CHƯƠNG1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THÔNG TIN
2.5. Sự khác biệt giữa ISO/IEC 27001: 2005 với ISO/IEC 27002: 2005
2005
ISO/IEC 27001: 2005 ban hành năm 2005 “Công nghệ thông tin – Các phương pháp bảo mật – Hệ thống quản lý an ninh thông tin – Các yêu cầu” (Information Technology – Security techniques – Information security
45
management system – Requirements”). Mục đích là đưa ra những yêu cầu của hệ thống quản lý an tồn thơng tin phù hợp với những tổ chức cần chứng minh khả năng cung cấp sản phẩm và dịch vụ đáp ứng yêu cầu của khách hàng và luật định
ISO/IEC 27002: 2005 ban hành ngày 15/06/2005 “Công nghệ thông tin – Các kỹ thuật an ninh – Quy tắc thực hành quản lý an ninh thông tin” (“Information Technology – Security techniques – Code of practice for information security management”). Mục đích là đưa ra quy tắc thực hành an ninh thông tin, đưa ra 134 biện pháp nhằm kiểm soát, chia làm 11 mục tiêu thực hành kiểm sốt an ninh thơng tin được chấp nhận rộng rãi.
Bộ tiêu chuẩn ISO/IEC 27001 tập trung vào tổ chức và chi tiết về các yêu cầu đối với hệ thống quản lý an tồn thơng tin của một tổ chức ( ISMS) có thể được kiểm tốn. ISO/IEC 27002 lại tập trung hơn vào các cá nhân và cung cấp một quy tắc thực hành để sử dụng bởi các cá nhân trong một tổ chức.
ISO/IEC 27002 cung cấp các khuyến nghị thực hành tốt nhất về quản lý an ninh thơng tin hoặc duy trì các hệ thống quản lý an ninh thông tin (ISMS). Trong khi đó ISO/IEC 27001 lại định nghĩa các yêu cầu kiểm toán.
ISO/IEC 27001 đưa ra những yêu cầu. Nếu một tổ chức muốn chứng nhận hệ thống quản lý an ninh thơng tin của nó thì cần phải tn thủ tất cả các yêu cầu trong tiêu chuẩn ISO/IEC 27001.
Mặt khác, ISO/IEC 27002 là những thực tiễn tốt nhất mà không phải là bắt buộc. Một tổ chức không cần phải tuấn thủ theo tiêu chuẩn ISO/IEC 27002 nhưng nó có thể sử dụng như là nguồn cảm hứng để thực hiện các yêu cầu trong tiêu chuẩn ISO/IEC 27001.
Một tổ chức có thể được cấp chứng nhận theo tiêu chuẩn ISO/IEC 27001 chứ khơng phải là ISO/IEC 27002 bời vì ISO/IEC 27001 là một tiêu chuẩn quản lý. Hệ thống quản lý an tồn thơng tin phải được lên kế hoạch, thực hiện, giám sát, xem xét và cải thiện. Nó có nghĩa là quản lý phải có trách nhiệm riêng biệt của nó, mà mục tiêu phải được thiết lập, đo lường và đánh giá mà kiểm toán nội bộ phải được thực hiện. Tất cả những yếu tố này được định nghĩa trong ISO/IEC 27001 chứ không phải trong ISO/IEC 27002.
ISO/IEC 27002 khơng có sự phân biệt giữa các điều khiển áp dụng đối với một tổ chức cụ thể. Mặt khác ISO/IEC 27001 quy định đánh giá rủi ro được
46
thực hiện để xác minh cho mỗi điều khiển. Hai tiêu chuẩn này không thể sáp nhập, tập hợp cùng nhau được vì nếu nó là một tiêu chuẩn duy nhất nó sẽ rất phức tạp và quá lớn để sử dụng thực tế.
Nếu bạn muốn xây dựng những nền tảng của an ninh thông tin trong tổ chức của bạn và đưa ra khn khổ của nó, bạn nên sử dụng tiêu chuẩn ISO/IEC 27001. Nếu bạn muốn thực hiện điều khiển thì nên sử dụng tiêu chuẩn ISO/IEC 27002. Nhưng nếu khơng có tiêu chuẩn ISO/IEC 27002 thì các điều khiển tại phụ lục A của tiêu chuẩn ISO/IEC 27001 không thể thực hiện được. Phụ lục A quy định rằng “mục tiêu kiểm soát và điều khiển từ các bảng sẽ được chọn như là một phần của quá trình ISMS quy định”.
47
CHƯƠNG 3: NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TỒN THƠNG TIN