C (Kiểm tra) giám sát và soát xét ISMS
A (Hành động) Duy trì và cải tiến ISMS
4.4.2. Một số tiêu chuẩn ATTT điển hình
4.4.2.a. Tiêu chuẩn ATTT điển hình quốc tế
Bộ tiêu chuẩn về hệ thống quản lý ATTT (ISO/IEC 27000scung cấp mô hình phục vụ cho việc thiết lập và vận hành một hệ thống quản lý ATTT (ISMS). Việc triển khai áp dụng ISMS theo các nguyên tắc của bộ tiêu chuẩn quốc tế ISO/IEC 27000 được biết đến là một trong các biện pháp phòng ngừa sự cố ATTT hữu hiệu. Có thể nói rằng, ISMS là một phần của hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, soát xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức.
ISMS hỗ trợ các tổ chức thuộc mọi loại hình, mọi quy mô để triển khai và vận hành một hệ thống quản lý ATTT. Thông qua sử dụng ISMS, các tổ chức có thể xây dựng và triển khai một bộ khung cho việc quản lý an toàn các tài sản thông tin của họ, bao gồm các thông tin tài chính, sở hữu trí tuệ, chi tiết về nhân sự, hoặc các thông tin cần có độ tin cậy cung cấp bởi khách hàng hay bên thứ ba.
Bộ tiêu chuẩn ISMS bao gồm các nội dung chínhnhư sau:
- Các tiêu chuẩn mô tả tổng quan và từ vựng vựng cho hệ thống quản lý ATTT:
ISO/IEC 27000.
- Các tiêu chuẩn xác định các yêu cầu bao gồm: ISO/ IEC 27001: CNTT - Các kỹ
thuật an toàn - Hệ thống quản lý ATTT - Các yêu cầu; ISO/IEC 27006: CNTT - Các kỹ
thuật an toàn - Các yêu cầu đối với các tổ chức đánh giá và cấp chứng nhận hệ thống quản lý ATTT.
- Các tiêu chuẩn hướng dẫn chung bao gồm: ISO/IEC 27002: CNTT - Các kỹ thuật an toàn -Quy tắc thực hành quản lý ATTT; ISO/IEC 27003: CNTT - Các kỹ thuật an toàn -
Hướng dẫn triển khai hệ thống quản lý ATTT; ISO/IEC 27004: CNTT - Các kỹ thuật an
toàn - Quản lý ATTT - Đo lường đánh giá; ISO/IEC 27005: CNTT - Các kỹ thuật an toàn - Quản lý rủi ro ATTT; ISO/IEC 27007: CNTT - Các kỹ thuật an toàn - Hướng dẫn đánh giá hệ thống quản lý ATTT; ISO/IEC 27008: CNTT - Các kỹ thuật an toàn - Hướng dẫn đánh giá các biện pháp kiểm soát hệ thống ISMS.
- Các tiêu chuẩn mô tả hướng dẫn các ngành cụ thể: ISO/IEC 27010: CNTT - Các kỹ thuật an toàn - Quản lý ATTT cho truyền thông; ISO/IEC 27011: CNTT- Các kỹ thuật an toàn - Hướng dẫn ATTT cho các doanh nghiệp viễn thông dựa trên ISO/IEC 27002.ISO/IEC 27015: CNTT - Các kỹ thuật an toàn - Hướng dẫn ATTT cho các dịch vụ tài chính; ISO 27799: Thông tin sức khỏe- Quản lý ATTT trong lĩnh vực y tế khi áp dụng
ISO/IEC 27002.
4.4.2.b. Tiêu chuẩn ATTT của Việt Nam
126 chuẩn, quy chuẩn kỹ thuật trong lĩnh vực ATTT ngoài tiêu chuẩn TCVN 7326-1:2003. Kể từ năm 2007 với sự ra đời của Nghị định số 64-2007/NĐ-CP về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước đã đặt ra yêu cầu xây dựng và hoàn thiện hệ thống tiêu chuẩn ATTT nhằm đáp ứng nhu cầu thực tiễn. Tới nay, có thêm nhiều tiêu chuẩn quốc gia về ATTT được ban hành, hầu hết các tiêu chuẩn quốc gia được xây dựng theo cách dịch sang tiếng Việt, chấp nhận nguyên vẹn bản gốc ISO/IEC. Các tiêu chuẩn ATTT tiêu biểu tại Việt Nam được phân chia thành hai nhóm, nhóm tiêu chuẩn cho hệ thống thông tin và nhóm tiêu chuẩn cho sản phẩm ATTT.
Nhóm tiêu chuẩn cho hệ thống thông tin
Các tiêu chuẩn đã ban hành, gồm mười sáu tiêu chuẩn:
1) TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu
2) TCVN ISO/IEC 27002:2011 Công nghệ thông tin-Các kỹ thuật an toàn- Quy tắc thực hành Quản lý an toàn thông tin
3) TCVN 8709-1:2011 ISO/IEC 15408-1:2009 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng quát
4) TCVN 8709-2:2011 ISO/IEC 15408-2:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an toàn
5) TCVN 8709-3:2011 ISO/IEC 15408-3:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an toàn
6) TCVN 10295:2014 ISO/IEC 27005:2011 Công nghệ thông tin-Các kỹ thuật an toàn- Quản lý rủi ro an toàn thông tin
7) TCVN 10541:2014 ISO/IEC 27003:2010 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin
8) TCVN 10543:2014 ISO/IEC 27010:2012 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành
9) TCVN 9801-3:2014 ISO/IEC 27033-3:2010 Công nghệ thông tin - Kỹ thuật an toàn - An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát
10) TCVN 9801-2:2015 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế và triển khai an toàn mạng
11) TCVN 11238:2015 Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
12) TCVN 11239:2015 Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố an toàn thông tin
13) TCVN 11386:2016 Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp đánh giá an toàn công nghệ thông tin
14) TCVN 11393-1:2016 ISO/IEC 13888-1:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 1: Tổng quan
15) TCVN 11393-2:2016 ISO/IEC 13888-2:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 2: Các cơ chế sử dụng kỹ thuật đối xứng
127 16) TCVN 11393-3:2016 ISO/IEC 13888-3:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Chống chối bỏ - Phần 3: Các cơ chế sử dụng kỹ thuật bất đối xứng
Nhóm tiêu chuẩn cho sản phẩm ATTT
Các tiêu chuẩn đã ban hành, gồm ba tiêu chuẩn:
1) TCVN 8709-1:2011 ISO/IEC 15408-1:2009 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 1: Giới thiệu và mô hình tổng quát
2) TCVN 8709-2:2011 ISO/IEC 15408-2:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 2: Các thành phần chức năng an toàn
3) TCVN 8709-3:2011 ISO/IEC 15408-3:2008 Công nghệ thông tin- Các kỹ thuật an toàn- Các tiêu chí đánh giá an toàn CNTT- Phần 3: Các thành phần đảm bảo an toàn.