Tên gọi và ký hiệu Tiêu chuẩn quốc...

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

--------

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN KIỂM TOÁN HỆ THỐNG QUẢN LÝ

AN TOÀN THÔNG TIN

HÀ NỘI, 2014

1

MỤC LỤC

1. Tên gọi và ký hiệu Tiêu chuẩn quốc gia............................................................3

2. Đặt vấn đề.............................................................................................................3

2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước...........................................3

2.1.1 Tình hình tiêu chuẩn hoá trong nước........................................................3

2.1.2 Tình hình tiêu chuẩn hoá quốc tế...........................................................12

2.1.3 Lý do xây dựng tiêu chuẩn.....................................................................17

2.1.4 Mục đích xây dựng tiêu chuẩn...............................................................18

2.1.5 Vai trò của ISO/IEC 27007 trong bộ ISO/IEC 27000............................19

3. Sở cứ xây dựng tiêu chuẩn................................................................................20

3.1 Lựa chọn tiêu chuẩn tham chiếu........................................................................20

3.2 Phương pháp xây dựng tiêu chuẩn....................................................................20

3.3 Phạm vi áp dụng và khả năng áp dụng tiêu chuẩn tại Việt Nam.......................21

3.3.1 Phạm vi áp dụng:....................................................................................21

3.3.2 Khả năng áp dụng tiêu chuẩn tại Việt Nam............................................21

4. Nội dung dự thảo tiêu chuẩn kỹ thuật.............................................................22

4.1 Giới thiệu nội dung của Dự thảo tiêu chuẩn......................................................22

4.2 Cấu trúc và nội dung của Dự thảo tiêu chuẩn....................................................22

4.3 Bảng đối chiếu tiêu chuẩn viện dẫn...................................................................25

5. Kết luận và đề xuất kiến nghị...........................................................................28

6. Thư mục tài liệu tham khảo.............................................................................29

2

1. Tên gọi và ký hiệu Tiêu chuẩn quốc gia

Tên dự thảo tiêu chuẩn quốc gia : “Công nghệ thông tin- các kỹ thuật an toàn -Hướng dẫn kiểm toán hệ thống quản lý an toàn thông tin”.

Mã số: TCVN 27007:XXXX

2. Đặt vấn đề

2.1 Tình hình tiêu chuẩn hoá trong nước và ngoài nước

2.1.1 Tình hình tiêu chuẩn hoá trong nước

Việc triển khai TCVN ISO/IEC 27001:2009 là yêu cầu cấp thiết đối với các tổ chức, doanh nghiệp nhằm áp dụng các biện pháp, xây dựng các quy trình đảm bảo an toàn thông tin. Rất nhiều cơ quan nhà nước, Bộ/ngành, Sở Thông tin và Truyền thông các tỉnh/thành phố thường tham khảo các tiêu chuẩn về an toàn thông tin nói chung và tiêu chuẩn TCVN ISO/IEC 27001:2009 nói riêng để xây dựng quy chế đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng công nghệ thông tin.

Bộ Thông tin và Truyền thông hiểu rõ điều này và đã có nhiều biện pháp hỗ trợ cơ quan nhà nước, doanh nghiệp trong việc cung cấp tư vấn, giúp đỡ quá trình xây dựng, đánh giá để đạt chứng nhận ISO/IEC 27001 và điển hình là thực hiện dự án “Tư vấn hỗ trợ doanh nghiệp đánh giá, lấy chứng chỉ ISO 27001”. Kết quả của dự án hỗ trợ nhiều doanh nghiệp đạt chứng chứng nhận ISO/IEC 27001, mở hàng chục lớp bồi dưỡng với hàng trăm lượt học viên đào tạo liên quan đến chứng chỉ ISO 27001.

Ngoài ra Bộ Thông tin và Truyền thông đẩy mạnh việc xây dựng và ban hành các tiêu chuẩn về an toàn thông tin như dự án 31 tiêu chuẩn về an toàn thông tin và một số các tiêu chuẩn về an toàn thông tin được thực hiện dưới dạng đề tài nghiên cứu.

Một số tiêu chuẩn về công nghệ thông tin nói chung và các tiêu chuẩn về an toàn thông thông tin nói riêng đã được ban hành thành Tiêu chuẩn quốc gia (09 Tiêu chuẩn).

a) Tiêu chuẩn TCVN ISO/IEC 27001:2009

TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu”.

3

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27001:2005 “Information technology – Security techniques – Information security management system” do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam - Bộ TTTT xây dựng và được ban hành TCVN năm 2009 gồm các nội dung cụ thể như sau:

- Phạm vi áp dụng

- Tài liệu viện dẫn

- Thuật ngữ và định nghĩa

- Hệ thống quản lý an toàn thông tin

- Trách nhiệm của ban quản lý

- Đánh giá nội bộ hệ thống ISMS

- Soát xét của ban quản lý đối với hệ thống ISMS

- Cải tiến hệ thống ISMS

- 03 phụ lục tham khảo

b) Tiêu chuẩn TCVN ISO/IEC 27002:2011

TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin”.

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn ISO/IEC 27002:2005 “Information technology – Security techniques – Code of practice for infomation security management” được Viện KTBĐ - Bộ TTTT xây dựng ban hành TCVN năm 2011 gồm các nội dung cụ thể như sau:


- Thuật ngữ và định nghĩa

- Đánh giá và xử lý rủi ro

- Chính sách an toàn thông tin

- Tổ chức đảm bảo an toàn thông tin

- Quản lý tài sản

- Đảm bảo an toàn thông tin từ nguồn nhân lực

- Đảm bảo an toàn vật lý và môi trường

4

- Quản lý truyền thông và vận hành

- Quản lý truy cập

- Tiếp nhận, phát triển và duy trì các hệ thống thông tin

- Quản lý sự cố an toàn thông tin

- Quản lý sự liên tục của hoạt động nghiệp vụ

- Sự tuân thủ

c) Bộ tiêu chuẩn về Các tiêu chí đánh giá an toàn CNTT (03 phần).

Do Trung tâm VNCERT - Bộ thông tin và Truyền thông xây dựng.

TCVN 8709-1:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 15408-1:2009 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 1: Introduction and General Model". Tiêu chuẩn này được ban hành TCVN năm 2011, nội dung của tiêu chuẩn này cho phép thực hiện so sánh các kết quả đánh giá an toàn độc lập, cung cấp một tập các yêu cầu về chức năng an toàn cho các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn. Các sản phẩm CNTT này có thể dưới dạng phần cứng, phần mềm, phần sụn. Ngoài ra tiêu chuẩn này còn đánh giá giá thiết lập một mức tin cậy về các chức năng an toàn toàn cho các sản phẩm và hệ thống CNTT, về các biện pháp đảm bảo áp dụng mà thoả mãn các yêu cầu nêu trên. Các kết quả đánh giá có thể giúp người dùng xác định xem sản phẩm hoặc hệ thông thống CNTT có thoả mã các yêu cầu an toàn đưa ra hay không?

TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 15408-2:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 2: Security functional components". Tiêu chuẩn này được ban hành TCVN năm 2011, nội dung của Tiêu chuẩn này là: Đưa ra các yêu cầu an toàn làm cơ sở cho các yêu cầu chức năng an toàn biểu thị trong Hồ sơ bảo

5

vệ (Protection Profile - PP) hoặc một Đích An toàn (Security Target - ST). Các yêu cầu này mô tả các hành vi an toàn mong muốn dự kiến đối với một Đích đánh giá (TOE – Target of Evaluation) hoặc môi trường CNTT của TOE và cần thỏa mãn các mục tiêu an toàn như đã công bố trong một PP hoặc một ST. Các yêu cầu này mô tả các đặc tính an toàn người dùng có thể phát hiện ra thông qua tương tác trực tiếp (nghĩa là thông qua đầu vào, đầu ra) với sản phẩm /hệ thống CNTT hoặc qua phản ứng của sản phẩm /hệ thống CNTT với các tương tác.

TCVN 8709-3:2011 "Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần đảm bảo an toàn".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 15408-3:2008 " Information Technology – Security Techniques – Evaluation Criteria for IT Security –Part 3: Security assurance components". Tiêu chuẩn này được ban hành TCVN năm 2011, nội dung của Tiêu chuẩn này là: Nêu ra các thành phần đảm bảo bảo an toàn thông tin là cơ sở cho các yêu cầu đảm bảo an toàn thông tin được biểu thị trong một Hồ sơ bảo vệ (Protection Profile – PP) hoặc một Đích An toàn (Security Target – ST). Các yêu cầu này tạo thành một cách thức chuẩn để biểu thị các yêu cầu đảm bảo cho một Đích đánh giá (TOE – Target of Evaluation). Tiêu chuẩn này liệt kê danh mục các thành phần, các họ và lớp đảm bảo đồng thời xác định các tiêu chí đánh giá cho PPs và STs, biểu thị các cấp đảm bảo đánh giá dùng để xác định các thang bậc ISO/IEC 15408 định trước cho đánh giá tính đảm bảo của các TOEs, còn gọi là các Cấp đảm bảo đánh giá (EALs – Evaluation Assurance Levels).

d) TCVN 10295:2014

TCVN “Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin”

TCVN được xây dựng hoàn toàn tương đương với ISO/IEC 27005:2011. TCVN này đã được Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam - Bộ Thông tin và Truyền thông xây dựng dự thảo từ năm 2012.

Nội dung chính của tiêu chuẩn

- Tổng quan về quy trình quản lý rủi ro an toàn thông tin

- Thiết lập ngữ cảnh

- Đánh giá rủi ro an toàn thông tin

6

- Xử lý rủi ro an toàn thông tin

- Chấp nhận rủi ro an toàn thông tin

- Truyền thông và tư vấn rủi ro an toàn thông tin

- Giám sát và soát xét rủi ro an toàn thông tin

- 07 Phụ lục tham khảo

e) Tiêu chuẩn TCVN 9965:2013

TCVN 9965:2013 "Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27013:2012 "Information technology - Security techniques - Guidance on the intgrated implementtation of ISO/IEC 27001 and ISO/IEC 20000-1 ". Tiêu chuẩn này do Viện Tiêu chuẩn chất lượng Việt Nam xây dựng và ban hành TCVN năm 2013 gồm các nội dung cụ thể như sau:


- Tài liệu viện dẫn

- Tổng quan TCVN ISO/IEC 27001:2009 và ISO/IEC 20000-1

- Tiếp cận việc triển khai tích hợp

- Xem xét việc triển khai tích hợp

- 02 Phụ lục (Tham khảo): Sự phù hợp giữa TCVN ISO/IEC 27001:2009 và ISO/IEC 20000-1:2011; So sánh thuật ngữ trong ISO/IEC 27000:2009 và ISO/IEC 20000-1:2011.

f) Tiêu chuẩn TCVN 9801-1:2013

TCVN 9801-1:2013 "Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng - Phần 1: Tổng quan và khái niệm".

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27033-1:2009 "INformation technology - Security techniques - Network security - Part1: Overview and concepts". Tiêu chuẩn này Viện tiêu chuẩn chất lượng Việt Nam xây dựng và ban hành TCVN năm 2013 gồm các nội dung cụ thể sau:

7

Tiêu chuẩn TCVN 9801-1:2013 cung cấp tổng quan về an toàn mạng và các định nghĩa liên quan và:

- Cung cấp hướng dẫn về việc nhận biết và phân tích các rủi ro an toàn mạng và xác định các yêu cầu an toàn mạng dựa trên các phân tích đó;

- Cung cấp tổng quan những biện pháp hỗ trợ các kiến trúc an toàn mạng và các biện pháp kỹ thuật liên quan;

- Hướng dẫn các phương pháp để đạt được kiến trúc an toàn mạng có chất lượng tốt, xác định rủi ro, thiết kế các biện pháp liên quan tới kịch bản mạng và lĩnh vực công nghệ mạng.

- Nêu các vấn đề liên quan đến triển khai và vận hành các biện pháp an toàn mạng, giám sát và soát xét liên tục các biện pháp triển khai an toàn mạng.

g) Tiêu chuẩn TCVN ISO 19011:2013

TCVN ISO 19011:2013 "Hướng dẫn đánh giá hệ thống quản lý"

Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO 19011:2011 "Guidelines for auditing management systems" tiêu chuẩn này do Ban kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 176 xây dựng và được ban hành năm 2013.

Tiêu chuẩn này đưa ra hướng dẫn về đánh giá hệ thống quản lý, bao gồm các nguyên tắc đánh giá, quản lý chương trình đánh giá và tiến hành các cuộc đánh giá hệ thống quản lý, cũng nhưng hướng dẫn về xem xét đánh giá năng lực của các cá nhân tham gia và quá trình đánh giá gồm cả người quản lý chương trình đánh giá, chuyên gia đánh giá và đoàn đánh giá.

Một số tiêu chuẩn thuộc bộ ISO/IEC 27000 đã được xây dựng dự thảo tiêu chuẩn và được thẩm định chờ cơ quan chức năng ban hành (07 tiêu chuẩn).

a) Dự thảo TCVN ISO/IEC 27000

Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 "Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và Từ vựng".

Dự thảo tiêu chuẩn TCVN ISO/IEC 27000 hoàn toàn tương đương với tiêu chuẩn quốc tế: ISO/IEC 27000:2012

b) Dự thảo TCVN ISO/IEC 27003

8

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an toàn thông tin” được xây dựng hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27003:2010 "Information technology – Security techniques – Information security management system implementation guidance". Tiêu chuẩn này do Viện KHKTBĐ - Bộ Thông tin và Truyền thông xây dựng và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014.

Tiêu chuẩn này tập trung vào các kía cạnh then chốt để thiết kế và triên khai thành công một hệ thống quản lý an toàn thông tin(ISMS) theo TCVN ISO/IEC 27001:2009. Tiêu chuẩn này mô tả quy trình đặc tả và thiết kế ISMS từ lức khởi đầu đến khi đưa ra các kế hoạch triển khai bao gồm các nội dung:

- Nêu cấu trúc của tiêu chuẩn.

- Ban quản lý khởi động dự án ISMS.

- Xác định phạm vi, giới hạn và chính sách của ISMS.

- Tiến hành phân tích các yêu cầu an toàn thông tin.

- Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro

- Thiết kế ISMS.

- 05 Phụ lục

c) Dự thảo TCVN ISO/IEC 27004

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin – Đo lường”

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin – Đo lường” được xây dựng hoàn toàn tương đương với ISO/IEC 27004:2009. Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014.

Nội dung chính của tiêu chuẩn

- Tổng quan về đo lường an toàn thông tin

- Trách nhiệm của ban quản lý

- Lựa chọn các số đo và triển khai các bài đo

9

- Các hoạt động đo lường

- Phân tích dữ liệu và lập báo cáo kết quả đo

- Định lượng và hoàn thiện Chương trình đo lường an toàn thông tin.

- 02 Phụ lục về "Mẫu cấu trúc bài đo" và "ví dụ cấu trúc bài đo".

d) Dự thảo TCVN ISO/IEC 27010

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin cho truyền thông liên tổ chức, liên ngành”

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin cho truyền thông liên tổ chức, liên ngành” được xây dựng hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27010:2012. Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014.

Nội dung chính của tiêu chuẩn:

- Chính sách an toàn thông tin

- Tổ chức đảm bảo an toàn thông tin

- Quản lý tài sản

- Đảm bảo an toàn thông tin từ nguồn nhân lực

- Đảm bảo an toàn vật lý và môi trường

- Quản lý truyền thông và vận hành

- Quản lý truy cập

- Phát triển và duy trì các hệ thống thông tin

- Quản lý về các sự cố an toàn thông tin

- Quản lý sự liên tục của hoạt động nghiệp vụ

- Sự tuân thủ

- 04 Phụ lục tham khảo

e) Dự thảo TCVN ISO/IEC 27033-2

Dự thảo TCVN ISO/IEC 27033-2 "Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 2: Hướng dẫn thiết kế và triển khai an toàn mạng".

10

Dự thảo TCVN ISO/IEC 27033-2 tương đương với tiêu chuẩn quốc tế ISO/IEC 27033-2:2012. Dự thảo này đã được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Bộ Thông tin và Truyền thông tiến hành xây dựng dự thảo năm 2013 và đã được được nghiệm thu cấp Bộ, đang chờ các cơ quan chức năng thẩm định ban hành tiêu chuẩn quốc gia.

Tiêu chuẩn này đưa ra hướng dẫn cho tổ chức về lập kế hoạch, thiết kế, triển khai và lập tài liệu an toàn mạng.


- Chuẩn bị thiết kế an toàn mạng

- Thiết kế an toàn mạng

- Triển khai an toàn mạng

- 03 Phụ lục tham khảo về mẫu tài liệu và mô hình kiểm soát.

f) Dự thảo TCVN ISO/IEC 27033-3

Dự thảo TCVN ISO/IEC 27033-3 “Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng –Phần 3: Các kịch bản kết nối mạng tham chiếu – Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát”.

Dự thảo TCVN ISO/IEC 27033-3 tương đương với tiêu chuẩn quốc tế ISO/IEC 27033-3:2010. Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2012 và đã được Viện Tiêu chuẩn đo lường chất lượng thẩm định năm 2014.


- Các dịch vụ truy cập Internet cho nhân viên;

- Các dịch vụ doanh nghiệp tới doanh nghiệp;

- Các dịch vụ doanh nghiệp tới khách hàng;

- Các dịch vụ hợp tác nâng cao;

- Phân đoạn mạng;

- Hỗ trợ nối mạng cho nhà riêng và văn phòng kinh doanh nhỏ;

- Truyền thông di động;

- Hỗ trợ kết nối mạng cho người sử dụng di chuyển;

11

- Các dịch vụ thuê ngoài;

g) Dự thảo TCVN ISO/IEC 27035

Dự thảo TCVN ISO/IEC 27035 “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý sự cố an toàn thông tin”.

Dự thảo TCVN ISO/IEC 27035 tương đương với tiêu chuẩn quốc tế ISO/IEC 27035:2011. Dự thảo TCVN này đã được Viện Khoa học kỹ thuật Bưu điện tiến hành xây dựng năm 2013 và đã được được nghiệm thu cấp Bộ, đang chờ các cơ quan chức năng thẩm định ban hành tiêu chuẩn quốc gia.

Tiêu chuẩn này đưa ra một phương pháp tiếp cận nhằm:

- Phát hiện, báo cáo và đánh giá các sự cố an toàn thông tin;

- Ứng phó và quản lý các sự cố an toàn thông tin;

- Phát hiện, đánh giá và quản lý các điểm yếu an toàn thông tin; và

- Liên tục cải tiến việc quản lý sự cố và an toàn thông tin sau khi thực hiện quản lý các sự cố và điểm yếu an toàn thông tin.

g) Nhiều tiêu chuẩn An toàn thông tin thuộc bộ 27000 được Bộ thông tin và Truyền thông đưa vào trong danh mục tiêu chuẩn cần xây dựng và đang được một số đơn vị trực thuộc Bộ xây dựng dự thảo (Bảng 1: Danh sách các tiêu chuẩn thuộc bộ 27000).

2.1.2 Tình hình tiêu chuẩn hoá quốc tế

Đã có trên 26 tiêu chuẩn thuộc bộ 27000 đã được tổ chức tiêu chuẩn quốc tế biên ban hành (Bảng 1), trong đó nhiều tiêu chuẩn được ban hành mới gần đây (năm 2013, 2014) như: ISO/IEC 27033-4: 2014; IS/IEC 27033-5:2014; ISO/IEC 27037:2014 và một số tiêu chuẩn được cập nhật phiên bản mới: ISO/IEC 27001:2013; ISO/IEC 27002:2013...

Tổ chức tiêu chuẩn quốc tế chuẩn bị ban hành nhiều tiêu chuẩn về bảo vệ an toàn thông tin, dữ liệu trên hệ thống đám mây (ISO/IEC 27018, ISO/IEC 27019), an toàn về lưu trữ (ISO/IEC 27040), hệ thống phát hiện và ngăn chặn xâm nhập (ISO/IEC 27039), điều tra, phân tích thu thập bằng chứng số (ISO/IEC 27041, 27042, 27043)....

Thông tin cụ thể về các tiêu chuẩn quốc tế và năm ban hành như sau:

12

1. ISO/IEC 27000: 2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng);

2. ISO/ IEC 27001: 2013 Information Technology – Security techniques – Information security management system – Requirements (Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin – Các yêu cầu);

3. ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for infomation security management (Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an ninh thông tin);

4. ISO/IEC 27003: 2010 Information technology - Security techniques - Information security management system implementation guidance (Công nghệ thông tin- Kỹ thuật an toàn- Hướng dẫn triển khai Hệ thống quản lý an ninh thông tin);

5. ISO/IEC 27004:2009 Information technology - Security techniques ― Information security management – Measurement (Công nghệ thông tin – Kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường);

6. ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk management (Công nghệ thông tin- Kỹ thuật an toàn - Quản lý rủi ro an ninh thông tin);

7. ISO/IEC 27006:2007 Information technology - Security techniques - Requirements for the accreditation of bodies providing audit and certification of information security management systems (Công nghệ thông tin - Kỹ thuật an toàn - Yêu cầu đối với cơ quan đánh giá và chứng nhận các hệ thống quản lý an toàn thông tin);

8. ISO/IEC 27007:2011 Information technology - Security techniques -Guidelines for information security management systems auditing (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn kiểm toán hệ thống quản lý an toàn thông tin quản lý);

9. ISO/IEC TR 27008:2011 Information technology - Security techniques - Guidelines for auditors on information security management systems controls (Công nghệ thông tin –Kỹ thuật an toàn - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an toàn thông tin);

13

10. ISO/IEC 27010:2012 Information technology - Security techniques - Information security management for intersector and inter-organisational communications (Công nghệ thông tin - Kỹ thuật an toàn - An toàn thông tin quản lý cho truyền thông liên ngành và liên tổ chức);

11. ISO/IEC 27011: 2008 Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông dựa trên tiêu chuẩn ISO / IEC 27002);

12. ISO/IEC 27013:2012 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 27001 and 20000-1 (Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1);

13. ISO/IEC 27014:2013 Information technology - Security techniques - Governance of information security (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn an toàn thông tin);

14. ISO/IEC TR 27015:2012 Information technology - Security techniques - Information security management guidelines for financial services (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin cho dịch vụ tài chính);

15. ISO/IEC TR 27016:2014 IT Security - Security techniques - Information security management - Organization economics (An toàn công nghệ thông tin - Kỹ thuật an toàn - Quản lý an toàn thông tin - Tổ chức kinh tế);

16.ISO/IEC 27018:2014 Information technology - Security techniques - Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors (Công nghệ thông tin - Kỹ thuật an toàn - Mã thực hành cho việc bảo vệ thông tin định danh cá nhân khi xử lý thông tin định danh cá nhân đám mây);

17.ISO/IEC TR 27019:2013 Information technology - Security techniques - Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin dựa trên ISO/IEC 27002 cho các hệ thống kiểm soát quy trình đặc trưng trong công nghiệp năng lượng);

14

18. ISO/IEC 27031: 2011 Information technology - Security techniques - Guidelines for information and communications technology readiness for business continuity (Công nghệ thông tin - Kỹ thuật an toàn- Hướng dẫn công nghệ thông tin và truyền thông cho về tính liên tục của nghiệp vụ);

19. ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn về an toàn không gian mạng);

20. ISO/IEC 27033:2009+ Information technology - Security techniques - Network security (Công nghệ thông tin - Kỹ thuật an toàn - an toàn mạng) gồm 05 phần đã được ban hành, phần 6 đang trong quá trình xây dựng; Thay thế bộ ISO/IEC 18028 về an toàn mạng IT.

21. ISO/IEC 27034:2011+ Information technology - Security techniques - Application security (Công nghệ thông tin - Kỹ thuật an toàn– an toàn ứng dụng). Đã ban hành phần 1 ISO/IEC 27034-1:2011 Overview and concepts (Tổng quan và khái niệm);

22. ISO/IEC 27035:2011 Information technology - Security techniques - Information security incident management (Công nghệ thông tin - Kỹ thuật an toàn -Quản lý sự cố an toàn thông tin) thay thế ISO TR 18044 về quản lý sự cố an toàn;

23. ISO/IEC 27036:2013+ IT Security - Security techniques - Information security for supplier relationships (An toàn công nghệ thông tin - Kỹ thuật an toàn - An toàn thông tin đối với mối quan hệ của nhà cung cấp);

24. ISO/IEC 27037:2012 Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence (Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn việc xác định, tập hợp, tìm kiếm và bảo quản bằng chứng số);

25. ISO/IEC 27038:2014 Information technology - Security techniques - Specification for digital redaction (Công nghệ thông tin - Kỹ thuật an toàn - Chỉ dẫn kỹ thuật biên soạn kỹ thuật số);

26. ISO 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002 (Thông tin y tế - Quản lý an toàn thông tin trong y tế sử dụng tiêu chuẩn ISO/IEC 27002).

15

Bảng 1: Quá trình xây dựng ban hành tiêu chuẩn quốc tế, chuẩn quốc gia về các tiêu thuộc bộ 27000.

STT Tiêu chuẩn quốc tế Tiêu chuẩn hoặc dự thảo tiêu chuẩn quốc gia

1 ISO/IEC 27000:2009 Dự thảo TCVN

2 ISO/IEC 27001:2005 TCVN ISO/IEC 27001:2009

3 ISO/IEC 27002:2005 TCVN ISO/IEC 27002:2011



6 ISO/IEC 27005:2011 TCVN 10295:2014

7 ISO/IEC 27006:2011 Đang xây dựng


9 ISO/IEC TR 27008:2011 Đang xây dựng



12 ISO/IEC 27013:2012 TCVN 9965 : 2013

13 ISO/IEC 27014:2013 Chưa xây dựng

14 ISO/IEC TR 27015:2012 Đang xây dựng

15 ISO/IEC TR 27016:2014 Chưa xây dựng


17 ISO/IEC TR 27019:2013 Chưa xây dựng


19 ISO/IEC 27032: 2012 Đang xây dựng

20 ISO/IEC 27033-1:2009 TCVN 9801-1:2013

ISO/IEC 27033-2:2012 Dự thảo TCVN

ISO/IEC 27033-3:2010 Dự thảo TCVN

16

STT Tiêu chuẩn quốc tế Tiêu chuẩn hoặc dự thảo tiêu chuẩn quốc gia

ISO/IEC 27033-4:2014 Chưa xây dựng

ISO/IEC 27033-5:2014 Chưa xây dựng






26 ISO 27799:2008 Chưa xây dựng

2.1.3 Lý do xây dựng tiêu chuẩn

- Tiêu chuẩn Quốc gia TCVN ISO 19011:2013 về Hướng dẫn đánh giá hệ thống quản lý đã được ban hành năm 2013. Tiêu chuẩn TCVN ISO 19011:2013 đưa ra hướng dẫn về đánh giá hệ thống quản lý bao gồm các nguyên tắc đánh giá, quản lý chương trình đánh giá và tiến hành các cuộc đánh giá hệ thống quản lý cũng như hướng dẫn về xem xét đánh giá năng lực của các cá nhân tham gia vào quá trình đánh giá bao gồm cả người quản lý chương trình đánh giá, chuyên gia đánh giá và đoàn đánh giá.

Tiêu chuẩn ISO/IEC 27007:2011 đưa ra hướng dẫn về quản lý chương trình đánh giá hệ thống quản lý an toàn thông tin (ISMS) và thực hiện đánh giá nội bộ và đánh giá bên ngoài theo yêu cầu của TCVN ISO/IEC 27011:2009. Trong đó có các hướng dẫn về năng lực và đánh giá năng lực của đánh giá viên cho ISMS. Tiêu chuẩn này có cấu trúc giống với tiêu chuẩn TCVN ISO 19011:2013 nhưng bổ sung thêm các hướng dẫn cụ thể về đánh giá cho ISMS. Vì vậy xây dựng dự thảo TCVN ISO/IEC 27007:XXXX và ban hành thành tiêu chuẩn quốc gia là cần thiết để bổ sung hướng dẫn đánh giá hệ thống quản lý nói chung và hướng dẫn về quản lý chương trình đánh giá ISMS nói riêng.

- Phù hợp với các tiêu chuẩn quốc tế về quản lý an toàn thông tin.

17

2.1.4 Mục đích xây dựng tiêu chuẩn

- Hoàn thiện bộ tiêu chuẩn quốc gia về hệ thống ISMS. Hiện nay tại Việt Nam đã ban hành tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu” và TCVN ISO/IEC 27002:2011 “Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Hướng dẫn thực hành quản lý an toàn thông tin” và nhiều tiêu chuẩn đã được thẩm định hoặc đã xây dựng xong dự thảo nên việc xây dựng dự thảo TCVN về "Hướng dẫn kiểm toán hệ thống quản lý an toàn thông tin" là phù hợp với yêu cầu chung.

- Hoàn thiện bộ các tiêu chuẩn liên quan đến hệ thống đánh giá. Hiện tại Tổng Cục tiêu chuẩn đo lường chất lượng Việt Nam - Bộ Khoa học và Công nghệ đã ban hành một số tiêu chuẩn quốc gia về: Nêu yêu cầu đối với tổ chức đánh giá/chứng nhận (TCVN ISO/IEC 17021:2011); Đưa ra tiêu chí đánh giá (Bộ 8709 gồm 03 phần ban hành năm 2011); hướng dẫn đánh giá hệ thống (TCVN ISO 19011:2013) tuy nhiên chưa có tiêu chuẩn quốc gia nào về "Hướng dẫn quản lý chương trình đánh giá một hệ thống ISMS". Vì vậy việc xây dựng tiêu chuẩn này là hết sức cần thiết để bổ sung, hoàn thiện các tiêu chuẩn về đánh giá hệ thống.

+ Một số tiêu chuẩn thuộc bộ các tiêu chuẩn đánh giá đã được ban hành tiêu chuẩn quốc gia hoặc trong quá trình dự thảo

Tiêu chuẩn nêu yêu cầu các tổ chức đánh giá/chứng nhận

TCVN ISO/IEC 17021:2011 - Đánh giá sự phù hợp – yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý.

ISO/IEC 27006:2011 nêu cầu với cơ quan đánh giá và chứng nhận ISMS.

Tiêu chuẩn lựa chọn phương pháp luận để đánh giá

ISO/IEC 18045:2008

Tiêu chuẩn đưa ra tiêu chí đánh giá an toàn CNTT

TCVN 8709-1:2011; TCVN 8709-2:2011;TCVN 8709-3:2011

Tiêu chuẩn hướng dẫn chuyên gia đánh giá ATTT

ISO/IEC TR 27008:2011

Tiêu chuẩn hướng dẫn đánh giá hệ thống

TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý.

18

2.1.5 Vai trò của ISO/IEC 27007 trong bộ ISO/IEC 27000

Hình 1: Mối quan hệ giữa các tiêu chuẩn trong bộ ISO/IEC 27000

Về cơ bản các bộ tiêu chuẩn ISO/IEC 27000 được chia thành 5 nhóm sau:

Nhóm 1: Tiêu chuẩn về tổng quan và thuật ngữ: ISO/IEC 27000.

Nhóm 2: Các tiêu chuẩn đưa ra để đánh giá chứng nhận: ISO/IEC 27001; ISO/IEC 27006.

Nhóm 3: Các tiêu chuẩn đưa ra các hướng dẫn hỗ trợ hệ thống quản lý an toàn thông tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004; ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008.

Nhóm 4: Các tiêu chuẩn đưa ra các hướng dẫn cho các ngành cụ thể: ISO/IEC 27010; ISO/IEC 27011; ISO/IEC 27015; ISO/IEC 27799.

Nhóm 5: Các tiêu chuẩn đưa ra các yêu cầu và các tiêu chuẩn hướng dẫn khác: ISO/IEC 27013; ISO/IEC 27031; ISO/IEC 27032; ISO/IEC 27033; ISO/IEC 27034; ISO/IEC 27035; ISO/IEC 27036...

19

Như vậy dựa vào Hình1 cũng như cách phân nhóm các tiêu chuẩn thuộc Bộ ISO/IEC 27000 ta có thể thấy được rằng tiêu chuẩn ISO/IEC 27007 là tiêu chuẩn dùng để hướng dẫn hỗ trợ hệ thống quản lý an toàn thông tin (ISMS).

3. Sở cứ xây dựng tiêu chuẩn

3.1 Lựa chọn tiêu chuẩn tham chiếu

Tiêu chuẩn ISO/IEC 27007:2011, Information technology – Security techniques – Guidelines Information security management systems auditing, được tổ chức tiêu chuẩn quốc tế ban hành ngày 15 tháng 11 năm 2011.

- Nhóm xây dựng dự thảo TCVN sử dụng tiêu chuẩn quốc tế ISO/IEC 27007:2011 làm căn cứ để xây dựng tiêu chuẩn quốc gia về "Hướng dẫn kiểm toán hệ thống quản lý an toàn thông tin" vì hiện tại đã có rất nhiều quốc gia trên thế giới lựa chọn tiêu chuẩn quốc tế ISO/IEC 27007:2011 làm tài liệu gốc để xây dựng tiêu chuẩn quốc gia của họ như:

+ Đan mạch: DS/ISO/IEC 27007:2011, ban hành 20/12/2011

+ Hà Lan: NEN-ISO/IEC 27007:2011, ban hành ngày 1/12/2011

+ Anh: BS ISO/IEC 27007:2011, ban hành ngày 31/12/2011

+ Serbia: SRPS ISO/IEC 27007:2013, ban hành ngày 23/9/2013...

3.2 Phương pháp xây dựng tiêu chuẩn

Dự thảo tiêu chuẩn TCVN ISO/IEC 27007:XXXX được xây dựng từ tiêu chuẩn ISO/IEC 27007:2011 được tổ chức tiêu chuẩn quốc tế ban hành ngày 15 tháng 11 năm 2011, trên cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về hệ thống quản lý an toàn thông tin, cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ quy chuẩn, nhóm chủ trì đã xây dựng dự thảo tiêu chuẩn TCVN ISO/IEC 27007:XXXX theo phương pháp chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27007:2011 (có chỉnh sửa về thể thức trình bày theo quy định hiện hành về trình bày Tiêu chuẩn quốc gia).

3.3 Phạm vi áp dụng và khả năng áp dụng tiêu chuẩn tại Việt Nam

3.3.1 Phạm vi áp dụng:

Tiêu chuẩn này có thể áp dụng cho tất cả người dùng trong các cơ quan, tổ chức doanh nghiệp vừa và nhỏ có hệ thống quản lý an toàn thông tin khi tiến hành

20

đánh giá nội bộ hoặc bên ngoài cho ISMS hoặc để quản lý chương trình đánh giá ISMS.

3.3.2 Khả năng áp dụng tiêu chuẩn tại Việt Nam

Số liệu khảo sát về an toàn thông tin trong 03 (2014, 2013, 2012) năm do Trung tâm VNCERT và Hiệp hội an toàn thông tin tiến hành.

Bảng 2: Khảo sát ATTT năm 2014, 2013, 2012.Câu 30. Tổ chức của quý vị có có tuân theo hoặc có ý định tuân theo những chỉ dẫn của các chuẩn ATTT nào dưói đây không?

Năm 2014

Năm 2013

Năm 2012

Không 32.56 % 54.3% 42%Có 66.28 % 20.2% 36%ISO/IEC 2700x 54.07 % 21.1% 35%Cobit 5.23 % 1.8% 4%HiPAA 0.58 % 1.8% 2%PCI 8.72 % 3.7% 5%Common Criteria 1.74 % 1.2% 2%Khác . . . . . . . 6.40 % 5.2% 4%Câu 31. Trong thời gian tới, tổ chức của quí vị có dự kiến triển khai Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 27001 không?

0.0%

Không có kế hoạch 53.49 % 51.0% 53%Chỉ triển khai ISMS và tuân thủ ISO/IEC 27001 37.79 % 16.1% 23%Triển khai ISMS và tuân thủ ISO/IEC 27001 và lấy chứng nhận ISO/IEC 27001 16.86 %

9.9% 12%

Câu 32. Tổ chức của quý vị có Quy chế về ATTT (Security Policy) chưa? (đã được lãnh đạo phê duyệt và đưa vào áp dụng). 0.0%

Có 58.14 % 27.1% 41%Chưa có: 36.05 % 36.3% 32%+ Sẽ xây dựng Quy chế trong thời gian tới 44.19 % 33.3% 27%+ Chưa có ý định xây dựng Quy chế này 8.72 % 26.9% 16%

Theo số liệu tổng hợp kết quả khảo sát ATTT của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) và Hiệp hội an toàn thông tin (VNISA) tiến hành trên hơn 500 cơ quan nhà nước và doanh nghiệp trên toàn quốc chúng ta có thể thấy rằng:

- Các đơn vị ngày càng chú trọng tới việc xây dựng quy chế an toàn thông tin áp dụng tại các đơn vị.

- Số lượng đơn vị đã tuân thủ và có ý định tuân thủ theo các chỉ dẫn của Bộ ISO 27000 ngày càng tăng nhanh.

21

- Nhu cầu và mong muốn triển khai và tuân thủ các yêu cầu về các biện pháp kiểm soát an toàn thông tin và mong muốn có chính nhận ISO/IEC 27001 ngày càng tăng nhanh.

Khi các đơn vị có nhu cầu và mong muốn được triển khai, tuân thủ và cấp chứng nhận theo ISO/IEC 27001 tăng thì nhu cầu sử dụng, áp dụng các hướng dẫn theo các biện pháp đảm bảo an toàn thông tin của các thuộc bộ tiêu chuẩn 27000 nói chung và tiêu chuẩn ISO/IEC 27007 nói riêng ngày càng lớn.

4. Nội dung dự thảo tiêu chuẩn kỹ thuật

4.1 Giới thiệu nội dung của Dự thảo tiêu chuẩn

Dự thảo tiêu chuẩn được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 27007 Information technology – Security techniques – Guidelines Information security management systems auditing, phiên bản 2011 là mới nhất của tiêu chuẩn này.

Tiêu chuẩn ISO/IEC 27007 đưa ra các hướng dẫn quản lý chương trình đánh giá hệ thống quản lý an toàn thông tin (ISMS), thực hiện đánh giá năng lực của đánh giá viên ISMS và bổ sung cho các hướng dẫn đánh giá hệ thống quản lý trong TCVN ISO 19011:2013. Hay nói cách khác tiêu chuẩn này bổ sung thêm các hướng dẫn về quản lý an toàn thông tin mà tiêu chuẩn TCVN ISO 19011:2013 không có.

4.2 Cấu trúc và nội dung của Dự thảo tiêu chuẩn

- Dự thảo tiêu chuẩn gồm 07 Điều và 01 Phụ lục tham khảo

- Nội dung cụ thể của Dự thảo tiêu chuẩn.

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

3. Thuật ngữ và định nghĩa

4. Nguyên tắc đánh giá

5. Quản lý chương trình đánh giá

Thiết lập mục tiêu.

Thiết lập chương trình (vai trò, năng lực, trách nhiệm của người quản lý, xác định mức độ và mức độ rủi ro, nguồn lực cho chương trình đánh giá).

22

Triển khai (Xác định phạm vi, tiêu chí, phương pháp đánh giá, phân công trách nhiệm, quản lý kết quả, quản lý hồ sơ).

Giám sát và soát xét chương trình đánh giá.

6. Thực hiện đánh giá

Bắt đầu cuộc đánh giá (tiếp xúc tổ chức đánh giá, xác định tính khả thi).

Chuẩn bị các hoạt động đánh giá ( tài liệu, kế hoạch, phân công công việc).

Tiến hành cuộc đánh giá (họp khai mạc, soát xét tài liệu, trao đổi thông tin, phân công cv, thu thập và xác minh thông tin, kết luận...).

Gửi báo cáo đánh giá, hoàn thành đánh giá.

7. Năng lực và đánh giá năng lực của đánh giá viên

Xác định năng lực của đánh giá viên

Tiêu chí và lựa chọn phương pháp đánh giá về đánh giá viên

Tiến hành đánh giá đánh giá viên

Cải thiện năng lực của đánh giá viên

01 Phụ lục (tham khảo): Hướng dẫn thực hành cho đánh giá ISMS

A.1 Phạm vi, chính sách và phương pháp tiếp cận đánh giá rủi ro ISMS

A.2 Nhận biết rủi ro, phân tích và đánh giá, xác định lựa chọn xử lý rủi ro

A.3 Lựa chọn các mục tiêu quản lý và biện pháp kiểm soát, phê chuẩn các rủi ro tồn đọng đã được đề xuất, sự cấp quyền của ban quản lý và tuyên bố áp dụng

A.4 Triển khai và vận hành ISMS

A.5 Giám sát và soát xét ISMS

A.6 Duy trì và cải tiến ISMS

A.7 Hệ thống tài liệu ISMS

A.8 Trách nhiệm quản lý

A.9 Đánh giá ISMS nội bộ vá soát xét quản lý ISMS.

- Liệt kê các hướng dẫn đánh giá cho hệ thống quản lý an toàn thông tindự thảo TCVN 27007:XXX so với tiêu chuẩn TCVN ISO 19011:2013.

23

Bảng 3: Liệt kê các hướng dẫn bổ sung trong dự thảo TCVN 27007

STT Điều Bổ sung Ghi chú

1 Điều 5

5.2.1 IS 5.2 Thiết lập lập mục tiêu chương trình đánh giá

5.3.3.1 IS 5.3.3 Xác định mức độ của chương trình đánh giá

5.4.1.1 IS 5.4.1 Khái quát

5.4.2.1 IS 5.4.2 Xác định mục tiêu, phạm vi và tiêu chí cho đánh giá riêng lẻ

5.4.3.1 IS 5.4.3 Lựa chọn phương pháp đánh giá

5.4.4.1 IS 5.4.4 Lựa chọn thành viên đoàn đánh giá

2

3

Điều 6

6.2.3.1 IS 6.2.3 Xác định tính khả thi của cuộc đánh giá

6.4.3.1 IS 6.4.3 Thực hiện soát xét tài liệu trong khi tiến hành đánh giá

6.4.6.1 IS 6.4.6 Thu thập và xác minh thông tin

Điều 7

7.2.1.1 IS 7.2.1 Khái quát Khi quyết định những kiến thức và kỹ năng thích hợp của đánh giá viên cần xem xét các yếu tố trong 7.2.1.1

7.2.3.3.1 IS 7.2.3.3 sự kỉ luật và kiến thức chuyên ngành, các kỹ năng về hệ thống quản lý của đánh giá viên.

7.2.4.1 IS 7.2.4 Đạt được năng lực của đánh giá viên

24

4Phụ lục

A

A.1 Phạm vi, chính sách và phương pháp tiếp cận đánh giá rủi ro hệ thống ISMS

A.2 Nhận biết rủi ro, phân tích và đánh giá, xác định lựa chọn xử lý rủi ro và đánh giá

A.3 Lựa chọn các mục tiêu quản lý và biện pháp kiểm soát, phê chuẩn các rủi ro tồn đọng đã được đề xuất, sự cấp quyền của ban quản lý và tuyên bố áp dụng

A.4 Triển khai và vận hành ISMS

A.5 Giám sát và soát xét ISMS

A.6 Duy trì và cải tiến ISMS

A.7 Hệ thống tài liệu ISMS

A.8 Trách nhiệm quản lý

A.9 Đánh giá ISMS nội bộ và soát xét quản lý ISMS

4.3 Bảng đối chiếu tiêu chuẩn viện dẫn

Bảng 4: Bảng đối chiếu tiêu chuẩn viện dẫn

Dự thảo

TCVN 2008:XXXXTiêu chuẩn viện dẫn

Sửa đổi bố sung

Ghi chú

1. Phạm vi áp dụng 1 Scope Chấp nhận nguyên vẹn

2. Tài liệu viện dẫn 2 Normative references Chấp nhận nguyên vẹn

3. Thuật ngữ và định nghĩa

3 Terms and definitions Chấp nhận nguyên vẹn

4. Nguyên tắc 4 Principles of auditing Chấp nhận

25

nguyên vẹn

5. Quản lý chương trình đánh giá

5 Managing an audit programme

Chấp nhận nguyên vẹn

5.1 Khái quát 5.1 General

5.2 Thiết lập mục tiêu chương trình đánh giá

5.2 Establishing the audit programme objectives

5.3 Thiết lập chương trình đánh giá

5.3 Establishing the audit programme

5.4 Triển khai chương trình đánh giá

5.4 Implementing the audit programme

5.5 Giám sát chương trình đánh giá

5.5 Monitoring the audit programme

5.6 Soát xét và cải tiến chương trình đánh giá

5.6 Reviewing and improving the audit programme

6. Thực hiện đánh giá 6 Performing an audit



6.2 Khởi tạo cuộc đánh giá

6.2 Initiating an audit

6.3 Chuẩn bị các hoạt động đánh giá

6.3 Preparing audit activities

6.4 Tiến hành hoạt động đánh giá

6.4 Conducting the audit activities

6.5 Chuẩn bị và gửi báo cáo đánh giá

6.5 Preparing and distributing the audit report

6.6 Hoàn thành cuộc đánh giá

6.6 Completing the audit

6.7 Tiến hành các hoạt động sau đánh giá

6.7 Conducting audit follow-up

26

7. Năng lực và đánh giá năng lực của đánh giá viên

7. Competence and evaluation of auditors



7.2 Xác định năng lực của đánh giá viên đáp ứng nhu cầu của chương trình đánh giá.

7.2 Determining auditor competence to fulfil the needs of the audit programme

7.3 Thiết lập tiêu chí đánh giá đánh giá viên

7.3 Establish the auditor evaluation criteria

7.4 Lựa chọn phương pháp đánh giá đánh giá viên thích hợp

7.4 Selecting the appropriate auditor evaluation

7.5 Tiến hành đánh giá đánh giá viên

7.5 Conducting auditor evaluation

7.6 Duy trì và cải thiện năng lực của đánh giá viên

7.6 Maintaining and improving auditor competence

Phụ lục A. Hướng dẫn thực hành cho đánh giá ISMS

Annex A Practice guidance for ISMS Auditing


5. Kết luận và đề xuất kiến nghị.

Việc ban hành tiêu chuẩn về "Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin" để bổ sung, hoàn thiện các tiêu chuẩn quốc gia nhằm đảm bảo an toàn thông tin tại các tổ chức (theo Bộ 27000) nói riêng và bổ sung, hoàn thiện các tiêu chuẩn về đánh giá hệ thống an toàn thông tin nói riêng là hết sức cần thiết.

Theo ý kiến của các thành viên trong Hội đồng nghiệm thu cấp và để thống nhất với tên gọi, thuật ngữ trong TCVN ISO 19011:2013 cũng như thuật tiện trong quá trình sử dụng tiêu chuẩn này. Nhóm xây dựng dự thảo tiêu chuẩn kiến nghị, đề xuất đổi tên dự thảo TCVN như sau:

27

"Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin".

6. Thư mục tài liệu tham khảo[1] TCVN ISO/IEC 17021:2011, Đánh giá sự phù hợp. Yêu cầu đối với tổ chức

đánh giá và chứng nhận hệ thống quản lý.[2] TCVN ISO/IEC 27002:2011, Công nghệ thông tin – Các kỹ thuật an toàn –

Quy tắc thực hành quản lý an toàn thông tin.

28

[3] ISO/IEC 27003:2010, Information technology — Security techniques — Information securitymanagement system implementation guidance.

[4] ISO/IEC 27004:2009, Information technology — Security techniques — Information securitymanagement — Measurement.

[5] TCVN 10295:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin.

[6] ISO/IEC 27006:2007, Information technology — Security techniques — Requirements for bodiesproviding audit and certification of information security management systems.

29

Tên gọi và ký hiệu Tiêu chuẩn quốc...

Documents

Transcript of Tên gọi và ký hiệu Tiêu chuẩn quốc...