ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI - 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ PHÙNG THỊ LIÊN NGHIÊN CỨU TIÊU CHUẨN ISO 27001 VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60 48 01 04 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: PGT.TS TRỊNH NHẬT TIẾN HÀ NỘI – 2016 i LỜI CAM ĐOAN Tôi xin cam đoan báo cáo luận văn đƣợc viết dƣới hƣớng dẫn cán hƣớng dẫn khoa học, thầy giáo, PGS.TS Trịnh Nhật Tiến Tất kết đạt đƣợc luận văn q trình tìm hiểu, nghiên cứu riêng tơi Nội dung trình bày luận văn cá nhân đƣợc tổng hợp từ nhiều nguồn tài liệu tham khảo khác có xuất xứ rõ ràng đƣợc trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đam Hà Nội, ngày 10 tháng 05 năm 2016 Ngƣời cam đoan Phùng Thị Liên ii LỜI CẢM ƠN Đầu tiên, xin gửi lời cảm ơn chân thành sâu sắc tới thầy Trịnh Nhật Tiến – Ngƣời trực tiếp hƣớng dẫn nhiệt tình giúp đỡ tơi, cho hội đƣợc tiếp xúc với tài liệu tham khảo, góp ý cho tơi q trình nghiên cứu để hồn thành đề tài Tơi muốn bày tỏ lời cảm ơn chân thành tới thầy cô giáo giảng dạy suốt thời gian học trƣờng nhƣ PGS.TS Hà Quang Thụy, PGS.TS Đỗ Trung Tuấn, PGS.TS Nguyễn Ngọc Hóa, TS Phan Xuân Hiếu, TS Bùi Quang Hƣng, TS Trần Trúc Mai, TS Võ Đình Hiếu, TS Nguyễn Văn Vinh thầy cô giáo khác khoa Cuối cùng, xin gửi lời cảm ơn sâu sắc tới Bố, Mẹ, Chồng, Con trai tất ngƣời thân gia đình, bạn bè đồng nghiệp tơi Họ ln ủng hộ tơi với tình u thƣơng, ln động viên động lực để vƣợt qua tất khó khăn sống Hà Nội, ngày 10 tháng năm 2016 Học viên thực luận văn Phùng Thị Liên iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT v DANH MỤC BẢNG BIỂU vi DANH MỤC HÌNH VẼ vii MỞ ĐẦU Chương TRÌNH BÀY TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 CÁC KHÁI NIỆM LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN 1.2 CÁC NGUY CƠ RỦI RO MẤT AN TOÀN 1.3 NHU CẦU CẤP THIẾT CẦN PHẢI XÂY DỰNG MỘT HỆ THỐNG AN TỒN THƠNG TIN ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ Chương TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001 10 2.1.3 Lịch sử phát triển ISO 27001 11 2.1.4 Tiếp cận trình 12 2.1.5 Thiết lập, kiểm sốt, trì cải tiến ISMS 12 2.1.6 Phạm vi áp dụng 15 2.2 HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN 15 2.2.1 Thuật ngữ định nghĩa 15 2.2.2 Bối cảnh tổ chức 18 2.2.3 Lãnh đạo 19 2.2.4 Hoạch định 20 2.2.5 Hỗ trợ 23 iv 2.2.6 Điều hành 25 2.2.7 Đánh giá kết 25 2.2.8 Cải tiến 27 2.2.9 Trình bày phụ lục A tiêu chuẩn 28 2.3 Mƣời lý để chứng nhận ISO 27001 47 2.4 Thực trạng triển vọng phát triển ISO 27001 48 2.4.1 Thực trạng triển khai Việt Nam 48 2.4.2 Triển vọng phát triển ISO 27001 Việt Nam .49 Chương XÂY DỰNG HỆ THỐNG QUẢN LÝ HỆ THỐNG AN TỒN THƠNG TIN CHO DOANH NGHIỆP 51 3.1 PHÁT BIỂU BÀI TOÁN 51 3.2 XÂY DỰNG CHƢƠNG TRÌNH 51 3.2.1 Phƣơng pháp xác định rủi ro 51 3.2.2 Quản lý tài sản 53 3.2.3 Xác định nguy điểm yếu hệ thống 56 3.2.4 Lựa chọn mục tiêu kiểm soát 63 3.2.5 Chƣơng trình thử nghiệm 64 KẾT LUẬN 67 A NHỮNG VẤN ĐỀ GIẢI QUYẾT ĐƢỢC TRONG LUẬN VĂN NÀY 69 B KIẾN NGHỊ VÀ HƢỚNG NGHIÊN CỨU TRONG TƢƠNG LAI .70 v DANH MỤC TỪ VIẾT TẮT Từ tiếng việt Hệ thống quản lý an tồn thơng tin Hệ thống quản lý an tồn thơng tin Cơng nghệ thông tin vi DANH MỤC BẢNG BIỂU Bảng 3.1: Ma trận tính giá trị rủi ro 53 Bảng 3.2: Đánh giá tài sản độ bảo mật 55 Bảng 3.3: Đánh giá tài sản độ toàn vẹn 56 Bảng 3.4: Đánh giá tài sản độ sẵn sàng 56 Bảng 3.5: Danh sách nguy 57 Bảng 3.6: Danh sách điểm yếu 60 vii DANH MỤC HÌNH VẼ Hình 1.1: Đặc tính an tồn thơng tin Hình 2.1: Họ tiêu chuẩn ISMS .8 Hình 2.2: Lịch sử phát triển ISO 27001 11 Hình 3.1: Tài sản 54 Hình 3.2: Các module hệ thống 64 Hình 3.3: Tài liệu 65 Hình 3.4: Kiểm sốt 65 Hình 3.5: Nguy 65 Hình 3.6: Điểm yếu 66 Hình 3.7: Đánh giá rủi ro 66 Hình 3.8: Tuyên bố áp dụng 67 Hình 3.9: Báo cáo thống kê xử lý rủi ro 67 Hình 3.10: Báo cáo thống kê rủi ro theo loại tài sản 68 Hình 3.11: Biểu đồ thống kê rủi ro theo tài sản 68 MỞ ĐẦU Hiện nay, với phát triển nhƣ nhanh chóng lĩnh vực cơng nghệ, xuất nhiều công mạng, công từ hacker, nguy gây an tồn thơng tin xảy với tần suất nhiều hơn, nghiêm trọng Bên cạnh tổ chức, doanh nghiệp giới nói chung Việt Nam nói riêng phát triển đa dạng ngành nghề lĩnh vực Mỗi ngành nghề lĩnh vực cần phải đƣợc bảo mật, xác thực tồn vẹn, để phát triển, thơng tin đƣợc bảo vệ, hạn chế công, vừa giúp cho tổ chức, doanh nghiệp có đƣợc hình ảnh uy tín nhƣ đƣợc bên đối tác đánh giá tin tƣởng hợp tác với doanh nghiệp có đƣợc bảo vệ thơng tin cách an tồn Nhƣ vấn đề an tồn thơng tin lại quan trọng nhu cầu cấp thiết doanh nghiệp Vậy làm để giúp tổ chức, doanh nghiệp thực đƣợc điều Để trả lời cho câu hỏi này, luận văn “Nghiên cứu tiêu chuẩn ISO 27001 ứng dụng” nghiên cứu tìm hiểu cách xây dựng hệ thống an tồn thơng tin cho doanh nghiệp, giúp cho doanh nghiệp quản lý, bảo vệ thông tin cách an tồn hiệu Luận văn đƣợc chia làm chƣơng: - Chƣơng 1: Trình bày tổng quan an tồn thơng tin Chƣơng trình bày khái niệm liên quan đến an tồn thơng tin, nguy rủi ro an tồn - Chƣơng 2: Trình bày tiêu chuẩn quốc tế ISO 27001 Chƣơng trình bày tổng quan ISO 27001, trình bày chi tiết hệ thống an tồn thơng tin thực trạng triển khai ISO 27001 - Chƣơng 3: Xây dựng hệ thống quản lý hệ thống an tồn thơng tin cho doanh nghiệp Trong chƣơng tơi xin trình bày phần mềm quản lý hệ thống an tồn thơng tin 38 Thất lạc, không lƣu trữ quy định 59 39 Thiệt hại có chủ ý ngƣời 40 Thiếu chế giám sát 41 Thời gian chờ đợi dài 42 Tính sẵn sàng nguồn lực 43 Tính tồn vẹn liệu bị ảnh hƣởng, b 44 Trộm cắp liệu 45 Trộm cắp liệu thông tin 46 Trộm cắp phƣơng tiện tài liệu 47 Trộm cắp, gây rối, làm gián điệp, phá hoạ 48 Truy cập trái phép 49 Truy cập trái phép thông tin 50 Truy cập trái phép tới máy chủ 51 Truy cập trái phép tới máy tính cá nhân 52 Truy cập trái phép sử dụng trái phép tài 53 Truy cập trái phép sửa đổi thông tin hệ 54 Từ chối dịch vụ 55 Vận hành hệ thống bị gián đoạn 56 57 Vi phạm quyền điều khoản v cung cấp phần mềm, gây tranh chấp Vi phạm bảo trì hệ thống, gây lỗi sử dụ Điểm yếu (V): Các điểm yếu không tự gây thiệt hại mà chúng cần phải có nguy khai thác Một tài sản có nhiều điểm yếu nguyên nhân ngƣời, mơi trƣờng cơng nghệ/ kỹ thuật Ví dụ: Bảo trì thiết bị khơng đầy đủ; Bảo vệ truy cập vật lý 60 Đầu vào việc nhận biết điểm yếu danh sách nguy biết, danh sách tài sản biện pháp có Các hƣớng dẫn nhận biết điểm yếu: - Cần phải nhận biết điểm yếu bị khai thác nguy an tồn thơng tin ngun nhân gây thiệt hại cho tài sản, cho tổ chức - Điểm yếu đƣợc nhận biết vấn đề sau: o Tổ chức o Quy trình, thủ tục o Thủ tục quản lý o Nhân o Môi trƣờng vật lý o Cấu hình hệ thống thơng tin o Phần cứng, phần mềm, thiết bị truyền thông o Sự phụ thuộc vào thành phần bên ngồi Một điểm yếu mà khơng có nguy tƣơng ứng khơng cần thiết phải triển khai biện pháp nhƣng thay đổi cần đƣợc phát giám sát chặt chẽ Ngƣợc lại, nguy mà khơng có điểm yếu tƣơng ứng khơng gây rủi ro Trong đó, biện pháp đƣợc thực khơng cách, quy trình sau chức áp dụng khơng điểm yếu Biện pháp có hiệu hay khơng cịn phụ thuộc vào mơi trƣờng vận hành hệ thống Một điểm yếu liên quan đến thuộc tính tài sản bị sử dụng khác với mục đích cách thức đƣợc mua sắm sản xuất, cần phải xem xét điểm yếu phát sinh từ nhiều nguồn khác Đầu việc nhận biết điểm yếu danh sách điểm yếu liên quan đến tài sản, mối đe dọa biện pháp xử lý Một danh sách điểm yếu không liên quan đến nguy đƣợc nhận biết để soát xét Bảng 3.6: Danh Tê STT Bảo trì thiết bị khơng đầy đủ Bảo trì, bảo dƣỡng điều hòa Bảo vệ truy cập vật lý Các mã độc hại lây nhiễm sa Có nhiều ngƣời nội Con ngƣời Công tác PCCC Đào tạo an tồn thơng tin khơng Dịch vụ bảo vệ Tòa nhà 10 File mềm 11 Giao dịch qua mạng truyền thông, 12 Giấy, bảo vệ vật lý yếu 13 Giấy, dễ bị ảnh hƣởng độ ẩm, b 14 Khi bàn giao ngƣời quản lý cũ quê 15 Không tắt máy rời khỏi máy trạ 16 Không bảo mật file password 17 Không cập nhật thƣờng xun phầ 18 Khơng có nguồn điện dự phịng 19 Khơng có phụ tùng thay hỏ 20 Khơng đƣợc bảo vệ kiểm sốt đ 21 Khơng kiểm soát việc lƣu hay 22 Kiểm soát vật lý không đầy đủ r 24 Lỗi bị virut Trojan phần 25 Lỗi hệ điều hành phần mề 26 Mức độ cung cấp dịch vụ không rõ 27 Nguồn điện không ổn định 28 Password bảo vệ yếu 29 Phần mềm chƣa đƣợc cập nhật 30 Quy trình kiểm thử phần mềm thiế 31 Rời bỏ Công ty 32 Sao chép không đƣợc kiểm sốt 35 Sự vắng mặt 36 Tấn cơng virut hacker 37 Thiếu biện pháp kiểm soát việc ma cập mạng Công ty) ra, vào hàng ng 38 Thiếu biện pháp thay đổi cấu hình 39 Thiếu thủ tục quản lý thay đ 40 Thiếu cẩn thận hủy bỏ 42 Thiếu sách sử dụng email 43 Thiếu sách sử dụng tài sản 44 Thiếu chế giám sát 45 Thiếu đƣờng dự phòng 46 Thiếu giám sát công việc cấp d 47 Thiếu giám sát hệ thống 48 Thiếu khơng có đầy đủ qu hợp đồng với khách hàng hoặc/ 63 49 Thiếu kiểm soát phƣơng tiện phần mềm 50 Thiếu kiểm soát truy cập 51 Thiếu nhận thức bảo mật thông tin 53 Thiếu phân loại đầy đủ 54 Thiếu phịng cháy chữa cháy 55 Thiếu q trình backup liệu 56 Thiếu quy định cho việc sử dụng phƣơng tiện thông tin 57 Thiếu bảo vệ vật lý 58 Thiếu nhận diện rủi ro liên quan đến đối tác bên 59 Thiếu thủ tục để xem xét, giám sát quyền truy cập 60 Thông tin trao đổi phận HRD bên liên quan không kịp thời 61 Thủ tục tuyển dụng không đầy đủ (thiếu sàng lọc) 62 Việc sử dụng phần mềm phần cứng không cách 3.2.4 Lựa chọn mục tiêu kiểm soát Mục đích việc quản lý an ninh thơng tin áp dụng ISO 27001:2013 để đảm bảo toàn nhân viên, nhà thầu bên thứ ba hiểu đƣợc đƣợc trách nhiệm thân tƣơng ứng với vai trò đƣợc giao, giảm thiểu nguy gây tổn hại tới an ninh thông tin nhƣ trộm cắp, lừa đảo lạm dụng sở vật chất Thứ hai là, nhận thức đƣợc mối nguy vấn đề liên quan đến an tồn thơng tin, trách nhiệm nghĩa vụ pháp lý họ; đƣợc đào tạo trang bị kiến thức, điều kiện cần thiết nhằm hỗ trợ sách an tồn thơng tin cơng ty q trình làm việc giảm thiểu rủi ro lỗi ngƣời gây Thứ ba là, rời khỏi tổ chức thay đổi việc làm cách tổ chức, đảm bảo an toàn thông tin Quản lý an ninh thông tin nhân bao gồm đƣợc áp dụng ba giai đoạn trƣớc tuyển dụng, thời gian làm việc chấm dứt thay đổi vị trí cơng việc 64 3.2.5 Chƣơng trình thử nghiệm Chƣơng trình đƣợc xây dựng ngôn ngữ C# sử dụng công cụ Visual Studio 2012 Hệ quản trị sở liệu SQL Server 2008 R2 Chƣơng trình thử nghiệm đƣợc cài đặt laptop có cấu hình: Intel core i3 2.13Hz, ram 4Gb Máy tính sử dụng hệ điều hành Microsoft Win 32 bit Hệ thống Tài sản Tài liệu Kiểm soát Nguy Điểm yếu Đánh giá rủi ro Báo cáo Hình 3.2: Các module hệ thống Chƣơng trình đƣợc xây dựng cho phép định nghĩa thơng tin tài sản công ty, xác định giá trị tài sản dựa thuộc tính C, I, A Định nghĩa nguy cơ, điểm yếu xây dựng kiểm sốt Từ cho phép quản lý rủi ro dựa ảnh hƣởng nguy điểm yếu tài sản Với rủi ro có giá trị lớn 16 chƣơng trình đƣa cảnh báo để ngƣời dùng biết đƣợc cần phải đƣa biện pháp kiểm soát để giảm rủi ro Các báo cáo tuyên bố áp dụng (SoA) kiểm sốt cơng ty áp dụng để giảm thiểu rủi ro Ngồi ra, chƣơng trình cịn có biểu đồ trực quan so sánh giá trị rủi ro trƣớc sau áp dụng biện pháp kiểm soát 65 Một số hình ảnh chƣơng trình: Hình 3.3: Tài liệu Hình 3.4: Kiểm sốt Hình 3.5: Nguy 66 Hình 3.6: Điểm yếu Hình 3.7: Đánh giá rủi ro 67 Hình 3.8: Tuyên bố áp dụng Hình 3.9: Báo cáo thống kê xử lý rủi ro 68 Hình 3.10: Báo cáo thống kê rủi ro theo loại tài sản Hình 3.11: Biểu đồ thống kê rủi ro theo tài sản 69 KẾT LUẬN A NHỮNG VẤN ĐỀ GIẢI QUYẾT ĐƢỢC TRONG LUẬN VĂN NÀY Đảm bảo an tồn thơng tin cần đƣợc thực định kỳ cách thƣờng xuyên, nhằm đảm bảo cho hệ thống thông tin đƣợc an toàn Tránh đƣợc rủi ro đáng tiếc xảy ra, gây ảnh hƣởng tới hoạt động sản xuất, kinh doanh công ty Luận văn đạt đƣợc kết quan trọng trình xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001 1/ Về nghiên cứu, tìm hiểu hệ thống quản lý theo chuẩn ISO 27001: Luận văn đƣa đƣợc đầy đủ lý thuyết từ lịch sử phát triển, phạm vi, tiêu chuẩn liên quan kiểm soát, mục tiêu kiểm soát phụ lục A tiêu chuẩn Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thơng tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an tồn thơng tin: Tính tin cậy, tính tồn vẹn, tính sẵn sàng Với yêu cầu cụ thể gồm Tiêu chuẩn ISO 27001:2013 có nội dung chính: - Bối cảnh tổ chức Lãnh đạo Hoạch định Hỗ trợ Điều hành Đánh giá kết Cải tiến Và phụ lục A bao gồm 14 chƣơng, 35 mục tiêu 114 kiểm soát Nhƣ ISO 27001 giúp cho tổ chức tạo đƣợc hệ thống quản lý an tồn thơng tin chặt chẽ nhờ đƣợc cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu 2/ Về thử nghiệm xây dựng hệ thống an tồn thơng tin cho doanh nghiệp: Từ sở lý thuyết nghiên cứu đƣợc, chƣơng đƣa phƣơng pháp xác định rủi ro, định nghĩa tài sản, nguy điểm yếu Từ tài sản, nguy cơ, điểm yếu lựa chọn mục tiêu kiểm soát phù hợp để nhằm mục đích giảm bớt rủi ro xảy doanh nghiệp Qua trình nghiên cứu trình làm việc thực tiễn cơng ty, tơi định nghĩa số tài liệu sách, quy trình, quy định liên quan đến hệ thống quản lý an tồn thơng tin, xây dựng đƣợc chƣơng trình demo thử nghiệm quản lý thơng tin hệ thống an tồn thơng tin đƣa đƣợc tuyên bố áp dụng tổ chức 70 B KIẾN NGHỊ VÀ HƢỚNG NGHIÊN CỨU TRONG TƢƠNG LAI Việc tổ chức hay doanh nghiệp tuân thủ đạt đƣợc chứng ISO 27001 thừa nhận quốc tế việc đảm bảo an toàn thông tin tổ chức Tuy nhiên, việc tuân thủ hay đạt đƣợc đƣợc chứng ISO 27001 không khẳng định tổ chức đƣợc an toàn tuyệt đối Do vậy, cần liên tục kiểm soát, đánh giá rủi ro, xác định mối đe dọa điểm yếu hệ thống để có hiểu biết tốt hệ thống thơng tin, từ đƣa đƣợc giải pháp để giảm thiểu rủi ro Nên đánh giá hệ thống định kỳ tháng/1 lần để có cải tiến phù hợp với hệ thống quản lý an toàn thông tin Đảm bảo tài sản thông tin đáp ứng đƣợc ba thuộc tính tính bảo mật, tính tồn vẹn tính sẵn sàng Hệ thống quản lý an tồn thơng tin đƣợc nhiều tổ chức quan tâm đón nhận áp dụng Trong tƣơng lai, muốn nghiên cứu thêm phƣơng pháp đánh giá rủi ro theo định lƣợng có nghĩa việc đánh giá rủi ro gây thiệt hại tiền mặt, để nhằm giúp cho tổ chức, doanh nghiệp có hình dung cụ thể thiệt hại, mát rủi ro gây Đồng thời nghiên cứu phƣơng pháp đánh giá công nhận chứng ISO 27001 cho tổ chức, doanh nghiệp 71 TÀI LIỆU THAM KHẢO Tiếng việt Trịnh Nhật Tiến (2008), Giáo trình an tồn liệu, Trƣờng Đại học công nghệ, đại học Quốc gia Hà Nội Nghị định 64/2007/NĐ-CP, ngày 10/04/2007 Chính phủ Ứng dụng công nghệ thông tin hoạt động quan Nhà nƣớc Tiếng anh Alan Calder & Steve Watkins, IT Governance A manager’s Guide to Data Security and ISO 27001/ISO 27002 Barry L Williams (2010), Information Security Policy Development for Compliance, New York Gary Stoneburner, Alice Goguen, and Alexis Feringa (2002), Risk Management Guide for Information Technology Systems Val Thiagarajan B.E., M.Comp, CCSE, MCSE, SFS, ITS 2319, IT Security Specialist (2006), BS ISO/IEC 17799:2005 SANS Audit Check List ISO/IEC 27000 – Information technology – Security techniques – Information security management systems – Overview and vocabulary (2014) ISO/IEC 27001 – Information technology – Security techniques – Information security management systems – Overview and vocabulary (2005, 2013) ISO/IEC 27003 – Information technology – Security techniques – Information security management system implementation guidance 10 ISO/IEC 27005 - Information technology – Security techniques – Information security management systems – Information security risk management (2008, 2013) 11 ISO 31000: Risk management – A practical guide for SMEs ... ĐÁP ỨNG TIÊU CHUẨN QUỐC TẾ Chương TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS 2.1.2 Khái niệm ISO 27001. .. thích hợp 8 CHƢƠNG TRÌNH BÀY VỀ TIÊU CHUẨN QUỐC TẾ ISO 27001 2.1 TỔNG QUAN VỀ TIÊU CHUẨN ISO 27001 2.1.1 Giới thiệu họ tiêu chuẩn ISMS Họ tiêu chuẩn ISMS bao gồm tiêu chuẩn có mối quan hệ với nhau,... phần tập trung chủ yếu vào mô tả yêu cầu ISMS (ISO/ IEC 27001) tiêu chuẩn dùng để chứng nhận (ISO/ IEC 27006) cho phù hợp tiêu chuẩn ISO/ IEC 27001 mà tổ chức áp dụng Các tiêu chuẩn khác cung cấp hƣớng