáp ứng nhu cầu tổ chức hoạt động địa điểm khác nhau; b) hỗ trợ nhà quản lý việc quản lý thống hoạt động cách có trách nhiệm hướng quản lý an tồn thơng tin, ngữ cảnh quản lý rủi ro quản trị doanh nghiệp, bao gồm giáo dục đào tạo cho chủ sở hữu hệ thống quản lý an tồn thơng tin tồn diện; c) thúc đẩy việc chấp nhận toàn cầu thực hành an tồn thơng tin hữu hiệu theo cách khơng tắc, cho phép tổ chức hội áp dụng cải thiện biện pháp kiểm soát liên quan phù hợp với hoàn cảnh cụ thể họ để trì chúng đối mặt với thay đổi nội từ bên ngoài; d) cung cấp ngôn ngữ chung tảng nhận thức an tồn thơng tin, tạo khả thuận lợi để tạo tin cậy đối tác kinh doanh với hệ thống ISMS phù hợp, đặc biệt họ yêu cầu giấy chứng nhận phù hợp tiêu chuẩn TCVN ISO/IEC 27001 quan chứng nhận công nhận; e) tăng tin tưởng bên liên quan với tổ chức; f) đáp ứng nhu cầu kỳ vọng xã hội; g) quản lý kinh tế hiệu với khoản đầu tư an tồn thơng tin Hệ thống tiêu chuẩn ISMS 4.1 Thông tin chung Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn liên quan đến nhau, cơng bố phát triển, có chứa số thành phần cấu trúc quan trọng Các thành phần tập trung vào tiêu chuẩn quy định mô tả yêu cầu hệ thống ISMS (TCVN ISO/IEC 27001) yêu cầu quan chứng nhận (ISO/IEC 27006) thực chứng nhận phù hợp với tiêu chuẩn TCVN ISO/IEC 27001 Các tiêu chuẩn khác cung cấp hướng dẫn khía cạnh khác thực thi hệ thống ISMS, đề cập quy trình chung, đưa hướng dẫn liên quan đến biện pháp kiểm soát hướng dẫn lĩnh vực cụ thể Mối quan hệ tiêu chuẩn ISMS minh họa Hình (1) Hình - Mối quan hệ hệ thống tiêu chuẩn ISMS a) Mỗi tiêu chuẩn thuộc họ ISMS mô tả theo kiểu (hoặc vai trị) tiêu chuẩn họ tiêu chuẩn ISMS số tham chiếu tiêu chuẩn Các điều áp dụng: tiêu chuẩn mô tả tổng quan thuật ngữ (xem 4.2) b) tiêu chuẩn xác định yêu cầu (xem 4.3); c) tiêu chuẩn mô tả hướng dẫn chung (xem 4.4); d) tiêu chuẩn mô tả hướng dẫn cho lĩnh vực cụ thể (xem 4.5) 4.2 Tiêu chuẩn mô tả tổng quan từ vựng 4.2.1 TCVN 11238 (ISO/IEC 27000) (tiêu chuẩn này) Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng Phạm vi: Tiêu chuẩn cung cấp cho tổ chức, cá nhân: a) tổng quan họ tiêu chuẩn ISMS; b) giới thiệu hệ thống quản lý an tồn thơng tin (ISMS); c) thuật ngữ định nghĩa sử dụng họ tiêu chuẩn ISMS Mục tiêu: Tiêu chuẩn TCVN 11238 mô tả nguyên tắc hệ thống quản lý an tồn thơng tin, tạo thành chủ đề họ tiêu chuẩn ISMS định nghĩa thuật ngữ liên quan 4.3 Các tiêu chuẩn quy định yêu cầu cụ thể 4.3.1 TCVN ISO/IEC 27001 (ISO/IEC 27001) Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Các u cầu Phạm vi: Tiêu chuẩn quy định yêu cầu cho việc thiết lập, thực hiện, vận hành, giám sát, soát xét, trì cải thiện hệ thống quản lý an tồn thơng tin (ISMS) ngữ cảnh hoạt động nghiệp vụ tổng thể có rủi ro tổ chức Nó xác định yêu cầu việc thực biện pháp kiểm sốt an tồn thơng tin tùy chỉnh theo nhu cầu tổ chức cụ thể phận chúng Tiêu chuẩn sử dụng tất tổ chức, loại hình, quy mơ tính chất Mục tiêu: TCVN ISO/IEC 27001 cung cấp yêu cầu bắt buộc để phát triển vận hành hệ thống ISMS, bao gồm tập biện pháp kiểm soát để kiểm soát giảm thiểu rủi ro liên quan đến tài sản thơng tin mà tổ chức tìm cách bảo vệ thông qua vận hành hệ thống ISMS Các tổ chức vận hành hệ thống ISMS đánh giá chứng nhận việc tuân thủ Các mục tiêu kiểm soát biện pháp kiểm soát Phụ lục A (TCVN ISO/IEC 27001) cần lựa chọn phần quy trình ISMS phải phù hợp để bao quát yêu cầu đặt Các mục tiêu kiểm soát biện pháp kiểm soát liệt kê Bảng A.1 (TCVN ISO/IEC 27001) có nguồn gốc trực tiếp phù hợp với điều liệt kê tiêu chuẩn TCVN ISO/IEC 27002, Điều đến 18 4.3.2 ISO/IEC 27006 Công nghệ thơng tin - Các kỹ thuật an tồn - Yêu cầu quan cung cấp đánh giá chứng nhận hệ thống quản lý an tồn thơng tin Phạm vi: Tiêu chuẩn quy định yêu cầu hướng dẫn cho quan cung cấp đánh giá chứng nhận ISMS theo tiêu chuẩn TCVN ISO/IEC 27001, yêu cầu nêu ISO / IEC 17021 Nó chủ yếu dùng để hỗ trợ việc công nhận quan chứng nhận cung cấp giấy chứng nhận ISMS theo tiêu chuẩn TCVN ISO/IEC 27001 Mục tiêu: ISO/IEC 27006 bổ trợ cho ISO / IEC 17021 việc cung cấp yêu cầu để tổ chức chứng nhận cơng nhận, cho phép tổ chức cung cấp chứng nhận tuân thủ quán với yêu cầu đặt tiêu chuẩn TCVN ISO/IEC 27001 4.4 Các tiêu chuẩn mô tả hướng dẫn chung 4.4.1 TCVN ISO/IEC 27002 (ISO/IEC 27002) Công nghệ thơng tin - Các kỹ thuật an tồn - Quy tắc thực hành quản lý an tồn thơng tin Phạm vi: Tiêu chuẩn cung cấp danh sách mục tiêu kiểm soát chấp nhận rộng rãi biện pháp thực hành tốt hướng dẫn thực lựa chọn triển khai biện pháp kiểm sốt nhằm đảm bảo an tồn thông tin Mục tiêu: TCVN ISO/IEC 27002 đưa hướng dẫn việc thực biện pháp kiểm soát an tồn thơng tin Cụ thể Điều đến 18 đưa tư vấn triển khai cụ thể hướng dẫn thực hành tốt để hỗ trợ biện pháp kiểm soát quy định điều A.5 đến A.18 tiêu chuẩn TCVN ISO/IEC 27001 4.4.2 TCVN 10541 (ISO/IEC 27003) Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin Phạm vi: Tiêu chuẩn đưa hướng dẫn triển khai thực tế cung cấp thêm thông tin để xác lập, thực hiện, vận hành, giám sát, sốt xét, trì cải thiện hệ thống ISMS theo TCVN ISO/IEC 27001 Mục tiêu: TCVN 15041 cung cấp phương pháp tiếp cận theo định hướng quy trình nhằm thực thành công hệ thống ISMS theo TCVN ISO/IEC 27001 4.4.3 TCVN 10542 (ISO/IEC 27004) Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý an tồn thơng tin - Đo lường Phạm vi: Tiêu chuẩn cung cấp hướng dẫn tư vấn phát triển sử dụng phép đo để đánh giá hiệu lực hệ thống ISMS, mục tiêu kiểm soát biện pháp kiểm soát sử dụng để thực quản lý an tồn thơng tin, theo quy định TCVN ISO/IEC 27001 Mục tiêu: TCVN 10542 cung cấp khung đo lường cho phép đánh giá hiệu lực hệ thống ISMS theo TCVN ISO/IEC 27001 4.4.4 TCVN 10295 (ISO/IEC 27005) Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an tồn thơng tin Phạm vi: Tiêu chuẩn cung cấp hướng dẫn quản lý rủi ro an tồn thơng tin Phương pháp tiếp cận mô tả tiêu chuẩn hỗ trợ khái niệm định TCVN ISO/IEC 27001 Mục tiêu: TCVN 10295 hướng dẫn triển khai tiếp cận quản lý rủi ro theo định hướng quy trình nhằm hỗ trợ thỏa đáng thực hoàn thành yêu cầu quản lý rủi ro an tồn thơng tin TCVN ISO/IEC 27001 4.4.5 ISO/IEC 27007 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn đánh giá hệ thống quản lý an tồn thơng tin Phạm vi: Tiêu chuẩn cung cấp hướng dẫn thực đánh giá ISMS, hướng dẫn lực đánh giá viên cho hệ thống quản lý an tồn thơng tin, ngồi hướng dẫn có TCVN ISO 19011 dành cho hệ thống quản lý nói chung Mục tiêu: ISO/IEC 27007 cung cấp hướng dẫn cho tổ chức cần thực để đánh giá nội đánh giá độc lập bên cho hệ thống ISMS để quản lý chương trì đánh giá ISMS so với yêu cầu quy định TCVN ISO/IEC 27001 4.4.6 ISO/IEC TR 27008 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn cho đánh giá viên biện pháp kiểm sốt an tồn thơng tin Phạm vi: Báo cáo kỹ thuật cung cấp hướng dẫn rà soát việc thực hoạt động biện pháp kiểm soát, bao gồm việc kiểm tra tuân thủ kỹ thuật biện pháp kiểm soát hệ thống thông tin, tuân thủ với tiêu chuẩn an tồn thơng tin thiết lập tổ chức Mục tiêu: Báo cáo kỹ thuật tập trung vào việc rà soát biện pháp kiểm soát an tồn thơng tin, bao gồm kiểm tra việc tn thủ kỹ thuật theo tiêu chuẩn an tồn thơng tin triển khai tổ chức Tài liệu không nhằm cung cấp hướng dẫn cụ thể việc kiểm tra tuân thủ liên quan đến đo lường, đánh giá rủi ro hay đánh giá hệ thống ISMS theo quy định ISO/IEC 27004, 27005 27007 tương ứng Báo cáo kỹ thuật không dành cho đánh giá hệ thống quản lý 4.4.7 TCVN 9965 (ISO/IEC 27013) Công nghệ thông tin - Các kỹ thuật an tồn - Hướng dẫn tích hợp triển khai ISO/IEC 27001 ISO/IEC 20000-1 Phạm vi: Tiêu chuẩn cung cấp hướng dẫn việc kết hợp triển khai ISO/IEC 27001 ISO/IEC 20000-1 cho tổ chức có ý định sau đây: a) triển khai TCVN ISO/IEC 27001 triển khai ISO/IEC 20000-1 trước ngược lại; b) triển khai đồng thời hai tiêu chuẩn TCVN ISO/IEC 27001 ISO / IEC 20000-1; c) đồng hệ thống quản lý theo TCVN ISO/IEC 27001 ISO/IEC 20000-1 triển khai Mục tiêu: Để cung cấp cho tổ chức thông tin đặc điểm tương đồng khác biệt tiêu chuẩn TCVN ISO/IEC 27001và ISO / IEC 20000-1 nhằm hỗ trợ lập kế hoạch hệ thống quản lý tích hợp tuân thủ với hai tiêu chuẩn quốc tế 4.4.8 ISO/IEC 27014 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Quản trị an tồn thơng tin Phạm vi: Tiêu chuẩn cung cấp hướng dẫn nguyên tắc, quy trình quản trị an tồn thơng tin, theo tổ chức ước lượng, điều hành giám sát việc quản lý an tồn thơng tin Mục tiêu: An tồn thơng tin trở thành vấn đề quan trọng cho tổ chức Khơng có yêu cầu pháp lý tăng mà thất bại biện pháp an tồn thơng tin tổ chức có tác động trực tiếp đến uy tín tổ chức Vì vậy, phận quản trị, với phần trách nhiệm quản lý họ, ngày địi hỏi phải giám sát an tồn thơng tin để đảm bảo đạt mục tiêu đề tổ chức 4.4.9 ISO/IEC TR 27016 Công nghệ thơng tin - Các kỹ thuật an tồn - Quản lý an tồn thơng tin - Kinh tế tổ chức Phạm vi: Báo cáo kỹ thuật cung cấp phương pháp cho phép tổ chức hiểu rõ mặt kinh tế việc xác định xác giá trị tài sản thông tin cụ thể họ, giá trị rủi ro tiềm tàng tài sản thơng tin đó, đánh giá cao giá trị mà biện pháp kiểm soát bảo vệ thông tin mang đến cho tài sản thông tin xác định mức độ tối ưu nguồn lực cần áp dụng cho bảo vệ tài sản thông tin Mục tiêu: Báo cáo kỹ thuật bổ sung cho họ tiêu chuẩn ISMS thông qua cách nhìn từ quan điểm kinh tế việc bảo vệ tài sản thông tin tổ chức môi trường xã hội ngày rộng lớn mà tổ chức hoạt động cung cấp hướng dẫn cách áp dụng kinh tế tổ chức an tồn thơng tin thơng qua sử dụng mơ hình ví dụ 4.5 Các tiêu chuẩn mơ tả hướng dẫn theo lĩnh vực cụ thể 4.5.1 TCVN 10543 (ISO/IEC 27010) Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành Phạm vi: Tiêu chuẩn cung cấp hướng dẫn hướng dẫn đưa họ tiêu chuẩn ISO/IEC 27000 để thực quản lý an tồn thơng tin cộng đồng chia sẻ thông tin, cung cấp thêm biện pháp kiểm soát hướng dẫn cụ thể liên quan đến khởi tạo, triển khai, trì cải thiện an tồn thơng tin truyền thơng tin lĩnh vực tổ chức Mục tiêu: Tiêu chuẩn áp dụng cho tất hình thức trao đổi chia sẻ thông tin nhạy cảm, cho lĩnh vực công cộng tư nhân, nước quốc tế, cho lĩnh vực sản xuất/kinh doanh tương tự lĩnh vực Đặc biệt, áp dụng để trao đổi chia sẻ thông tin liên quan đến việc cung cấp, trì bảo vệ tổ chức sở hạ tầng quan trọng quốc gia 4.5.2 ISO/IEC 27011 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thông dựa theo TCVN ISO/IEC 27002 Phạm vi: Tiêu chuẩn cung cấp hướng dẫn hỗ trợ thực quản lý an tồn thơng tin tổ chức viễn thông Mục tiêu: ISO/IEC 27011 cung cấp cho tổ chức viễn thông với gồm hướng dẫn tương thích với TCVN ISO/IEC 27002, dành riêng cho lĩnh vực viễn thông bao gồm hướng dẫn bổ sung nhằm hoàn thiện yêu cầu nêu TCVN ISO/IEC 27001, Phụ lục A 4.5.3 ISO/IEC TR 27015 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an toàn thơng tin cho dịch vụ tài Phạm vi: Báo cáo kỹ thuật cung cấp hướng dẫn bổ sung cho hướng dẫn đưa họ tiêu chuẩn ISO / IEC 27000 để khởi tạo, triển khai, trì cải thiện an tồn thơng tin tổ chức cung cấp dịch vụ tài Mục tiêu: Báo cáo kỹ thuật bổ sung đặc biệt cho TCVN ISO/IEC 27001 TCVN ISO/IEC 27002 dùng cho tổ chức cung cấp dịch vụ tài để hỗ trợ cơng tác: a) Khởi tạo, triển khai, trì cải thiện hệ thống quản lý an tồn thơng tin dựa theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) b) Thiết kế thực biện pháp kiểm soát theo quy định TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) tiêu chuẩn 4.5.4 ISO/IEC 27799 Tin học y tế - Quản lý an tồn thơng tin lĩnh vực y tế sử dụng TCVN ISO/IEC 27002 Phạm vi: Tiêu chuẩn cung cấp hướng dẫn hỗ trợ thực quản lý an tồn thơng tin tổ chức y tế Mục tiêu: ISO / IEC 27799 cung cấp cho tổ chức y tế hướng dẫn thực tiêu chuẩn ISO / IEC 27002 dùng riêng cho lĩnh vực này, bổ sung cho hướng dẫn đưa nhằm đáp ứng yêu cầu TCVN ISO/IEC 27001, Phụ lục A PHỤ LỤC A (Tham khảo) Các từ ngữ diễn tả quy định Mỗi tài liệu họ tiêu chuẩn ISMS khơng tự áp đặt thực Tuy nhiên, áp đặt việc bắt buộc áp dụng, ví dụ thơng qua văn pháp luật hợp đồng Để yêu cầu tuân thủ theo tài liệu, người sử dụng cần có khả xác định yêu cầu cần thiết cần thỏa mãn Người sử dụng cần có khả phân biệt yêu cầu so với khuyến nghị khác, có khả tự lựa chọn định Bảng làm rõ việc tài liệu họ tiêu chuẩn ISMS phải diễn giải từ ngữ diễn tả yêu cầu khuyến nghị Bảng dựa quy định Chỉ thị ISO/IEC, Phần 2, Quy tắc cấu trúc soạn thảo tiêu chuẩn quốc tế, Phụ lục H CHỈ DẪN GIẢI THÍCH u cầu Các cụm từ "phải" "khơng phải" biểu thị yêu cầu cần phải tuân theo chặt chẽ để đảm bảo tuân thủ với tài liệu không cho phép sai lệch Khuyến nghị Các cụm từ "nên" "không nên" biểu thị khả có thể, có khả khuyến nghị phù hợp hơn, mà không đề cập đến loại trừ khả khác, biểu thị chu trình hành động định cần ưu tiên song không cần thiết phải bắt buộc, biểu thị (theo nghĩa phủ định) khả hay chu trình hành động định bị phản đối bị ngăn cấm Cho phép Các cụm từ "có thể" "khơng cần" biểu thị chu trình hành động phép phạm vi tài liệu Khả Các cụm từ "có khả năng" "khơng có khả năng" biểu thị khả điều xảy PHỤ LỤC B (Tham khảo) Thuật ngữ chủ sở hữu thuật ngữ B.1 Chủ sở hữu thuật ngữ Chủ sở hữu thuật ngữ họ tiêu chuẩn ISO/IEC 27000 tiêu chuẩn khởi tạo định nghĩa thuật ngữ Chủ sở hữu thuật ngữ có trách nhiệm trì định nghĩa, nghĩa là: - cung cấp; - soát xét; - cập nhật, - gỡ bỏ CHÚ THÍCH 1: TCVN ISO/IEC 27001 không xác định chủ sở hữu thuật ngữ CHÚ THÍCH 2: TCVN ISO/IEC 27001 ISO/IEC 27006 tiêu chuẩn quy định (nghĩa là: chứa đựng yêu cầu) chiếm ưu chủ sở hữu thuật ngữ tương ứng B.2 Thuật ngữ xếp theo tiêu chuẩn B.2.1 TCVN ISO/IEC 27001 Đánh giá (Audit) 2.5 Phép đo (Measurement) 2.48 Tính sẵn sàng (Availability) 2.9 Giám sát (Monitoring) 2.52 Năng lực (Competence) 2.11 Điểm không phù hợp (Nonconformity) 2.53 Tính bí mật (Confidentiality) 2.12 Mục tiêu (Objective) 2.56 Sự phù hợp (Conformity) 2.13 Tổ chức (Organization) 2.57 Cải thiện liên tục (Continual improvement) 2.15 Thuê (Outsource) 2.58 Kiểm soát (Control) 2.16 Hiệu (performance) 2.59 Khắc phục (Corrective) 2.18 Chính sách (Policy) 2.60 Hành động khắc phục (Corrective action) 2.19 Quy trình (Process) 2.61 Thơng tin lập tài liệu (documented information) 2.23 Yêu cầu (Requirement) 2.63 Hiệu (Effectiveness) 2.24 Soát xét (Review) 2.65 An tồn thơng tin (lnformation security) 2.33 Rủi ro (Risk) 2.68 Tính tồn vẹn (Integrity) 2.40 Chủ thể rủi ro (Risk owner) 2.78 Bên quan tâm (Interested party) 2.41 Ban quản lý cấp cao (Top management) 2.84 Hệ thống quản lý (Management system) 2.46 B.2.2 TCVN ISO/IE 27002 Biện pháp kiểm sốt truy cập (Access control) 2.1 Sự kiện an tồn thông tin (lnformation security event) 2.35 Tấn công (Attack) 2.3 Sự cố an tồn thơng tin (Information security incident) 2.36 Xác thực (Authentication) 2.7 Quản lý cố an toàn thơng tin (Information security incident management) 2.37 Tính xác thực (Authenticity) 2.8 Hệ thống thông tin (lnformation system) 2.39 Mục tiêu biện pháp kiểm soát (Control objective) 2.17 Chống chối bỏ (Non-repudiation) 2.54 Các phương tiện xử lý thông tin (Information processing facilities) 2.32 Tính tin cậy (Reliability) 2.62 Tính liên tục an tồn thơng tin 2.34 (Information security continuity) B.2.3 TCVN 10541 Dự án ISMS (ISMS project) 2.43 B.2.4 TCVN 10542 Mơ hình phân tích (Analytical model) 2.2 Hàm đo lường (Measurement function) 2.49 Thuộc tính (Attribute) 2.4 Phương pháp đo lường (Measurement method) 2.50 Số đo (Base measure) 2.10 Kết đo lường (Measurement results) 2.51 Dữ liệu (Data) 2.20 Đối tượng (Object) 2.55 Tiêu chí định (Decision criteria) 2.21 Thang đo (Scale) 2.80 Số đo dẫn xuất (Derived measure) 2.22 Đơn vị đo lường (Unit of measurement) 2.86 Chỉ báo (Indicator) 2.30 Kiểm tra tính hợp lệ (Validation) 2.87 Nhu cầu thơng tin (Information need) 2.31 Sự xác minh (Verification) 2.88 Số đo (Measure) 2.47 B.2.5 TCVN 10295 Hậu (Consequence) 2.14 Tư vấn truyền thông rủi ro (Risk communication and consultation) 2.72 Sự kiện (Event) 2.25 Tiêu chí rủi ro (Risk criteria) 2.73 Ngữ cảnh bên (External context) 2.27 Đánh giá rủi ro (Risk evaluation) 2.74 Ngữ cảnh bên (Internal context) 2.42 Nhận biết rủi ro (Risk identification) 2.75 Mức rủi ro (Level of risk) 2.44 Quản lý rủi ro (Risk management) 2.76 Khả xảy (Likelihood) 2.45 Quy trình quản lý rủi ro (Risk management process) 2.77 Rủi ro tồn đọng (Residual risk) 2.64 Xử lý rủi ro (Risk treatment) 2.79 Chấp nhận rủi ro (Risk acceptance) 2.69 Mối đe dọa (Threat) 2.83 Phân tích rủi ro (Risk analysis) 2.70 Điểm yếu (Vulnerability) 2.89 Đánh giá rủi ro (Risk assessment) 2.71 B.2.6 ISO/IEC 27006 Chứng nhận (Certificate) Tổ chức chứng nhận (Certification body) Dấu (Mark) Tài liệu chứng nhận (Certification document) Tổ chức (Organization) B.2.7 ISO/IEC 27007 Phạm vi đánh giá (Audit scope) 2.6 B.2.8 ISO/IEC 27008 Đối tượng soát xét (Review 2.66 Chuẩn thực thi an tồn (Security 2.81 objed) Mục tiêu sốt xét (Review objective) implementation standard) 2.67 B.2.9 TCVN 10543 Cộng đồng chia sẻ thông tin (Information sharing community) 2.38 Thực thể thông tin truyền thông tin cậy (Trusted information communication entity) 2.85 B.2.10 ISO/IEC 27011 Kết hợp theo thứ tự (Collocation) Phương tiện viễn thông (Telecommunication facilities) Trung tâm truyền thông (Communication centre) Tổ chức viễn thông (Telecommunication organizations) Truyền thông cần thiết (Essential communications) Bản ghi viễn thông (Telecommunication records) Chống tiết lộ truyền thông (Nondisclosure of communications) Dịch vụ viễn thông (Telecommunications services) Thông tin cá nhân (Personal information) Khách hàng dịch vụ viễn thông (Telecommunications customer) Cuộc gọi ưu tiên (Priority call) Người dùng dịch vụ viễn thông (Telecommunications service user) Ứng dụng viễn thông (Telecommunications applications) Phương tiện đầu cuối (Terminal facilities) Nghiệp vụ viễn thông (Telecommunications business) Người dùng (User) Phịng thiết bị viễn thơng (Telecommunications equipment room) B.2.11 ISO/IEC 27014 Bộ phận quản lý thực thi (Exucutive management) 2.26 Cơ quan điều hành (Governing body) 2.29 Quản trị an tồn thơng tin (Governance of information security) 2.28 Bên liên quan (Stakeholder) 2.82 B.2.12 ISO/IEC 27015 Các dịch vụ tài (Financial services) B.2.13 ISO/IEC 27016 Tính toán giá trị tổn thất hàng năm (Annulized Loss Expectancy (ALE)) Tổn thất (Loss) Giá trị trực tiếp (Direct value) Giá trị thị trường (Market value) Phép so sánh kinh tế (Economic comparison) Giá trị (Net present value) Nhân tố kinh tế (Economic factor) Lợi nhuận phi kinh tế (Non economic benefit) Biện minh kinh tế (Economic justification) Giá trị (Present value) Giá trị kinh tế gia tăng (Economic value added) Chi phí hội (Opportunity cost) Kinh tế học (Economics) Giá trị hội (Opportunity value) Giá trị mong đợi (Expected value) Các yêu cầu quản lý (Regulatory requirements) Giá trị mở rộng (Extended value) Tỉ lệ hoàn vốn đầu tư (Return on investment) Giá trị gián tiếp (Indirect value) Giá trị xã hội (Societal value) Kinh tế học an tồn thơng tin (Information security economics) Giá trị (Value) Quản lý an tồn thơng tin IMS (Information security management IMS) Quản trị rủi ro (Value-at-risk) THƯ MỤC TÀI LIỆU THAM KHẢO [1] TCVN ISO/IEC 17021:2011, Đánh giá phù hợp - Yêu cầu tổ chức đánh giá chứng nhận hệ thống quản lý [2] ISO 9000:2005, Quality management systems - Fundamentals and vocabulary (Các hệ thống quản lý an tồn thơng tin - Tổng quan từ vựng) [3] TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý [4] TCVN ISO/IEC 27001, Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các u cầu [5] TCVN ISO/IEC 27002, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin [6] TCVN 10541:2014, Cơng nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin [7] TCVN 10542:2014, Công nghệ thông tin - Kỹ thuật an tồn - Quản lý an tồn thơng tin - Đo lường [8] TCVN 10295:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý rủi ro an tồn thơng tin [9] ISO/IEC 27006:2011, Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems (Công nghệ thông tin Các kỹ thuật an toàn - Các yêu cầu quan đánh giá chứng nhận hệ thống quản lý an tồn thơng tin) [10] ISO/IEC 27007:2011, Information technology - Security techniques - Guidelines for information security management systems auditing (Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn đánh giá hệ thống quản lý an tồn thơng tin) [11] ISO/IEC TR 27008:2011, Information technology - Security techniques Guidelines for auditors on information security controls (Công nghệ thơng tin - Các kỹ thuật an tồn - Hướng dẫn cho đánh giá viên biện pháp kiểm sốt hệ thống quản lý an tồn thơng tin) [12] TCVN 10543:2014, Công nghệ thông tin - Kỹ thuật an tồn - Quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành [13] ISO/IEC 27011:2008, Information technology - Security techniques - Information security management guidelines for telecommunications organisations based on ISO/IEC 27002 (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thơng dựa TCVN ISO 27002) [14] TCVN 9965:2013, Công nghệ thơng tin - Kỹ thuật an tồn - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1 [15] ISO/IEC 27014:2013, Information technology - Security techniques - Governance of information security (Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý an tồn thơng tin) [16] ISO/IEC 27015, lnformation technology - Security techniques - lnformation security management guidelines for financial services (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an tồn thơng tin cho dịch vụ tài chính) [17] ISO/IEC TR 27016, Information technology - Security techniques - Information security management - Organizational economics (Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an tồn thơng tin - Kinh tế tổ chức) [18] ISO 27799:2008, Health informatics - lnformation security management in health using ISO/IEC 27002 (Tin học y tế - Quản lý an tồn thơng tin y tế sử dụng ISO/IEC 27002) [19] TCVN 9788:2013, Quản lý rủi ro - Từ vựng [20] ISO/IEC 15939:2007, Systems and software engineering - Measurement process (Hệ thống kỹ nghệ phần mềm - trình đo) [21] ISO/IEC 20000-1, Information technology - Service management - Part 1: Service management system requirements (Công nghệ thông tin - Quản lý dịch vụ - Phần 1: Các yêu cầu hệ thống quản lý dịch vụ) MỤC LỤC Lời nói đầu Phạm vi áp dụng Thuật ngữ định nghĩa Hệ thống quản lý an tồn thơng tin 3.1 Giới thiệu 3.2 ISMS ? 3.2.1 Tổng quan nguyên tắc 3.2.2 Thơng tin 3.2.3 An tồn thơng tin 3.2.4 Quản lý 3.2.5 Hệ thống quản lý 3.3 Cách tiếp cận quy trình 3.4 Tại ISMS lại quan trọng 3.5 Thiết lập, giám sát, trì cải thiện hệ thống ISMS 3.5.1 Tổng quan 3.5.2 Xác định u cầu an tồn thơng tin 3.5.3 Đánh giá rủi ro an tồn thơng tin 3.5.4 Xử lý rủi ro an tồn thơng tin 3.5.5 Chọn lựa triển khai biện pháp kiểm soát 3.5.6 Giám sát, trì cải thiện hiệu hệ thống ISMS 3.5.7 Cải thiện liên tục 3.6 Các yếu tố quan trọng định thành công ISMS 3.7 Lợi ích họ tiêu chuẩn ISMS Hệ thống tiêu chuẩn ISMS 4.1 Thông tin chung 4.2 Tiêu chuẩn mô tả tổng quan từ vựng 4.2.1 TCVN 11238 (ISO/IEC 27000) 4.3 Các tiêu chuẩn quy định yêu cầu cụ thể 4.3.1 TCVN ISO/IEC 27001 4.3.2 ISO/IEC 27006 4.4 Các tiêu chuẩn mô tả hướng dẫn chung 4.4.1 TCVN ISO/IEC 27002 4.4.2 TCVN 10541 4.4.3 TCVN 10542 4.4.4 TCVN 10295 4.4.5 ISO/IEC 27007 4.4.6 ISO/IEC TR 27008 4.4.7 TCVN 9965 4.4.8 ISO/IEC 27014 4.4.9 ISO/IEC TR 27016 4.5 Các tiêu chuẩn mô tả hướng dẫn theo lĩnh vực cụ thể 4.5.1 TCVN 10543 4.5.2 ISO/IEC 27011 4.5.3 ISO/IEC TR 27015 4.5.4 ISO/IEC 27799 Phụ lục A (Tham khảo) Các từ ngữ diễn tả quy định Phụ lục B (Tham khảo) Thuật ngữ chủ sở hữu thuật ngữ B.1 Chủ sở hữu thuật ngữ B.2 Thuật ngữ xếp theo tiêu chuẩn Thư mục tài liệu tham khảo ... tiêu chuẩn ISMS minh họa Hình (1) Hình - Mối quan hệ hệ thống tiêu chuẩn ISMS a) Mỗi tiêu chuẩn thuộc họ ISMS mô tả theo kiểu (hoặc vai trò) tiêu chuẩn họ tiêu chuẩn ISMS số tham chiếu tiêu chuẩn. .. ích họ tiêu chuẩn ISMS Hệ thống tiêu chuẩn ISMS 4.1 Thông tin chung 4.2 Tiêu chuẩn mô tả tổng quan từ vựng 4.2.1 TCVN 11238 (ISO/IEC 27000) 4.3 Các tiêu chuẩn quy định yêu cầu cụ thể 4.3.1 TCVN. .. định nghĩa đưa tiêu chuẩn này: - gồm thuật ngữ định nghĩa sử dụng chung họ tiêu chuẩn ISMS; - Không gồm tất thuật ngữ định nghĩa áp dụng họ tiêu chuẩn ISMS; - Không hạn chế họ tiêu chuẩn ISMS việc