115 vết sự cố; Phương án dự phòng và duy trì hoạt động liên tục.
Các qui định về quản lý ATTT có trong bộ tiêu chuẩn của ISO/IEC 27000, ví dụ điển hỉnh là ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27005.
4.1.3.c. Quy trình thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến hệ thống quản lý ATTT (ISMS:Information security management system) của tổ chức
Trong tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) về CNTT - Hệ thống quản lí ATTT - Các yêu cầu có giới thiệu mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến ISMS của tổ chức. ISO gọi đây là tiếp cận theo qui trình nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng của việc hiểu các yêu cầu ATTT của tổ chức và các sự cần thiết phải thiết lập chính sách và mục tiêu cho ATTT, việc triển khai và điều hành các biện pháp quản lý rủi ro ATTT của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức, việc giám sát và soát xét hiệu suất và hiệu quả của hệ thống ISMS và việc thường xuyên cải tiến dựa trên các khuôn khổ mục tiêu đã đặt ra.
Tiêu chuẩn này chấp nhận mô hình “Lập kế hoạch - Thực hiện - Kiểm tra - Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống ISMS. Hình 4.2 mô tả cách hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ vọng về ATTT của các bên liên quan, sau khi tiến hành các quy trình và hành động cần thiết sẽ đáp ứng ATTT theo như các yêu cầu và kỳ vọng đã đặt ra. Hình 4.2 cũng chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các điều 4, 5, 6, 7 và 8 của tiêu chuẩn.
Hình 4. 2 Áp dụng qui trình PDCA cho các quy trình hệ thống quản lý ATTT28