BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN - KỸ THUẬT AN TOÀN - HƯỚNG DẪN CHO CƠNG NGHỆ THƠNG TIN VÀ TRUYỀN THƠNG CHO TÍNH LIÊN TỤC NGHIỆP VỤ HÀ NỘI, 2014 MỤC LỤC 2.1 Tình hình tiêu chuẩn hố nước ngồi nước 2.2 Lý xây dựng tiêu chuẩn 18 2.3 Mục đích xây dựng tiêu chuẩn 20 2.4 Vai trò ISO/IEC 27031:2011 ISO/IEC 27000 21 3.1 Lựa chọn tiêu chuẩn tham chiếu 22 3.2 Phương pháp xây dựng tiêu chuẩn 22 3.3 Phạm vi áp dụng khả áp dụng tiêu chuẩn Việt Nam 23 4.1 Giới thiệu nội dung Dự thảo tiêu chuẩn 24 4.2 Cấu trúc nội dung Dự thảo tiêu chuẩn 25 4.3 Bảng đối chiếu tiêu chẩn viện dẫn 26 5.1 Kiến nghị 28 5.2 Kết luận 28 Tên gọi ký hiệu Tiêu chuẩn Việt Nam Tên dự thảo Tiêu chuẩn quốc gia: “Công nghệ thông tin - kỹ thuật an tồn Hướng dẫn cho cơng nghệ thơng tin truyền thơng cho tính liên tục nghiệp vụ” Mã số: TCVN ISO/IEC xxxx:yyyy Đặt vấn đề 2.1 Tình hình tiêu chuẩn hố nước ngồi nước 2.1.1 Tình hình tiêu chuẩn hoá nước Việc triển khai TCVN ISO/IEC 27001:2009 yêu cầu cấp thiết tổ chức, doanh nghiệp nhằm áp dụng biện pháp, xây dựng quy trình đảm bảo an tồn thơng tin Rất nhiều quan nhà nước, Bộ/ngành, Sở Thông tin Truyền thông tỉnh/thành phố thường tham khảo tiêu chuẩn an tồn thơng tin nói chung tiêu chuẩn TCVN ISO/IEC 27001:2009 nói riêng để xây dựng quy chế đảm bảo an tồn, an ninh thơng tin hoạt động ứng dụng công nghệ thông tin Bộ Thông tin Truyền thông hiểu rõ điều có nhiều biện pháp hỗ trợ quan nhà nước, doanh nghiệp việc cung cấp tư vấn, giúp đỡ trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 điển hình thực dự án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng ISO 27001” Kết dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC 27001, mở hàng chục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng ISO 27001 Ngồi Bộ Thơng tin Truyền thơng đẩy mạnh việc xây dựng ban hành tiêu chuẩn an tồn thơng tin dự án 31 tiêu chuẩn an tồn thơng tin số tiêu chuẩn an tồn thơng tin thực dạng đề tài nghiên cứu Một số tiêu chuẩn cơng nghệ thơng tin nói chung tiêu chuẩn an tồn thơng thơng tin nói riêng ban hành thành Tiêu chuẩn quốc gia (08 Tiêu chuẩn) a) Tiêu chuẩn TCVN ISO/IEC 27001:2009 TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Các u cầu” Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005 “Information technology – Security techniques – Information security management system” Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ TTTT xây dựng ban hành TCVN năm 2009 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Tài liệu viện dẫn - Thuật ngữ định nghĩa - Hệ thống quản lý an tồn thơng tin - Trách nhiệm ban quản lý - Kiểm toán nội hệ thống ISMS - Soát xét ban quản lý hệ thống ISMS - Cải tiến hệ thống ISMS - 03 phụ lục tham khảo a) Tiêu chuẩn TCVN ISO/IEC 27002:2011 TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin” Tiêu chuẩn hồn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005 “Information technology – Security techniques – Code of practice for infomation security management” Viện KTBĐ - Bộ TTTT xây dựng ban hành TCVN năm 2011 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Thuật ngữ định nghĩa - Đánh giá xử lý rủi ro - Chính sách an tồn thơng tin - Tổ chức đảm bảo an tồn thơng tin - Quản lý tài sản - Đảm bảo an tồn thơng tin từ nguồn nhân lực - Đảm bảo an toàn vật lý môi trường - Quản lý truyền thông vận hành - Quản lý truy cập - Tiếp nhận, phát triển trì hệ thống thơng tin - Quản lý cố an tồn thơng tin - Quản lý liên tục hoạt động nghiệp vụ - Sự tuân thủ c) Bộ tiêu chuẩn Các tiêu chí đánh giá an tồn CNTT (03 phần) Do Trung tâm VNCERT - Bộ thông tin Truyền thông xây dựng  TCVN 8709-1:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu mơ hình tổng qt" Tiêu chuẩn hồn tồn tương đương với tiêu chuẩn quốc tế ISO/IEC 154081:2009 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 1: Introduction and General Model" Tiêu chuẩn ban hành TCVN năm 2011, nội dung tiêu chuẩn cho phép thực so sánh kết đánh giá an toàn độc lập, cung cấp tập yêu cầu chức an toàn cho sản phẩm hệ thống công nghệ thông tin biện pháp đảm bảo áp dụng yêu cầu q trình đánh giá an tồn Các sản phẩm CNTT dạng phần cứng, phần mềm, phần sụn Ngồi tiêu chuẩn cịn đánh giá giá thiết lập mức tin cậy chức an toàn toàn cho sản phẩm hệ thống CNTT, biện pháp đảm bảo áp dụng mà thoả mãn yêu cầu nêu Các kết đánh giá giúp người dùng xác định xem sản phẩm hệ thơng thống CNTT có thoả mã u cầu an tồn đưa hay khơng?  TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức an toàn" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 154082:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 2: Security functional components" Tiêu chuẩn ban hành TCVN năm 2011, nội dung Tiêu chuẩn là: Đưa yêu cầu an toàn làm sở cho yêu cầu chức an toàn biểu thị Hồ sơ bảo vệ (Protection Profile - PP) Đích An tồn (Security Target - ST) Các u cầu mơ tả hành vi an tồn mong muốn dự kiến Đích đánh giá (TOE – Target of Evaluation) môi trường CNTT TOE cần thỏa mãn mục tiêu an toàn công bố PP ST Các yêu cầu mơ tả đặc tính an tồn người dùng phát thơng qua tương tác trực tiếp (nghĩa thông qua đầu vào, đầu ra) với sản phẩm /hệ thống CNTT qua phản ứng sản phẩm /hệ thống CNTT với tương tác  TCVN 8709-3:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần đảm bảo an toàn" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 154083:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 3: Security assurance components" Tiêu chuẩn ban hành TCVN năm 2011, nội dung Tiêu chuẩn là: Nêu thành phần đảm bảo bảo an toàn thông tin sở cho yêu cầu đảm bảo an tồn thơng tin biểu thị Hồ sơ bảo vệ (Protection Profile – PP) Đích An tồn (Security Target – ST) Các u cầu tạo thành cách thức chuẩn để biểu thị yêu cầu đảm bảo cho Đích đánh giá (TOE – Target of Evaluation) Tiêu chuẩn liệt kê danh mục thành phần, họ lớp đảm bảo đồng thời xác định tiêu chí đánh giá cho PPs STs, biểu thị cấp đảm bảo đánh giá dùng để xác định thang bậc ISO/IEC 15408 định trước cho đánh giá tính đảm bảo TOEs, gọi Cấp đảm bảo đánh giá (EALs – Evaluation Assurance Levels) d) Tiêu chuẩn TCVN 9965:2013 TCVN 9965:2013 "Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 ISO/IEC 20000-1" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27013:2012 "Information technology - Security techniques - Guidance on the intgrated implementtation of ISO/IEC 27001 and ISO/IEC 20000-1 " Tiêu chuẩn Viện Tiêu chuẩn chất lượng Việt Nam xây dựng ban hành TCVN năm 2013 gồm nội dung cụ thể sau: - Phạm vi áp dụng - Tài liệu viện dẫn - Tổng quan TCVN ISO/IEC 27001:2009 ISO/IEC 20000-1 - Tiếp cận việc triển khai tích hợp - Xem xét việc triển khai tích hợp - 02 Phụ lục (Tham khảo): Sự phù hợp TCVN ISO/IEC 27001:2009 ISO/IEC 20000-1:2011; So sánh thuật ngữ ISO/IEC 27000:2009 ISO/IEC 20000-1:2011 e) Tiêu chuẩn TCVN 9801-1:2013 TCVN 9801-1:2013 "Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng Phần 1: Tổng quan khái niệm" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 270331:2009 "INformation technology - Security techniques - Network security - Part1: Overview and concepts" Tiêu chuẩn Viện tiêu chuẩn chất lượng Việt Nam xây dựng ban hành TCVN năm 2013 gồm nội dung cụ thể sau: Tiêu chuẩn TCVN 9801-1:2013 cung cấp tổng quan an toàn mạng định nghĩa liên quan và: - Cung cấp hướng dẫn việc nhận biết phân tích rủi ro an toàn mạng xác định yêu cầu an toàn mạng dựa phân tích đó; - Cung cấp tổng quan biện pháp hỗ trợ kiến trúc an toàn mạng biện pháp kỹ thuật liên quan; - Hướng dẫn phương pháp để đạt kiến trúc an tồn mạng có chất lượng tốt, xác định rủi ro, thiết kế biện pháp liên quan tới kịch mạng lĩnh vực công nghệ mạng - Nêu vấn đề liên quan đến triển khai vận hành biện pháp an toàn mạng, giám sát soát xét liên tục biện pháp triển khai an toàn mạng f) Tiêu chuẩn TCVN ISO 19011:2013 TCVN ISO 19011:2013 "Hướng dẫn đánh giá hệ thống quản lý" Tiêu chuẩn hoàn toàn tương đương với tiêu chuẩn quốc tế ISO 19011:2011 "Guidelines for auditing management systems" tiêu chuẩn Ban kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 176 xây dựng ban hành năm 2013 Tiêu chuẩn đưa hướng dẫn đánh giá hệ thống quản lý, bao gồm nguyên tắc đánh giá, quản lý chương trình đánh giá tiến hành đánh giá hệ thống quản lý, hướng dẫn xem xét đánh giá lực cá nhân tham gia trình đánh giá gồm người quản lý chương trình đánh giá, chuyên gia đánh giá đoàn đánh giá Một số tiêu chuẩn thuộc ISO/IEC 27000 xây dựng dự thảo tiêu chuẩn thẩm định chờ quan chức ban hành (08 tiêu chuẩn) a) Dự thảo TCVN ISO/IEC 27000 Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 "Công nghệ thông tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Tổng quan Từ vựng" Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 hoàn toàn tương đương với tiêu chuẩn quốc tế: ISO/IEC 27000:2012 b) Dự thảo TCVN ISO/IEC 27003 Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin” xây dựng hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27003:2010 "Information technology – Security techniques – Information security management system implementation guidance" Tiêu chuẩn Viện KHKTBĐ - Bộ Thông tin Truyền thông xây dựng Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Tiêu chuẩn tập trung vào kía cạnh then chốt để thiết kế triên khai thành cơng hệ thống quản lý an tồn thơng tin(ISMS) theo TCVN ISO/IEC 27001:2009 Tiêu chuẩn mô tả quy trình đặc tả thiết kế ISMS từ lức khởi đầu đến đưa kế hoạch triển khai bao gồm nội dung: - Nêu cấu trúc tiêu chuẩn - Ban quản lý khởi động dự án ISMS - Xác định phạm vi, giới hạn sách ISMS - Tiến hành phân tích yêu cầu an tồn thơng tin - Tiến hành đánh giá rủi ro lập kế hoạch xử lý rủi ro - Thiết kế ISMS - 05 Phụ lục c) Dự thảo TCVN ISO/IEC 27004 Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an tồn thơng tin – Đo lường” Dự thảo TCVN “Cơng nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin – Đo lường” xây dựng hoàn toàn tương đương với ISO/IEC 27004:2009 Dự thảo TCVN Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Nội dung tiêu chuẩn - Tổng quan đo lường an tồn thơng tin - Trách nhiệm ban quản lý - Lựa chọn số đo triển khai đo - Các hoạt động đo lường - Phân tích liệu lập báo cáo kết đo - Định lượng hồn thiện Chương trình đo lường an tồn thơng tin - 02 Phụ lục "Mẫu cấu trúc đo" "ví dụ cấu trúc đo" d) Dự thảo TCVN ISO/IEC 27005 Dự thảo TCVN “Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro an tồn thơng tin” Dự thảo TCVN xây dựng hoàn toàn tương đương với ISO/IEC 27005:2011 Dự thảo TCVN Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam - Bộ Thơng tin Truyền thông xây dựng năm 2012 Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2013 cho vào kế hoạch ban hành TCVN năm 2014 Nội dung tiêu chuẩn - Tổng quan quy trình quản lý rủi ro an tồn thơng tin - Thiết lập ngữ cảnh - Đánh giá rủi ro an toàn thơng tin - Xử lý rủi ro an tồn thơng tin - Chấp nhận rủi ro an tồn thơng tin - Truyền thơng tư vấn rủi ro an tồn thơng tin - Giám sát sốt xét rủi ro an tồn thơng tin - 07 Phụ lục tham khảo e) Dự thảo TCVN ISO/IEC 27010 Dự thảo TCVN “Cơng nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin cho truyền thơng liên tổ chức, liên ngành” Dự thảo TCVN “Công nghệ thơng tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin cho truyền thơng liên tổ chức, liên ngành” xây dựng hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27010:2012 Dự thảo TCVN Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014 Nội dung tiêu chuẩn: - Chính sách an tồn thơng tin - Tổ chức đảm bảo an tồn thông tin - Quản lý tài sản - Đảm bảo an tồn thơng tin từ nguồn nhân lực - Đảm bảo an tồn vật lý mơi trường - Quản lý truyền thông vận hành - Quản lý truy cập - Phát triển trì hệ thống thông tin - Quản lý cố an tồn thơng tin - Quản lý liên tục hoạt động nghiệp vụ - Sự tuân thủ - 04 Phụ lục tham khảo f) Dự thảo TCVN ISO/IEC 27033-2 Dự thảo TCVN ISO/IEC 27033-2 "Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế triển khai an toàn mạng" Dự thảo TCVN ISO/IEC 27033-2 tương đương với tiêu chuẩn quốc tế ISO/IEC 27033-2:2012 Dự thảo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Bộ Thông tin Truyền thông tiến hành xây dựng dự thảo năm 2013 được nghiệm thu cấp Bộ, chờ quan chức thẩm định ban hành tiêu chuẩn quốc gia 10 26 ISO 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002 (Thông tin y tế - Quản lý an tồn thơng tin y tế sử dụng tiêu chuẩn ISO/IEC 27002) Bảng 1: Quá trình xây dựng ban hành tiêu chuẩn quốc tế, chuẩn quốc gia tiêu thuộc 27000 STT Tiêu chuẩn quốc tế Tiêu chuẩn dự thảo tiêu chuẩn quốc gia ISO/IEC 27000:2009 Dự thảo TCVN ISO/IEC 27001:2005 TCVN ISO/IEC 27001:2009 ISO/IEC 27002:2005 TCVN ISO/IEC 27002:2011 ISO/IEC 27003:2010 Dự thảo TCVN ISO/IEC 27004:2009 Dự thảo TCVN ISO/IEC 27005:2012 Dự thảo TCVN ISO/IEC 27006:2011 Đang xây dựng ISO/IEC 27007:2011 Đang xây dựng ISO/IEC TR 27008:2011 Đang xây dựng 10 ISO/IEC 27010:2012 Dự thảo TCVN 11 ISO/IEC 27011:2008 Đang xây dựng 12 ISO/IEC 27013:2012 TCVN 9965 : 2013 13 ISO/IEC 27014:2013 Chưa xây dựng 14 ISO/IEC TR 27015:2012 Đang xây dựng 15 ISO/IEC TR 27016:2014 Chưa xây dựng 16 ISO/IEC 27018:2014 Chưa xây dựng 17 ISO/IEC TR 27019:2013 Chưa xây dựng 18 ISO/IEC 27031:2011 Đang xây dựng 16 STT Tiêu chuẩn quốc tế Tiêu chuẩn dự thảo tiêu chuẩn quốc gia 19 ISO/IEC 27032: 2012 Đang xây dựng ISO/IEC 27033-1:2009 TCVN 9801-1:2013 ISO/IEC 27033-2:2012 Dự thảo TCVN ISO/IEC 27033-3:2010 Dự thảo TCVN ISO/IEC 27033-4:2014 Chưa xây dựng ISO/IEC 27033-5:2014 Chưa xây dựng 21 ISO/IEC 27034:2011 Chưa xây dựng 22 ISO/IEC 27035:2011 Dự thảo TCVN 23 ISO/IEC 27036:2013 Chưa xây dựng 24 ISO/IEC 27037:2012 Chưa xây dựng 25 ISO/IEC 27038:2014 Chưa xây dựng 26 ISO 27799:2008 Chưa xây dựng 20 2.2 Lý xây dựng tiêu chuẩn Trong năm qua, công nghệ thông tin truyền thông trở thành phần thiếu nhiều hoạt động, thành phần sở hạ tầng trọng yếu tất lĩnh vực tổ chức, cho dù tổ chức cơng, doanh nghiệp hay tổ chức tình nguyện Sự phát triển Internet dịch vụ mạng, khả hệ thống ứng dụng ngày nay, điều đồng nghĩa với việc tổ chức ngày phụ thuộc nhiều vào sở hạ tầng Công nghệ thông tin truyền thông (ICT) đáng tin cậy an tồn Trong đó, nhu cầu quản lý liên tục nghiệp vụ, bao gồm kế hoạch nhằm đối phó với cố, phục hồi sau thảm họa, phản ứng khẩn cấp quản lý công nhận hỗ trợ với miền cụ thể kiến thức, chuyên môn, tiêu chuẩn phát triển ban hành năm gần bao gồm chuẩn quốc tế BCM phát triển ISO/IEC 223 (ISO/TC 233 trình xây dựng chuẩn quốc tế quản lý liên tục 17 nghiệp vụ ISO 22302) Lỗi, cố dịch vụ ICT, bao gồm xuất cố làm ảnh hưởng tới an toàn hệ thống xâm nhập hệ thống, lây nhiễm mã độc ảnh hưởnng tới tính liên tục hoạt động nghiệp vụ Do việc quản lý ICT, tính liên tục khía cạnh an tồn khác tạo thành phần yêu cầu tính liên tục nghiệp vụ Hơn nữa, hầu hết trường hợp, chức nghiệp vụ quan trọng đòi hỏi tính liên tục nghiệp vụ thường phụ thuộc vào ICT Sự phụ thuộc có nghĩa gián đoạn ICT mang lại rủi ro ảnh hưởng tới khả hoạt động uy tín tổ chức Sự sẵn sàng ICT thành phần thiết yếu nhiều tổ chức việc thực quản lý liên tục nghiệp vụ quản lý an tồn thơng tin Như phần việc thực vận hành hệ thống quản lý an tồn thơng tin ISMS quy định ISO/IEC 27001 hệ thống quản lý liên tục nghiệp vụ BCMS tương ứng, việc xây dựng thực kế hoạch tính liên tục nghiệp vụ cho dịch vụ ICT quan trọng để đảm bảo tính liên tục nghiệp vụ Hiệu BCM thường xuyên phụ thuộc vào hiệu sẵn sàng ICT để đảm bảo mục tiêu tổ chức tiếp tục đạt thời gian bị gián đoạn Điều đặc biệt quan trọng hậu gián đoạn ICT làm tăng phức tạp tiềm ẩn khó khăn để phát Để tổ chức đạt sẵn sàng ICT cho tính liên tục nghiệp vụ (IRBC), tổ chức phải đưa quy trình có để ngăn chặn, dự đốn quản lý gián đoạn ICT cố làm gián đoạn dịch vụ ICT Điều đạt việc áp dụng chu trình PDCA phần hệ thống quản lý ICT IRBC Theo cách IRBC hỗ trợ BCM cách đảm bảo dịch vụ ICT linh hoạt phục hồi đén mức độ xác định trước khoảng thời gian cần thiết đồng ý tổ chức Chu trình PDCA IRBC Kế hoạch - Plan Thiết lập sách IRBC, mục tiêu, quy trình thủ tục liên quan nhằm quản lý rủi ro cải tiến sẵn sàng ICT để cung cấp kết phù hợp với sách mục tiêu liên tục nghiệp vụ tổng thể tổ chức 18 Thực - Do Thực vận hành sách IRBC, kiểm sốt, quy trình thủ tục Kiểm tra - Check Đánh giá có thể, thực biện pháp chống lại sách, mục tiêu IRBC, kinh nghiệm thực tế báo cáo kết tới nhà lý để soát xét Hành động - Act Đưa hành động khắc phục ngăn chặn, dựa kết soát xét nhà quản lý để đạt cải tiến IRBC Nếu tổ chức sử dụng ISO/IEC 27001 để thiết lập ISMS, sử dụng tiêu chuẩn liên quan để thiết lập BCMS, việc thiết lập IRBC nên vào việc xem sét tồn gắn kết quy trình tới tiêu chuẩn Liên kết hỗ trợ việc thiết lập IRBC tránh quy trình kép cho tổ chức 19 Hình - Tích hợp IRBC BCM 2.3 Mục đích xây dựng tiêu chuẩn Hồn thiện tiêu chuẩn quốc gia hệ thống ISMS Hiện Việt Nam ban hành tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Các u cầu” TCVN ISO/IEC 27002:2011 “Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin – Hướng dẫn thực hành quản lý an tồn thơng tin” nhiều tiêu chuẩn thẩm định xây dựng xong dự thảo nên việc xây dựng dự thảo TCVN "Hướng dẫn kiểm toán hệ thống quản lý an tồn thơng tin" phù hợp với u cầu chung Hồn thiện tiêu chuẩn an tồn thơng tin Tiêu chuẩn tính liên tục nghiệp vụ 20 phần thiếu giúp cho hệ thống tổ chức ln sẵn sàng hoạt động 2.4 Vai trị ISO/IEC 27031:2011 ISO/IEC 27000 Hình – Mối quan hệ tiêu chuẩn ISO/IEC 27000 Về tiêu chuẩn ISO/IEC 27000 chia thành nhóm sau: Nhóm 1: Tiêu chuẩn tổng quan thuật ngữ: ISO/IEC 27000 Nhóm 2: Các tiêu chuẩn đưa để đánh giá chứng nhận: ISO/IEC 27001; ISO/IEC 27006 Nhóm 3: Các tiêu chuẩn đưa hướng dẫn hỗ trợ hệ thống quản lý an tồn thơng tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008 Nhóm 4: Các tiêu chuẩn đưa hướng dẫn cho ngành cụ thể: ISO/IEC 27010; ISO/IEC 27011; ISO/IEC 27015; ISO/IEC 27799 Nhóm 5: Các tiêu chuẩn đưa yêu cầu tiêu chuẩn hướng dẫn khác: ISO/IEC 27013; ISO/IEC 27031; ISO/IEC 27032; ISO/IEC 27033; ISO/IEC 27034; ISO/IEC 27035; ISO/IEC 27036 Như dựa vào hình cách phân nhóm tiêu chuẩn thuộc Bộ 21 ISO/IEC 27000 ta thấy tiêu chuẩn ISO/IEC 27031:2011 tiêu chuẩn dùng đưa yêu cầu hướng dẫn hướng dẫn cho tổ chức công nghệ thông tin truyền thông để đảm bảo tính liên tục nghiệp vụ Sở xây dựng tiêu chuẩn 3.1 Lựa chọn tiêu chuẩn tham chiếu Tiêu chuẩn ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity tổ chức tiêu chuẩn quốc tế ban hành tháng năm 2011 Nhóm thực đề tài sửa dụng tiêu chuẩn quốc tế ISO/IEC 27031:2011 làm để xây dựng tiêu chuẩn quốc gia " Hướng dẫn cho sẵn sàng công nghệ thông tin truyền thơng để đảm bảo tính liên tục nghiệp vụ " có nhiều quốc gia giới lựa chọn tiêu chuẩn quốc tế ISO/IEC 27031:2011 làm tài liệu gốc để xây dựng tiêu chuẩn quốc gia họ như: + Đan mạch: DS/ISO/IEC 27031:2011, ban hành năm /2011 + Hà Lan: NEN-ISO/IEC 27031:2011, ban hành năm 2011 + Anh: BS ISO/IEC 27031:2011, ban hành ngày năm 2011 + Serbia: SRPS ISO/IEC 27031:2013, ban hành năm 2013 3.2 Phương pháp xây dựng tiêu chuẩn Dự thảo tiêu chuẩn TCVN ISO/IEC 27031:XXXX xây dựng từ tiêu chuẩn ISO/IEC 27031:2011 tổ chức tiêu chuẩn quốc tế ban hành tháng năm 2011, sở rà soát tiêu chuẩn Việt nam quốc tế hệ thống quản lý an tồn thơng tin, tham khảo phương pháp xây dựng tiêu chuẩn/ quy chuẩn, nhóm chủ trì xây dựng dự thảo tiêu chuẩn TCVN ISO/IEC 27031:XXXX theo phương pháp chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27031:2011 (có chỉnh sửa thể thức trình bày theo quy định hành trình bày Tiêu chuẩn quốc gia) 3.3 Phạm vi áp dụng khả áp dụng tiêu chuẩn Việt Nam 3.3.1 Phạm vi áp dụng Tiêu chuẩn áp dụng cho tổ chức (tư nhân, phủ, phi phủ, 22 kích cỡ) mà phát triển chương trình ICT để đảm bảo tính liên tục củanghiệp vụ, tổ chức có u cầu dịch vụ/cơ sở hạ tầng phải sẵn sàng hỗ trợ cho hoạt động nghiệp vụ trường hợp xảy kiện mới, cố khẩn cấp, kiện làm gián đoạn, ảnh hưởng đến tính liên tục (bao gồm tính an tồn) chức nghiệp vụ trọng yếu Tiêu chuẩn cho phép tổ chức đánh giá thông số hiệu IRBC cách phù hợp Tiêu chuẩn áp dụng cho tất kiện cố (bao gồm kiện cố liên quan đến an tồn) ảnh hưởng tới hệ thống sở hạ tầng ICT3.3.2 Khả áp dụng tiêu chuẩn Việt Nam 3.3.2 Khả áp dụng tiêu chuẩn Việt Nam Theo số liệu thống kê Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), năm gần có nhiều quan nhà nước doanh nghiệp tư nhân bị gián đoạn hoạt động nghiệp vụ hệ thống công nghệ thông tin truyền thông không sẵn sàng Điển hình cố gián đoạn hoạt động trang báo điện tử (dantri.com.vn, vietnamnet.vn, tuoitre.vn) năm 2013 cố Công ty VCCorp năm 2014 (bị gián đoạn hoạt động thời gian dài) Dưới số liệu khảo sát an toàn thong tin 03 năm (2012-2014) Trung tâm VNCERT Hiệp hội an tồn thơng tin Việt Nam tiến hành Bảng 2: Khảo sát ATTT năm 2014, 2013, 2012 Câu 30 Tổ chức quý vị có có tuân theo có ý định tuân theo dẫn chuẩn ATTT dưói khơng? Khơng Có ISO/IEC 2700x Cobit HiPAA PCI Common Criteria Khác Câu 31 Trong thời gian tới, tổ chức q vị có dự kiến triển khai Hệ thống quản lý an tồn thơng tin (ISMS) theo ISO 27001 khơng? Khơng có kế hoạch Chỉ triển khai ISMS tuân thủ ISO/IEC 27001 Triển khai ISMS tuân thủ ISO/IEC 27001 lấy chứng nhận ISO/IEC 27001 Câu 32 Tổ chức quý vị có Quy chế ATTT (Security Policy) Năm 2014 Năm 2013 Năm 2012 32.56 % 54.3% 66.28 % 20.2% 54.07 % 21.1% 5.23 % 1.8% 0.58 % 1.8% 8.72 % 3.7% 1.74 % 1.2% 6.40 % 5.2% 42% 36% 35% 4% 2% 5% 2% 4% 0.0% 53.49 % 51.0% 37.79 % 16.1% 53% 23% 9.9% 12% 16.86 % 0.0% 23 chưa? (đã lãnh đạo phê duyệt đưa vào áp dụng) Có Chưa có: + Sẽ xây dựng Quy chế thời gian tới + Chưa có ý định xây dựng Quy chế 58.14 % 27.1% 36.05 % 36.3% 44.19 % 33.3% 8.72 % 26.9% 41% 32% 27% 16% Theo số liệu tổng hợp kết khảo sát ATTT Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) Hiệp hội an tồn thơng tin (VNISA) tiến hành 500 quan nhà nước doanh nghiệp tồn quốc thấy rằng: - Các đơn vị ngày trọng tới việc xây dựng quy chế an tồn thơng tin áp dụng đơn vị - Số lượng đơn vị tuân thủ có ý định tuân thủ theo dẫn Bộ ISO 27000 ngày tăng nhanh - Nhu cầu mong muốn triển khai tuân thủ yêu cầu biện pháp kiểm sốt an tồn thơng tin mong muốn có nhận ISO/IEC 27001 ngày tăng nhanh Khi đơn vị có nhu cầu mong muốn triển khai, tuân thủ cấp chứng nhận theo ISO/IEC 27001 tăng nhu cầu sử dụng, áp dụng hướng dẫn theo biện pháp đảm bảo an tồn thơng tin thuộc tiêu chuẩn 27000 nói chung tiêu chuẩn ISO/IEC 27031 nói riêng ngày lớn Nội dung dự thảo tiêu chuẩn kỹ thuật 4.1 Giới thiệu nội dung Dự thảo tiêu chuẩn Dự thảo tiêu chuẩn xây dựng dựa tiêu chuẩn quốc tế ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity, phiên 2011 tiêu chuẩn Tiêu chuẩn ISO/IEC 27031 đưa hướng dẫn cho sẵn sàng công nghệ thông tin truyền thông quản lý để đảm bảo hoạt động nghiệp vụ sẵn sàng 4.2 Cấu trúc nội dung Dự thảo tiêu chuẩn Dự thảo tiêu chuẩn gồm Điều phụ lục tham khảo cụ thể sau: 24 - Từ Điều đến Điều nêu quy định chung tiêu chuẩn - Điều trình bày tổng quan IRBC bao gồm: vai trị IRBC, nguyên tắc IRBC, thành phần IRBC, kết lợi ích IRBC, hướng dẫn thiết lập IRBC, sử dụng PDCA để thiết lập IRBC trách nhiệm quản lý - Điều đưa hướng dẫn hoạch định IRBC để thiết lập yêu cầu sẵn sàng ICT như: chiến lược IRBC kế hoạch IRBC cần thiết để hỗ trợ yêu cầu nghiệp vụ, pháp lý, luật pháp liên quan tới phạm vi kết quả xác định mục tiêu trì nghiệp vụ liên lục tổ chức Các tiêu chí hiệu cần thiết giám sát mức độ sẵn sàng ICT để đạt mục tiêu - Điều đưa hướng dẫn để triển khai vận hành IRBC như: triển khai thành phần chiến lược IRBC, phản ứng cố, tài liệu kế hoạch IRBC, đào tạo nâng cao lực, kiểm soát tài liệu IRBC - Điều hướng dẫn theo dõi soát sét IRBC: trì IRBC, kiểm tốn nội bộ, quản lý sốt sét, phép đo tiêu chí thực sẵn sàng ICT - Điều hướng dẫn cải tiến IRBC gồm: cải tiến liên tục, hành gồm hiệu chỉnh, hành động phòng ngừa 25 4.3 Bảng đối chiếu tiêu chẩn viện dẫn Tiêu chuẩn Việt Nam TCVN-xxx:2014/BTTT Tiêu chuẩn viện dẫn ISO/IEC 27031:2011 Sửa đổi, bổ sung Phạm vi áp dụng Scope Chấp nhận nguyên vẹn Tài liệu viện dẫn Normative references Chấp nhận nguyên vẹn Thuật ngữ định nghĩa Terms and definitions Chấp nhận nguyên vẹn Các chữ viết tắt Abbreviations Tổng quan Overview 5.1 Vai trò IRBC 5.1 The role of IRBC in quản lý liên tục nghiệp vụ Business Continuity Management Bổ sung cho phù hợp Chấp nhận nguyên vẹn 5.2 Nguyên tắc IRBC 5.2 The Principles of IRBC Chấp nhận nguyên vẹn 5.3 Các phần tử IRBC 5.3 The Elements of IRBC Chấp nhận nguyên vẹn 5.4 Thành lợi ích IRBC Outcomes and benefits of IRBC Chấp nhận nguyên vẹn 5.5 Thiết lập IRBC 5.4 Establishing IRBC Chấp nhận nguyên vẹn 5.6 Sử dụng PDCA để thiết lập IRBC 5.5 Using Plan Do Check Act to establish IRBC Chấp nhận nguyên vẹn 5.7 Trách nhiệm quản lý 5.6 Management Responsibility Chấp nhận nguyên vẹn Hoạch định IRBC IRBC Planning 6.1 Tổng quát 6.1 General Chấp nhận nguyên vẹn 6.2 Nguồn lực 6.2 Resources Chấp nhận nguyên vẹn 6.3 Xác định yêu cầu 6.3 Defining requirements Chấp nhận nguyên vẹn 6.4 Xác định tuỳ chọn chiến lược IRBC 6.4 Determining IRBC Strategy Options Chấp nhận nguyên vẹn 26 6.5 Phê duyệt 6.5 Sign Off Chấp nhận nguyên vẹn 6.6 Nâng cao khả IRBC 6.6 Enhancing IRBC Capability Chấp nhận nguyên vẹn 6.7 Tiêu chí hiệu sẵn sàng ICT 6.7 ICT Readiness Performance Criteria Chấp nhận nguyên vẹn Triển khai vận hành Implementation and Operation 7.1 General 7.1 Tổng quát Chấp nhận nguyên vẹn 7.2 Triển khai phần tử chiến lược IRBC 7.2 Implementing the Elements of the IRBC Strategies Chấp nhận nguyên vẹn 7.3 Phản ứng cố 7.3 Incident Response Chấp nhận nguyên vẹn 7.4 Tài liệu kế hoạch IRBC 7.4 IRBC Plan Documents Chấp nhận nguyên vẹn 7.5 Chương trình nâng cao 7.5 Awareness, competency nhận thức, lực đào and training program tạo Chấp nhận nguyên vẹn 7.6 Kiểm soát tài liệu 7.6 Document Control Chấp nhận nguyên vẹn Theo dõi sốt xét 8.1 Duy trì IRBC Monitor and Review 8.1 Maintaining IRBC Chấp nhận nguyên vẹn 8.2 Kiểm toán nội 8.2 IRBC Internal Audit Chấp nhận nguyên vẹn 8.3 Quản lý soát xét 8.3 Management Review Chấp nhận nguyên vẹn 8.4 Các phép đo tiêu chí thực sẵn sàng ICT 8.4 Measurement of ICT Readiness Performance Criteria Chấp nhận nguyên vẹn Cải tiến IRBC 9.1 Cải tiến liên tục IRBC improvement 9.1 Continual improvement Chấp nhận nguyên vẹn 9.2 Hành động hiệu chỉnh 9.2 Corrective action Chấp nhận nguyên vẹn 9.3 Hành động phòng ngừa 9.3 Preventive action Chấp nhận nguyên vẹn 27 10 Phụ lục A (tham khảo) IRBC mốc gián đoạn Annex A (informative) IRBC and milestones during a disruption Chấp nhận nguyên vẹn 11 Phụ lục B (tham khảo) Hệ thống nhúng sẵn sàng cao Annex B (informative) High availability embedded system Chấp nhận nguyên vẹn 12 Phụ lục C (tham khảo ) Đánh giá kịch lỗi Annex B (informative) High availability embedded system Chấp nhận nguyên vẹn 13 Phụ lục D (tham khảo) Phát triển tiêu chí hiệu Annex D (informative) Developing Performance Criteria Chấp nhận nguyên vẹn Kết luận kiến nghị 5.1 Kiến nghị - Đề xuất thay đổi tên dự thảo tiêu chuẩn thành “Công nghệ thơng tin – Các kỹ thuật an tồn – Hướng dẫn cho sẵn sàng công nghệ thông tin truyền thơng để đảm bảo tính liên tục nghiệp vụ” 5.2 Kết luận Hiện tổ chức ngày ứng dụng ICT hoạt động nghiệp vụ, kinh doanh Việc quản lý ICT, tính liên tục khía cạnh anh tồn khác tạo thành phần thiếu yêu cầu liên tục nghiệp vụ Tuy nhiên chưa có chuẩn Việt Nam đưa hướng dẫn vấn đề Chính việc xây dựng dự thảo tiêu chuẩn công nghệ thông tin, kỹ thuật an tồn hướng dẫn cơng nghệ thơng tin truyền thơng cho tính liên tục nghiệp vụ hoạt động cần thiết nhằm tạo hệ thống tiêu chuẩn liên quan đến an tồn thơng tin, áp dụng Việt Nam Ngoài việc xây dựng dự thảo tiêu chuẩn cịn góp phần cho hoạt động nghiên cứu, hướng dẫn cho tổ chức đưa yêu cầu, kế hoạch quy trình để đảm bảo tính liên tục nghiệp vụ 28 Thư mục tài liệu tham khảo [1] SS 540:2008, Tiêu chuẩn Singapore cho Quản lý trì nghiệp vụ liên tục SS 540:2008, Singapore Standard for Business Continuity Management [2] BS 25999-1:2006, Quản lý trì nghiệp vụ liên tục — Phần 1: Quy tắc thực hành BS 25999-1:2006, Business continuity management — Part 1: Code of practice [3] ISO 9000:2005, Các hệ thống quản lý chất lượng – Nền tảng từ vừng ISO 9000:2005, Quality management systems — Fundamentals and vocabulary [4] ISO/IEC 18043:2006, Công nghệ thông tin – Các kỹ thuật an toàn – Lựa chọn, triển khai vận hành hệ thống phát xâm nhập ISO/IEC 18043:2006, Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems [5] ISO/IEC 20000-1:2005, Công nghệ thông tin – Quản lý dịch vụ – Phần 1: Đặc tả kỹ thuật ISO/IEC 20000-1:2005, Information technology — Service management — Part 1: Specification [6] ISO/IEC 20000-1:2005, Công nghệ thông tin – Quản lý dịch vụ – Phần 2: Quy tắc thực hành ISO/IEC 20000-2:2005, Information technology — Service management — Part 2: Code of practice [7] ISO 22301, An ninh xã hội - Các hệ thống quản lý tính liên tục chuẩn bị - Các yêu cầu ISO 22301, Societal security — Preparedness and continuity management systems — Requirements 2) [8] Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn dịch vụ khôi phục thảm họa công nghệ thông tin truyền thông ISO/IEC 24762:2008, Information technology — Security techniques — Guidelines for information andcommunications technology disaster recovery services 29 [9] ISO/IEC 27003, Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance [10] ISO/IEC 27004, Công nghệ thông tin - Các kỹ thuật an tồn - Quản lý an tồn thơng tin - Đo lường ISO/IEC 27004, Information technology — Security techniques — Information security management —Measurement [11] ISO 31010:2009, Quản lý rủi ro - Các kỹ thuật đánh giá rủi ro ISO 31010:2009, Risk management — Risk assessment techniques 30 ... xây dựng dự thảo tiêu chuẩn công nghệ thông tin, kỹ thuật an tồn hướng dẫn cơng nghệ thơng tin truyền thơng cho tính liên tục nghiệp vụ hoạt động cần thiết nhằm tạo hệ thống tiêu chuẩn liên quan... nghị - Đề xuất thay đổi tên dự thảo tiêu chuẩn thành ? ?Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn cho sẵn sàng công nghệ thông tin truyền thơng để đảm bảo tính liên tục nghiệp vụ? ?? 5.2... Dự thảo TCVN ? ?Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an tồn thơng tin cho truyền thông liên tổ chức, liên ngành” Dự thảo TCVN ? ?Công nghệ thông tin – Các kỹ thuật an tồn – Quản lý an