d) Các yêu cầu pháp lý, hợp đồng và các yêu cầu khác áp dụng với bên được đánh giá: giúp
A.7. Ví dụ minh họa kiến thức và kỹ năng chuyên ngành của chuyên gia đánh giá về quản lý an ninh thông tin
ninh thông tin
Kiến thức và kỹ năng liên quan đến lĩnh vực này và việc ứng dụng các phương pháp, kỹ thuật, quá trình và thực tiễn trong lĩnh vực cụ thể cần đủ để giúp chuyên gia đánh giá kiểm tra hệ thống quản lý và tạo ra các kết quả và kết luận đánh giá phù hợp.
Ví dụ như:
- hướng dẫn từ các tiêu chuẩn như ISO/IEC 27000, TCVN ISO/IEC 27001 (ISO/IEC 27001), TCVN ISO/IEC 27002 (ISO/IEC 27002), TCVN ISO/IEC 27003 (ISO/IEC 27003), ISO/IEC 27004 và ISO/IEC 27005;
- nhận biết và xem xét đánh giá yêu cầu của khách hàng và các bên quan tâm;
- luật pháp và chế định về an ninh thông tin, ví dụ như sở hữu trí tuệ; nội dung, bảo vệ và lưu giữ hồ sơ của tổ chức; bảo vệ dữ liệu và quyền riêng tư; quy định kiểm soát mật mã; chống khủng bố; thương mại điện tử; chữ ký điện tử và chữ ký số; giám sát nơi làm việc; nghiên cứu lao động nơi làm việc, ngăn chặn viễn thông và theo dõi dữ liệu (ví dụ hòm thư điện tử), lạm dụng máy tính, thu thập chứng cứ điện tử, thử nghiệm thâm nhập, v.v…
- các quá trình, khoa học và công nghệ phục vụ quản lý an ninh thông tin;
- đánh giá rủi ro (nhận diện, phân tích và định mức) và các xu hướng công nghệ, các mối đe dọa và các lỗ hỏng;
- quản lý rủi ro an ninh thông tin;
- phương pháp và thực hành kiểm soát an ninh thông tin (điện tử và vật lý); - phương pháp và thực tiễn đối với tính toàn vẹn và độ nhạy của thông tin;
- phương pháp và thực tiễn đo lường và xem xét đánh giá hiệu lực của hệ thống quản lý an ninh thông tin và các kiểm soát liên quan;
- phương pháp và thực tiễn đo lường, theo dõi và ghi nhận việc thực hiện (bao gồm thử nghiệm đánh giá, và xem xét).
CHÚ THÍCH: Thông tin thêm, xem các tiêu chuẩn liên quan do Ban kỹ thuật ISO/IEC JTC1 và TCVN ISO/IEC JTC1 về quản lý an ninh thông tin xây dựng.