1. Trang chủ
  2. Giáo Dục - Đào Tạo

Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam

26 417 3
Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC Mục lục I Nhu cầu thực tiễn II Tiêu chuẩn ISO 27001:2005 .5 II.1 Giới thiệu chung II.2 Tóm tắt nội dung tiêu chuẩn III Ứng dụng thực tiễn TC ISO 27001:2005 Việt nam III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 Việt Nam .7 III.2 Các lợi ích việc áp dụng tiêu chuẩn ISO 27001 IV Một số tiêu chuẩn quốc tế lĩnh vực ATTT IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005 IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005 IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005 12 IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005 14 V Tiêu chuẩn kỹ thuật “Hệ thống quản lý ATTT” 15 V.1 Các yêu cầu chung .15 V.2 Yêu cầu trình thiết lập hệ thống ISMS 17 1) bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng nguyên tắc cho việc đảm bảo an toàn thông tin, 18 2) ý đến hoạt động nghiệp vụ, pháp lý, quy định điều khoản bắt buộc bảo mật, 18 3) đưa vào đến yêu cầu kinh doanh, yêu cầu chế tài pháp lý nghĩa vụ an toàn an ninh có hợp đồng, .18 4) thực thiết lập trì hệ thống ISMS phần chiến lược quản lý rủi ro tổ chức, 18 5) thiết lập tiêu đánh giá rủi ro xảy ra, .18 6) ban quản lý phê duyệt 18 TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC 7) Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, quy định, pháp lý, an toàn bảo mật thông tin xác định 18 8) Phát triển tiêu cho rủi ro chấp nhận vạch rõ mức rủi ro chấp nhận .18 9) Xác định tài sản phạm vi hệ thống ISMS đối tượng quản lý tài sản 19 10) Xác định mối đe doạ xảy tài sản 19 11) Xác định yếu điểm bị khai thác mối đe doạ 19 12) Xác định tác động xấu tới tính chất quan trọng tài sản cần bảo đảm: bí mật, toàn vẹn sẵn sàng .19 13) Đánh giá ảnh hưởng hoạt động tổ chức cố an toàn thông tin, ý đến hậu việc tính bí mật, toàn vẹn hay sẵn sàng tài sản 19 14) Đánh giá khả thực tế xảy cố an toàn thông tin bắt nguồn từ mối đe dọa nguy dự đoán Đồng thời đánh giá tác động tới tài sản biện pháp bảo vệ thực 19 15) Ước lượng mức độ rủi ro 19 16) Xác định rủi ro chấp nhận hay phải có biện pháp xử lý dựa tiêu chấp nhận rủi ro thiết lập mục 4.2.1.c.2 19 17) Áp dụng biện pháp quản lý thích hợp 19 18) Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn sách tiêu chuẩn chấp nhận rủi ro tổ chức .19 19) Tránh rủi ro 20 20) Chuyển giao rủi ro phận khác bảo hiểm, nhà cung cấp v.v 20 21) Các mục tiêu quản lý biện pháp quản lý lựa chọn mục 4.2.1g) sở tiến hành lựa chọn; 20 TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC 22) Các mục tiêu quản lý biện pháp quản lý thực hiện; 20 23) Sự loại trừ mục tiêu quản lý biện pháp quản lý phụ lục A giải trình cho việc 21 V.3 Yêu cầu trình điều hành hoạt động hệ thống ISMS 21 V.4 Yêu cầu trình giám sát đánh giá hệ thống ISMS 21 24) Nhanh chóng phát lỗi kết xử lý 22 25) Nhanh chóng xác định công, lỗ hổng cố an toàn thông tin 22 26) Cho phép ban quản lý xác định kết các công nghệ người đem lại có đạt mục tiêu đề hay không 22 27) Hỗ trợ phát kiện an toàn thông tin ngăn chặn sớm cố an toàn thông tin thị cần thiết 22 28) Xác định hiệu hoạt động xử lý lỗ hổng an toàn thông tin 22 29) Tổ chức; .22 30) Công nghệ; 22 31) Mục tiêu trình nghiệp vụ; 22 32) Các mối nguy hiểm, đe doạ an toàn thông tin xác định; 22 33) Tính hiệu biện pháp quản lý thực hiện; 22 34) Các kiện bên chẳng hạn thay đổi môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội 23 V.5 Yêu cầu trình trì mở rộng hệ thống ISMS 23 V.6 Sự phù hợp ISO 27001:2005 tiêu chuẩn quản lý khác .23 VI Bản dự thảo TCVN “Hệ thống quản lý an toàn thông tin” 26 TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC I Nhu cầu thực tiễn Trong kinh tế tri thức, thông tin tài sản quan trọng, đóng vai trò định thành bại quan, tổ chức, doanh nghiệp Các thông tin nhạy cảm cần bảo vệ chặt chẽ trước đe dọa tầm rộng, đảm bảo liền mạch, giảm thiểu rủi ro tăng cường lực quản lý, kinh doanh, nghiệp vụ Áp dụng tiêu chuẩn đảm bảo an toàn thông tin cho quan, tổ chức doanh nghiệp biện pháp cần thiết để bảo vệ tài sản thông tin đồng thời chắn tạo thêm tin tưởng khách hàng đối tác Xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin nhiệm vụ trọng tâm để đảm bảo thành công việc ứng dụng công nghệ thông tin quan nhà nước, nghị định số 64/2007/NĐ-CP Chính phủ ban hành ngày 10/4/2007 quy định rõ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán phụ trách quản lý an toàn thông tin; áp dụng, hướng dẫn kiểm tra định kỳ việc thực biện pháp bảo đảm cho hệ thống thông tin mạng đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin Trên thực tế hầu hết quan/tổ chức/doanh nghiệp nhận thức rõ cần thiết lợi ích việc chuẩn hóa công tác đảm bảo an toàn thông tin, nhiên việc áp dụng thực tiễn hạn chế gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuật quốc gia ATTT không đầy đủ; lúng túng lựa chọn tiêu chuẩn áp dụng Do năm 2007, Bộ Bưu Viễn thông ban hành thị số 03/2007/CT-BBCVT khuyến cáo quan, tổ chức doanh nghiệp tham gia hoạt động Internet ba tiêu chuẩn cần thiết cần nghiên cứu áp dụng công tác đảm bảo an toàn thông tin là: TCVN 7562; ISO 17799 ISO 27001 Hai tiêu chuẩn ISO 17799 ISO 27001 tiêu chuẩn đảm bảo an toàn thông tin áp dụng rộng rãi giới Nội dụng tiêu chuẩn TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC giúp quan/ tổ chức đưa mô hình cho hệ thống quản lý an toàn thông tin với quy tắc cần thiết phải áp dụng công tác đảm bảo an toàn cho hệ thống thông tin Nội dung tiêu chuẩn đầy đủ, sát với thực tiễn cho phép giảm thiểu nhiều rủi ro an toàn thông tin xảy nên nhiều nước tham khảo xây dựng tiêu chuẩn quốc gia Tiêu chuẩn ISO 17799 phiên 2000 Tổng Cục đo lường Chất lượng sử dụng tài liệu để biên soạn TCKT Việt Nam tương đương TCVN 7562:2005, nhiên Việt nam chưa có TCKT Việt Nam tương đương với ISO 27001 Việc áp dụng tiêu chuẩn quốc tế ISO 27001 Việt Nam phù hợp với số tổ chức có trình độ nhân lực cao thường nằm thành phố lớn, lại phần lớn cần thiết phải có tiêu chuẩn Việt Nam tương đương để thuận tiện cho việc áp dụng Do việc nhanh chóng xây dựng tiêu chuẩn kỹ thuật Việt Nam tương đương ISO 27001:2005 cần thiết Trung tâm VNCERT xác định nhiệm vụ trọng tâm năm 2007 nhằm đẩy mạnh tiêu chuẩn hóa công tác đảm bảo an toàn cho hệ thống thông tin, giảm thiểu rủi ro xảy cho qua, tổ chức tham gia sử dụng mạng internet II Tiêu chuẩn ISO 27001:2005 II.1 Giới thiệu chung Tiêu chuẩn quốc tế “Information security management system” có mã số ISO/IEC 27001:2005 biên soạn ủy ban kỹ thuật chung công nghệ thông tin - ISO/IEC JTC thuộc tiểu ban kỹ thuật an toàn thông tin - SC 27 thuộc tổ chức ISO Tiêu chuẩn ban hành vào tháng 10 năm 2005 để thay tiêu chuẩn tên có mã số BS 7799-2:2002 tổ chức Britist Standard ban hành năm 2002 Tiêu chuẩn quốc tế chuẩn bị để đưa mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì nâng cấp hệ thống TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC quản lý an toàn thông tin (ISMS) Phê chuẩn việc triển khai hệ thống ISMS định chiến lược tổ chức Thiết kế triển khai hệ thống quản lý an toàn thông tin tổ chức phụ thuộc vào nhu cầu mục tiêu khác nhau, yêu cầu an toàn cần phải đạt, quy trình sử dụng quy mô, cấu trúc tổ chức Các điều hệ thống hỗ trợ cần cập nhật thay đổi Đầu tư triển khai hệ thống ISMS cần phải phù hợp với nhu cầu thực tiễn tổ chức Tiêu chuẩn sử dụng để đánh giá tuân thủ phận bên tổ chức phận bên liên quan đến tổ chức II.2 Tóm tắt nội dung tiêu chuẩn Tiêu chuẩn hướng tới việc áp dụng rộng rãi cho nhiều loại hình quan/tổ chức khác Nội dung tiêu chuẩn rõ yêu cầu cho trình: thiết lập; triển khai; điều hành; giám sát; bảo trì nâng cấp hệ thống quản lý an toàn thông tin (ISMS) để bảo vệ hệ thống thông tin chủ động chuẩn bị phương án xử lý trước rủi ro xảy Tiêu chuẩn rõ yêu cầu thực biện pháp cần thiết chọn lọc phù hợp cho tổ chức phận Hệ thống ISMS thiết kế biện pháp đảm bảo an toàn thông tin phù hợp đầy đủ để bảo vệ tài sản thông tin đem lại tin tưởng bên liên quan đối tác, khách hàng v.v… Các yêu cầu trình bày tiêu chuẩn mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều loại hình quan / tổ chức khác Nội dung tiêu chuẩn bao gồm phần : - Hệ thống quản lý an toàn thông tin - Trách nhiệm Ban quản lý - Kiểm tra nội hệ thống ISMS TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC - Soát xét hệ thống ISMS - Nâng cấp hệ thóng ISMS Tiêu chuẩn hoàn toàn tương thích với tiêu chuẩn quản lý khác ISO 9001:2000, TCVN ISO 9001:2000 ISO 14001:2004 nhằm đảm bảo thống thành công triển khai lúc tiêu chuẩn quản lý khác III Ứng dụng thực tiễn TC ISO 27001:2005 Việt nam III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 Việt Nam Tại Việt Nam, tiêu chuẩn kỹ thuật quốc tế ISO 27001 nhiều quan đơn vị có ứng dụng hệ thống thông tin nghiên cứu quan tâm nghiên cứu áp dụng Tuy nhiên việc chuẩn hóa công tác quản lý nói chung quản lý công nghệ thông tin nói riêng chưa tốt nên phát sinh nhiều vướng mắc Mặc dù có số công ty mạnh dạn áp dụng công nhận phù hợp tiêu chuẩn: Tháng 1/2007 công ty Việt Nam FCG Việt Nam chấp thuận sau đợt kiểm định tổ chức TUV SUD tiến hành vào tháng 12/2006 Tháng 3/2007 công ty Hệ thống thông tin FPT thông báo công nhận phù hợp tiêu chuẩn sau tháng triển khai Tiêu chuẩn giúp công ty giảm thiểu rủi ro an toàn thông tin xảy nâng cao uy tín công ty đặc biệt khách hàng nước Việc công ty FCG Việt Nam công ty hệ thống thông tin FPT ứng dụng thành công tiêu chuẩn ISO 27001:2005 cho thấy phù hợp hoàn toàn áp dụng tiêu chuẩn với tiêu chuẩn quản lý khác ISO 9001 TL 4000 hay CMMI cấp mà công ty triển khai trước TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC III.2 Các lợi ích việc áp dụng tiêu chuẩn ISO 27001 Tiêu chuẩn ISO 27001:2005 đưa vào sử dụng rộng rãi giới nhiều năm, nội dung tiêu chuẩn sửa đổi nhiều lần để hoàn thiện đáp ứng nhiều loại mô hình tổ chức Dưới số lợi ích cho quan tổ chức áp dụng tiêu chuẩn ISO 27001: - Cho phép quan, tổ chức xác định mục tiêu, phạm vi vai trò hệ thống quản lý an toàn thông tin; - Xây dựng giải pháp tổng thể đảm bảo an toàn cho hệ thống thông tin, tránh ảnh hưởng tới hoạt động khác; - Giảm thiểu rủi ro có biện pháp chủ động phòng chống nguy xảy ra; - Đảm bảo hiệu đầu tư hệ thống CNTT nói chung hệ thống ISMS nói riêng; - Nâng cao uy tín tin cậy đối tác khách hàng, nâng cao lực cạnh tranh doanh nghiệp; - Nâng cao nhận thức an toàn thông tin cho toàn nhân viên tổ chức IV Một số tiêu chuẩn quốc tế lĩnh vực ATTT IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005 Tiêu chuẩn việt nam Mã thực hành quản lý an ninh thông tin – TCVN 7562 Ban kỹ thuật tiêu chuẩn TCVN/TC 154 “Quá trình, yếu tố liệu tài liệu thương mại, công nghiệp hành chính” biên soạn, Tổng cục Đo lường chất lượng đề nghị, Bộ Khoa học Công nghệ ban hành năm 2005 Tiêu chuẩn xây dựng dựa tiêu chuẩn quốc tế ISO/IEC 17799:2000 có tên “code of practice for information security management”và hoàn toàn tương đương với tiêu chuẩn quốc tế Nội dung tiêu chuẩn gồm có mười hai phần, đưa khuyến nghị công tác quản lý an ninh thông tin cho người có trách nhiệm cài đặt, TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC thực thi trì an ninh tổ chức họ Tiêu chuẩn nhằm cung cấp sở chung để xây dựng tiêu chuẩn an ninh tổ chức thực hành quản lý an toàn thông tin cách hiệu tạo tin cậy giao dịch liên tổ chức Các khuyến nghị rút từ tiêu chuẩn lựa chọn sử dụng phù hợp với luật quy định liên quan Tiêu chuẩn TCVN 7562 trình bày mười hai phần bao gồm: Phạm vi áp dụng; Thuật ngữ định nghĩa; Chính sách an ninh; An ninh tổ chức; Phân loại kiểm soát tài sản; An ninh cá nhân; An ninh môi trường vật lý; Quản lý truyền thông hoạt động; Kiểm soát truy cập; 10 Phát triển trì hệ thống; 11 Quản lý liên tục kinh doanh; 12 Sự tuân thủ Tiêu chuẩn đưa 127 hướng dẫn đảm bảo an toàn thông tin phân thành 10 vấn đề IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005 Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 tổ chức ISO/IEC thay thức tiêu chuẩn quốc tế ISO/IEC 17799:2005 sau đổi tên thành tiêu chuẩn ISO/IEC 27002 để áp dụng với tiêu chuẩn ISO/IEC 27001 (information security management system) ISO/IEC 27004 (Information security management metrics) thành tiêu chuẩn ISO 27000 (tên tiêu chuẩn ISO/IEC 17799 giữ lại thêm thời gian thấy liên hệ với tiêu chuẩn gốc BS 7799 ISO/IEC 17799:2000) TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC Sự phát triển công nghệ, dịch vụ thay đổi khác xã hội bộc lộ vấn đề mà tiêu chuẩn ISO/IEC 17799 phiên năm 2000 chưa đáp ứng Do nội dung phiên ISO/IEC 17799:2005 cập nhật để bổ sung, điều chỉnh số vấn đề so với phiên năm 2000 để đáp ứng yêu cầu thực tiễn đặt Nội dung phiên 2005 tiêu chuẩn ISO/IEC 17799:2005 đưa 133 quy tắc đảm bảo an toàn chia làm 11 vấn đề Dựa việc phân tích ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên có nhiều thay đổi so với phiên năm 2000 Nội dung cập nhật làm rõ vấn đề việc bảo đảm an toàn thông tin thương mại điện tử, dịch vụ đối tác bên cung cấp, quản lý nhân sự, sử dụng mạng không dây v.v… Về mặt cấu trúc, tiêu chuẩn ISO/IEC 17799:2005 có số thay đổi phù hợp với thực tế so với tiêu chuẩn ISO/IEC 17799:2000 tiêu chuẩn TCVN 7562:2005 Bảng so sánh thể so sánh tiêu chuẩn TCVN 7562:2005; ISO 17799:2000 ISO:17799:2005 TCVN 7562:2000 ISO 17799:2000 ISO 17799:2005 Risk assessment & treatment Chính sách an ninh Security policy Security policy An ninh tổ chức Security organisation Organisation of information security Phân loại kiểm soát tài sản Asset classification & control Asset management An ninh cá nhân Personnel security Human resource security An ninh môi trường vật lý Physical and environmental security Physical and environmental security Quản lý truyền thông hoạt động Communication and operation management Communications and operations management TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC quy định riêng cách trình bày tiêu chuẩn quốc gia tiêu đề, tên tiêu chuẩn, trang bìa, số ký hiệu v.v… Ngoài NewZealand, phủ ban hành tài liệu hướng dẫn “đảm bảo an toàn thông tin lĩnh vực phủ” (Security in government sector) năm 2002 Tài liệu đưa hướng dẫn đảm bảo an toàn thông tin bắt buộc áp dụng quan phủ Tài liệu xây dựng thành viên đến từ nhiều nghành khác phủ sử dụng tài liệu tham khảo tiêu chuẩn AS/NZS ISO/IEC 17799:2001 Ngoài nội dung tiêu chuẩn quan tình báo quốc gia văn phòng an toàn truyền thông phủ cung cấp thêm số quy trình đảm bảo an toàn thông tin Một số nước khác Một số nước khác dịch xây dựng tiêu chuẩn quốc gia dựa phiên khác tiêu chuẩn ISO/IEC 17799 Tiêu chuẩn NEN-ISO/IEC 17799:2002 Hà lan xây dựng từ ISO/IEC 17799:2000, dịch từ ISO/IEC 17799:2005 thực Tiêu chuẩn DS484:2005 Đan mạch, UNE 71501 Tây ban nha, UNIT/ISO 17799:2005 Uruguay EVS-ISO/IEC 17799:2003 Estonia xây dựng từ phiên ISO/IEC 17799:2000 IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005 ISO/IEC 15408-1 chuẩn bị Ủy ban kỹ thuật chung ISO/IEC JTC 1, Công nghệ thông tin, Tiểu ban SC 2, Các kỹ thuật an ninh CNTT Tài liệu ISO/IEC 15408 xuất Các tổ chức tài trợ dự án tiêu chuẩn thông thường Tiêu chuẩn thông thường đánh giá An ninh CNTT Phiên thứ sửa đổi từ phiên thứ (ISO/IEC 154081:1999) sử dụng thay cho phiên thứ TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC ISO/IEC 15408 bao gồm ba phần, tiêu đề chung - CNTT - Kỹ thuật An ninh - Tiêu chuẩn đánh giá an ninh CNTT Phần 1: Giới thiệu mô hình tổng thể (Part 1: Introduction and general model ) Phần 2: Các yêu cầu chức an ninh (Part 2: Security functional requirements) Phần 3: Các yêu cầu đảm bảo an ninh (Part 3: Security assurance requirements) ISO/IEC 15408 cho phép thực so sánh kết đánh giá An ninh độc lập Nó cung cấp tập nhu cầu thông thường chức An ninh sản phẩm hệ thống CNTT đảm bảo tiêu chuẩn để đánh giá cung cấp suốt thời gian đánh giá An ninh Tiến trình đánh giá thiết lập mức độ tin cậy cho chức An ninh sản phẩm hệ thống đảm bảo tiêu chuẩn để đánh giá đáp ứng nhu cầu Các kết đánh giá giúp khách hàng định sản phẩm hệ thống CNTT có đáp ứng đủ yêu cầu An ninh cho ứng dụng dự định khả chịu lỗi với nguy An ninh tiềm ẩn trình sử dụng ISO/IEC 15408 sử dụng hướng dẫn cho việc phát triển sản phẩm hệ thống có chức An ninh CNTT phục vụ cho việc tìm kiếm sản phẩm hệ thống thương mại có chức Trong thời gian đánh giá, sản phẩm hệ thống CNTT xem mục tiêu đánh giá (TOE- Target of Evaluation) Các Mục tiêu đánh giá bao gồm, hệ điều hành, mạng máy tính, hệ thống phân tán ứng dụng ISO/IEC 15408 đề cập đến việc bảo vệ thông tin chống truy nhập quyền, thay đổi mát sử dụng Việc phân nhóm bảo vệ liên quan đến kiểu lỗi An ninh: tin cậy, toàn vẹn sẵn sàng ISO/IEC 15408 sử dụng cho đánh giá ba nhóm TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC ISO/IEC 15408 tập trung vào nguy với thông tin tạo hoạt động người, đoạn mã độc hại số nguy không liên quan đến người Thêm vào đó, ISO/IEC 15408 áp dụng cho lĩnh vực khác CNTT mà không đòi hỏi khả vùng hạn chế An ninh CNTT ISO/IEC 15408 sử dụng cho tiêu chuẩn để đánh giá An ninh CNTT cho phần cứng, phần mềm firmware Tại phần đặc trưng đánh giá sử dụng để cung cấp phương pháp thực riêng, điều đề cập đến tài liệu tiêu chuẩn liên quan IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005 ISO/IEC 18045:2005 chuẩn bị Tiểu ban SC 27 thuộc Ủy ban kỹ thuật chung ISO/IEC JTC năm 2005 có tên đầy đủ Methodology for IT security evaluation Việc xây dựng tiêu chuẩn có đóng góp tham khảo ý kiến quan phủ thuộc nhiều nước: Pháp, Úc, Anh, Mỹ, Nhật, NewZealand, Đức, Tây ban nha Hà lan Tiêu chuẩn đưa hệ thống phương pháp đánh giá an toàn thông tin theo tiêu mà tiêu chuẩn quốc tế ISO 15408:2005 đưa Nội dung tiêu chuẩn bao gồm hệ thống phương pháp đánh giá cho phép đánh giá theo cấp độ từ EAL tới EAL quy định ISO 15408 Nội dung tiêu chuẩn ISO 18045 bao gồm phần sau: Giới thiệu Phạm vi áp dụng Thuật ngữ định nghĩa Ký hiệu từ viết tắt Tổng quan Các quy ước TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC Các nhiệm vụ đánh giá chung Đánh giá hồ sơ bảo vệ Đánh giá mục tiêu bảo mật 10 Đánh giá an toàn thông tin theo cấp độ 11 Đánh giá an toàn thông tin theo cấp độ hai 12 Đánh giá an toàn thông tin theo cấp độ ba 13 Đánh giá an toàn thông tin theo cấp độ bốn 14 Điều chỉnh sai sót V Tiêu chuẩn kỹ thuật “Hệ thống quản lý ATTT” V.1 Các yêu cầu chung Tiêu chuẩn khuyến khích việc áp dụng cách tiếp cận theo quy trình thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì nâng cấp hệ thống ISMS tổ chức Một tổ chức cần xác định quản lý nhiều hoạt động để vận hành cách hiệu Bất hoạt động sử dụng tài nguyên quản lý việc tiếp nhận đầu vào chuyển hóa thành đầu coi quy trình, Thông thường đầu quy trình đầu vào quy trình Việc áp dụng hệ thống quy trình tổ chức, với nhận biết tương tác quy trình vậy, quản lý chúng, coi “cách tiếp cận theo quy trình” Cách tiếp cận theo quy trình cho quản lý an toàn thông tin trình bày tiêu chuẩn nhằm khuyến khích người sử dụng nhấn mạnh điểm quan trọng: - Hiểu yêu cầu an toàn thông tin tổ chức cần thiết phải thiết lập sách mục tiêu cho an toàn thông tin, TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC - Triển khai điều hành biện pháp để quản lý rủi ro an toàn thông tin tổ chức trước tất rủi ro chung xảy với tổ chức, - Giám sát soát xét lợi ích hiệu hệ thống ISMS - Thường xuyên nâng cấp dựa khuôn khổ mục tiêu đặt Tiêu chuẩn thông qua mô hình “Lập kế hoạch – Thực – Kiểm tra Hành động” (PDCA) để áp dụng cho tất quy trình hệ thống ISMS Hình mô tả cách hệ thống ISMS lấy đầu vào yêu cầu kỳ vọng bảo mật thông tin bên thứ ba,sau tiến hành quy trình xử lý cần thiết đáp ứng an toàn thông tin theo yêu cầu kỳ vọng đặt Các Các phận liên phận liên quan quan Các Các phận liên phận liên quan quan P Thiết lập hệ Thiết lập hệ thống ISMS thống ISMS D Triển khai Triển khai điều hành hệ điều hành hệ thống ISMS thống ISMS Các yêu Các yêu cầu kỳ cầu kỳ vọng an vọng an toàn thông toàn thông tin tin Duy trì nâng Duy trì nâng cấp hệ thống cấp hệ thống ISMS ISMS A Giám sát Giám sát đánh giá hệ đánh giá hệ thống ISMS thống ISMS Kết Kết quản lý an quản lý an toàn thông toàn thông tin tin C Hình 1: Áp dụng mô hình PDCA cho quy trình hệ thống ISMS P (Lập kế hoạch) - Thiết lập ISMS Thiết lập sách, mục tiêu, quy trình thủ tục liên quan đến việc quản lý rủi ro nâng cao an toàn thông tin nhằm đem lại kết phù hợp với sách mục tiêu chung tổ chức D (Thực hiện) - Triển khai điều Cài đặt vận hành sách, biện pháp quản lý, TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC hành ISMS quy trình thủ tục hệ thống ISMS C (Kiểm tra) - giám sát đánh giá Xác định hiệu việc thực quy trình dựa ISMS sách, mục tiêu mà hệ thống ISMS đặt ra; kinh nghiệm thực tiễn báo cáo kết cho việc đánh giá ban quản lý A (Hành động) - Duy trì nâng Tiến hành biện pháp hoàn thiện bảo vệ dựa cấp ISMS kết việc kiểm toán nội hệ thống ISMS, đánh giá ban quản lý thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS Tiêu chuẩn hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác (ví dụ: tổ chức thương mại, quan nhà nước, tổ chức phi lợi nhuận v.v… ) Nội dung tiêu chuẩn rõ yêu cầu cho trình: thiết lập; triển khai; điều hành; giám sát; bảo trì nâng cấp hệ thống ISMS để đảm bảo an toàn thông tin trước tất rủi ro xảy với tổ chức Tiêu chuẩn rõ yêu cầu triển khai biện pháp bảo vệ an toàn chọn lọc phù hợp với nhu cầu tổ chức phận tổ chức Hệ thống ISMS thiết kế biện pháp đảm bảo an toàn thông tin phù hợp đầy đủ để bảo vệ tài sản thông tin đem lại tin tưởng bên liên quan đối tác, khách hàng v.v… Các yêu cầu trình bày tiêu chuẩn mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác Do tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì nâng cấp hệ thống quản lý an toàn thông tin (ISMS) tài liệu hóa bối cảnh toàn hoạt động tổ chức rủi ro phải đối mặt V.2 Yêu cầu trình thiết lập hệ thống ISMS Để thiết lập hệ thống ISMA, tổ chức cần thực yêu cầu sau: TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC - Định nghĩa phạm vi giới hạn hệ thống ISMS theo mặt: đặc thù công việc; tổ chức; địa điểm; tài sản công nghệ, đồng thời bao gồm thông tin chi tiết lý loại bỏ yêu cầu … tiêu chuẩn khỏi phạm vi áp dụng - Vạch rõ sách triển khai hệ thống ISMS theo mặt: đặc thù công việc; tổ chức; địa điểm; tài sản công nghệ mà đó: 1) bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng nguyên tắc cho việc đảm bảo an toàn thông tin, 2) ý đến hoạt động nghiệp vụ, pháp lý, quy định điều khoản bắt buộc bảo mật, 3) đưa vào đến yêu cầu kinh doanh, yêu cầu chế tài pháp lý nghĩa vụ an toàn an ninh có hợp đồng, 4) thực thiết lập trì hệ thống ISMS phần chiến lược quản lý rủi ro tổ chức, 5) thiết lập tiêu đánh giá rủi ro xảy ra, 6) ban quản lý phê duyệt Chú ý: Để đạt mục tiêu tiêu chuẩn này, sách triển khai hệ thống ISMS xem xét danh mục đầy đủ sách an toàn thông tin Các sách mô tả tài liệu - Xác định phương pháp tiếp cận đánh giá rủi ro tổ chức 7) Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, quy định, pháp lý, an toàn bảo mật thông tin xác định 8) Phát triển tiêu cho rủi ro chấp nhận vạch rõ mức rủi ro chấp nhận Hệ phương pháp đánh giá rủi ro lựa chọn đảm bảo đánh giá rủi ro đưa kết so sánh tái tạo Chú ý: Có nhiều hệ phương pháp đánh giá rủi ro khác Ví dụ hệ phương pháp đánh giá rủi ro nêu tài liệu ISO/IEC TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC TR 13335-3 “Information technology- Guidelines for the management of IT Security – Techniques for the management of IT Security” - Xác định rủi ro 9) Xác định tài sản phạm vi hệ thống ISMS đối tượng quản lý tài sản 10) Xác định mối đe doạ xảy tài sản 11) Xác định yếu điểm bị khai thác mối đe doạ 12) Xác định tác động xấu tới tính chất quan trọng tài sản cần bảo đảm: bí mật, toàn vẹn sẵn sàng - Phân tích đánh giá rủi ro 13) Đánh giá ảnh hưởng hoạt động tổ chức cố an toàn thông tin, ý đến hậu việc tính bí mật, toàn vẹn hay sẵn sàng tài sản 14) Đánh giá khả thực tế xảy cố an toàn thông tin bắt nguồn từ mối đe dọa nguy dự đoán Đồng thời đánh giá tác động tới tài sản biện pháp bảo vệ thực 15) Ước lượng mức độ rủi ro 16) Xác định rủi ro chấp nhận hay phải có biện pháp xử lý dựa tiêu chấp nhận rủi ro thiết lập mục 4.2.1.c.2 - Xác định đánh giá lựa chọn cho việc xử lý rủi ro Các hoạt động thực : 17) Áp dụng biện pháp quản lý thích hợp 18) Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn sách tiêu chuẩn chấp nhận rủi ro tổ chức Thuật ngữ “đối tượng quản lý” ngữ cảnh dùng để cá nhân hay thực thể phê chuẩn trách nhiệm quản lý việc điều khiển sản xuất, phát triển, bảo trì, sử dụng đảm bảo an toàn tài sản Thuật ngữ không dùng để người có quyền sở hữu tài sản TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC 19) Tránh rủi ro 20) Chuyển giao rủi ro phận khác bảo hiểm, nhà cung cấp v.v - Lựa chọn mục tiêu quản lý biện pháp quản lý để xử lý rủi ro Các mục tiêu quản lý biện pháp quản lý lựa chọn thực để đáp ứng yêu cầu xác định trình xử lý rủi ro đánh giá rủi ro Sự lựa chọn xem xét đến tiêu chuẩn chấp nhận rủi ro yêu cầu pháp lý, quy định cam kết phải tuân thủ Các mục tiêu quản lý biện pháp quản lý phụ lục A (của tiêu chuẩn) lựa chọn phần thích hợp để bảo đảm yêu cầu xác định Các yêu cầu quản lý biện pháp quản lý phụ lục A chưa thực đầy đủ Tùy trường hợp lựa chọn thêm mục tiêu quản lý biện pháp quản lý cần thiết khác Chú ý: Phụ lục A bao gồm danh sách bao gồm nhiều mục tiêu quản lý biện pháp lý cách toàn diện có khả thích hợp nhiều tổ chức Người sử dụng tiêu chuẩn quốc tế sử dụng phụ lục A điểm khởi đầu việc lựa chọn biện pháp quản lý để không biện pháp quan trọng - Được ban quản lý phê chuẩn rủi ro tồn đọng đề xuất - Đạt ban quản lý cho phép cài đặt vận hành hệ thống ISMS - Chuẩn bị thông báo áp dụng Thông báo áp dụng hệ thống ISMS bao gồm : 21) Các mục tiêu quản lý biện pháp quản lý lựa chọn mục 4.2.1g) sở tiến hành lựa chọn; 22) Các mục tiêu quản lý biện pháp quản lý thực hiện; TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC 23) Sự loại trừ mục tiêu quản lý biện pháp quản lý phụ lục A giải trình cho việc Chú ý: Thông báo cung cấp thông tin tóm tắt cho định liên quan đến việc xử lý rủi ro Việc giải trình biện pháp mục tiêu quản lý phụ lục A không sử dụng nhằm tránh khả bỏ sót V.3 Yêu cầu trình điều hành hoạt động hệ thống ISMS Quá trình triển khai điều hành hệ thống ISMS cần thực sau: - Lập kế hoạch xử lý rủi ro xác định hoạt động quản lý thích hợp, tài nguyên, trách nhiệm mức độ ưu tiên để quản lý rủi ro an toàn thông tin - Triển khai kế hoạch xử lý rủi ro nhằm đạt mục tiêu quản lý xác định bao gồm xem xét kinh phí đầu tư phân bổ vai trò, trách nhiệm - Triển khai biện pháp quản lý lựa chọn 4.2.1g) để thỏa mãn mục tiêu quản lý - Định nghĩa cách tính toán mức độ hiệu biện pháp quản lý nhóm biện pháp quản lý lựa chọn kết sử dụng việc đánh giá tính hiệu quản lý nhằm tạo kết so sánh tái tạo - Triển khai chương trình đào tạo nâng cao nhận thức - Quản lý hoạt động hệ thống ISMS - Quản lý tài nguyên dành cho hệ thống ISMS - Triển khai thủ tục biện pháp quản lý khác có khả phát kiện an toàn thông tin phản ứng với cố an toàn thông tin V.4 Yêu cầu trình giám sát đánh giá hệ thống ISMS TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC Để thực tốt việc giám sát đánh giá hệ thống ISMS, tổ chức cần thực biện pháp sau đây: - Tiến hành giám sát, đánh giá biện pháp quản lý an toàn thông tin khác nhằm: 24) Nhanh chóng phát lỗi kết xử lý 25) Nhanh chóng xác định công, lỗ hổng cố an toàn thông tin 26) Cho phép ban quản lý xác định kết các công nghệ người đem lại có đạt mục tiêu đề hay không 27) Hỗ trợ phát kiện an toàn thông tin ngăn chặn sớm cố an toàn thông tin thị cần thiết 28) Xác định hiệu hoạt động xử lý lỗ hổng an toàn thông tin - Thường xuyên kiểm tra, đánh giá hiệu hệ thống ISMS (bao gồm việc xem xét tính phù hợp sách, mục tiêu quản lý đánh giá việc thực biện pháp quản lý an toàn thông tin) xem xét đến kết kiểm tra an toàn bảo mật, cố xảy ra, kết tính toán hiệu quả, đề xuất, kiến nghị thông tin phản hồi thu thập - Tính toán hiệu biện pháp quản lý thỏa mãn yêu cầu bảo đảm ATTT - Soát xét lại đánh giá rủi ro tiến hành đồng thời xem xét rủi ro bỏ qua mức độ rủi ro chấp nhận Trong lưu ý thay đổi trong: 29) Tổ chức; 30) Công nghệ; 31) Mục tiêu trình nghiệp vụ; 32) Các mối nguy hiểm, đe doạ an toàn thông tin xác định; 33) Tính hiệu biện pháp quản lý thực hiện; TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC 34) Các kiện bên chẳng hạn thay đổi môi trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội - Thực việc kiểm tra nội hệ thống ISMS cách định kỳ Chú ý: Kiểm tra nội gọi kiểm tra sơ tự thực - Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh giá mục tiêu đặt có phù hợp nâng cấp xác định nâng cấp cần thiết cho hệ thống ISMS - Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi tình hình thực tế thu qua hoạt động giám sát đánh giá - Ghi chép, lập tài liệu kiện hoạt động có khả hưởng đến tính hiệu hiệu lực hệ thống ISMS V.5 Yêu cầu trình trì mở rộng hệ thống ISMS Tổ chức cần thường xuyên thực hiện: - Triển khai nâng cấp cho hệ thống ISMS xác định - Tiến hành hoàn chỉnh có biện pháp phòng ngừa thích hợp Chú ý vận dụng kinh nghiệm có tham khảo từ tổ chức khác - Thông báo thống với thành phần liên quan hoạt động nâng cấp hệ thống ISMS - Đảm bảo việc thực nâng cấp phải phù hợp với mục tiêu đặt V.6 Sự phù hợp ISO 27001:2005 tiêu chuẩn quản lý khác Tiêu chuẩn hệ thống quản lý an toàn thông tin hoàn toàn phù hợp với tiêu chuẩn quản lý thông dụng ISO 9001:2000 ISO 14001:2004, bảng đưa thông tin so sánh để chứng minh phù hợp tiêu chuẩn TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC ISO 27001:2005 ISO 9001:2000 Giới thiệu 0.1 Tổng quan 0.2 Cách thức tiếp cận 0.3 Sự tương thích với hệ thống quản lý khác Giới thiệu 0.1 Tổng quan 0.2 Cách thức tiếp cận 0.3 Quan hệ với chuẩn ISO 9004 0.4 Sự tương thích với hệ thống quản lý khác Giới thiệu Phạm vi 1.1 Tổng quan 1.2 Ứng dụng Phạm vi 1.1 Tổng quan 1.2 Ứng dụng Phạm vi Tài liệu viện dẫn Tài liệu viện dẫn Tài liệu viện dẫn 3.Thuật ngữ định nghĩa Thuật ngữ định nghĩa Thuật ngữ định nghĩa Hệ thống quản lý an toàn thông tin 4.1 Các yêu cầu chung 4.2 Thiết lập quản lý hệ thống ISMS 4.2.1 Thiết lập ISMS 4.2.2 Triển khai điều điều hành hệ thống ISMS 4.2.3 Giám sát đánh giá hệ thống ISMS 4.2.4 Duy trì nâng cấp hệ thống ISMS Hệ thống quản lý chất lượng 4.1 Các yêu cầu chung 8.2.3 Giám sát đo lường trình 8.2.4 Giám sát đo lường sản phẩm Các yêu cầu IMS 4.1 Các yêu cầu chung 4.1 Thực thi điều khiển4 4.5.1 Giám sát đo đạc 4.3 Các yêu cầu tài liệu hóa 4.3.1 Tổng quan 4.3.2 Quản lý tài liệu 4.3.3 Quản lý hồ sơ 4.2 Các yêu cầu tài liệu hóa 4.2.1 Tổng quan 4.2.2 Hướng dẫn chất lượng 4.2.3 Quản lý tài liệu 4.2.4 Quản lý ghi 4.4.5 Quản lý tài liệu 4.5.4 Quản lý ghi Trách nhiệm quản lý 5.1 Cam kết quản lý Trách nhiệm quản lý 5.1 Cam kết quản lý 5.2 Tập trung vào khách hàng 5.3 Chính sách chất lượng 5.4 Lên kế hoạch 5.5 Trách nhiêm, thẩm quyền, truyền thông 4.2 Chính sách môi trườn 4.3 Lên kế hoạch 5.2 Quản lý tài nguyên Quản lý tài nguyên 5.2.1 Dự phòng tài nguyên 6.1 Dự phòng tài nguyên 5.2.2 Đào tạo, nhận thức, trình 6.2 Tài nguyên người ISO 14001:2004 4.4.2 Đào tạo, nhận thức, trình độ TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC độ 6.2.2 Đào tạo, nhận thức, trình độ 6.3 Cơ sở hạ tâng 6.4 Môi trường làm việc Kiểm tra nội hệ thống ISMS 8.2.2 Kiểm tra nội 4.5.5 Kiểm tra nội Ban quản lý soát lại hệ thống ISMS 7.1 Tổng quan 7.2 Thông tin đầu vào cho việc soát xét 7.3 Kết soát xét 5.6 Đánh giá công tác quản lý 5.6.1 Tổng quan 5.6.2 Đánh giá đầu vào 5.6.3 Đánh giá đầu 4.6 Đánh giá công tác quản lý Nâng cấp hệ thống ISMS 8.1 Nâng cấp thường xuyên 8.2 Hoạt động khắc phục 8.3 Hoạt động bảo vệ ngăn ngừa 8.5 Nâng cấp ISMS 8.5.1 Liên tục nâng cấp 8.5.2 Hoạt động sửa chữa 8.5.3 Hoạt động ngăn ngừa 4.5.3 Sự bất tuân, hoạt động sửa chữa, hoạt động ngăn ngừa Phụ lục A: Các mục tiêu quản Phụ lục A: Sự phù hợp lý biện pháp quản lý chuẩn ISO 9001:2000 chuẩn Phụ lục B: Các nguyên tắc ISO 14001:2004 OECD tiêu chuẩn Phụ lục C: Sự phù hợp chuẩn ISO 9001:2000, ISO 14001:2004 tiêu chuẩn quốc tế Phụ lục A: Hướng dẫn sử dụng tiêu chuẩn quốc tế Phụ lục B: Sự phù hợp chuẩn ISO 9001:2000 chuẩn ISO 14001:2004 TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT-TC VI Bản dự thảo TCVN “Hệ thống quản lý an toàn thông tin” TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT [...]... khác nhau của tiêu chuẩn ISO/ IEC 17799 như Tiêu chuẩn NEN -ISO/ IEC 17799:2002 của Hà lan được xây dựng từ ISO/ IEC 17799:2000, bản dịch từ ISO/ IEC 17799:2005 đang được thực hiện Tiêu chuẩn DS484:2005 của Đan mạch, UNE 71501 của Tây ban nha, UNIT /ISO 17799:2005 của Uruguay và EVS -ISO/ IEC 17799:2003 của Estonia đều được xây dựng từ phiên bản ISO/ IEC 17799:2000 IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005 ISO/ IEC... các ứng dụng ISO/ IEC 15408 đề cập đến việc bảo vệ thông tin chống các truy nhập không có quyền, thay đổi hoặc mất mát trong sử dụng Việc phân nhóm bảo vệ liên quan đến 3 kiểu lỗi về An ninh: sự tin cậy, toàn vẹn và sẵn sàng ISO/ IEC 15408 cũng có thể được sử dụng cho các đánh giá ngoài ba nhóm trên TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT -TC ISO/ IEC... bởi hoạt động của con người, các đoạn mã độc hại và một số nguy cơ không liên quan đến con người Thêm vào đó, ISO/ IEC 15408 có thể áp dụng cho các lĩnh vực khác của CNTT mà không đòi hỏi các khả năng ngoài vùng hạn chế của An ninh CNTT ISO/ IEC 15408 có thể sử dụng cho các tiêu chuẩn để đánh giá An ninh CNTT cho phần cứng, phần mềm và firmware Tại đó các phần đặc trưng của đánh giá được sử dụng để cung... lý an toàn thông tin hoàn toàn phù hợp với các tiêu chuẩn quản lý thông dụng ISO 9001:2000 và ISO 14001:2004, bảng dưới đây sẽ đưa ra các thông tin so sánh để chứng minh sự phù hợp giữa các tiêu chuẩn trên TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT -TC ISO 27001:2005 ISO 9001:2000 0 Giới thiệu 0.1 Tổng quan 0.2 Cách thức tiếp cận 0.3 Sự tương thích... và biện pháp quản lý chuẩn ISO 9001:2000 và chuẩn Phụ lục B: Các nguyên tắc ISO 14001:2004 OECD và các tiêu chuẩn Phụ lục C: Sự phù hợp giữa các chuẩn ISO 9001:2000, ISO 14001:2004 và tiêu chuẩn quốc tế này Phụ lục A: Hướng dẫn sử dụng tiêu chuẩn quốc tế này Phụ lục B: Sự phù hợp giữa các chuẩn ISO 9001:2000 và chuẩn ISO 14001:2004 TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ... chung ISO/ IEC JTC 1, Công nghệ thông tin, Tiểu ban SC 2, Các kỹ thuật an ninh CNTT Tài liệu của ISO/ IEC 15408 được xuất bản bởi Các tổ chức tài trợ dự án về tiêu chuẩn thông thường như Tiêu chuẩn thông thường trong đánh giá An ninh CNTT Phiên bản thứ 2 đã được sửa đổi từ phiên bản thứ nhất (ISO/ IEC 154081:1999) được sử dụng thay thế cho phiên bản thứ nhất TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM. .. quản lý, TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT -TC hành ISMS quy trình và thủ tục của hệ thống ISMS C (Kiểm tra) - giám sát và đánh giá Xác định hiệu quả việc thực hiện quy trình dựa trên ISMS chính sách, mục tiêu mà hệ thống ISMS đã đặt ra; kinh nghiệm thực tiễn và báo cáo kết quả cho việc đánh giá của ban quản lý A (Hành động) - Duy trì và... rủi ro của tổ chức 1 Thuật ngữ “đối tượng quản lý” trong ngữ cảnh này dùng để chỉ một cá nhân hay thực thể đã phê chuẩn trách nhiệm quản lý trong việc điều khiển sản xuất, phát triển, bảo trì, sử dụng và đảm bảo an toàn của tài sản Thuật ngữ này không dùng để chỉ những người có quyền sở hữu tài sản TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT BÁO CÁO KẾT QUẢ NGHIÊN CỨU ĐỀ TÀI 63-07-KHKT -TC 19)... từ tiêu chuẩn ISO/ IEC 17799:2005 Newzealand và Autralia Tại Australia và NewZealand, tiêu chuẩn AS/NZS ISO/ IEC 17799:2006 được xây dựng năm 2006 được xây dựng dựa trên các tiêu chuẩn ISO/ IEC 17799:2005 và tiêu chuẩn AS/NZS ISO/ IEC 17799:2001 Tiêu chuẩn này hoàn toàn tương thích với tiêu chuẩn ISO/ IEC 17799:2005 Về nội dung tiêu chuẩn NZS ISO/ IEC 17799:2005 hoàn toàn giống với tiêu chuẩn ISO 17799:2005... chuẩn quốc tế ISO 15408:2005 đưa ra Nội dung của tiêu chuẩn chỉ bao gồm hệ thống các phương pháp đánh giá cho phép đánh giá theo các cấp độ từ EAL 1 tới EAL 4 được quy định trong ISO 15408 Nội dung tiêu chuẩn ISO 18045 bao gồm các phần chính sau: 1 Giới thiệu 2 Phạm vi áp dụng 3 Thuật ngữ và định nghĩa 4 Ký hiệu và từ viết tắt 5 Tổng quan 6 Các quy ước TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM – VNCERT ... khác ISO 9001:2000, TCVN ISO 9001:2000 ISO 14001:2004 nhằm đảm bảo thống thành công triển khai lúc tiêu chuẩn quản lý khác III Ứng dụng thực tiễn TC ISO 27001:2005 Việt nam III.1 Tình hình áp dụng. .. Tiêu chuẩn ISO 17799 phiên 2000 Tổng Cục đo lường Chất lượng sử dụng tài liệu để biên soạn TCKT Việt Nam tương đương TCVN 7562:2005, nhiên Việt nam chưa có TCKT Việt Nam tương đương với ISO 27001... áp dụng tiêu chuẩn ISO 27001 Việt Nam Tại Việt Nam, tiêu chuẩn kỹ thuật quốc tế ISO 27001 nhiều quan đơn vị có ứng dụng hệ thống thông tin nghiên cứu quan tâm nghiên cứu áp dụng Tuy nhiên việc

Ngày đăng: 27/01/2016, 08:02

Xem thêm: Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam

Mục lục

  • I Nhu cầu thực tiễn

  • II.2 Tóm tắt nội dung tiêu chuẩn

  • III Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam

    • III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 tại Việt Nam

    • III.2 Các lợi ích của việc áp dụng tiêu chuẩn ISO 27001

    • IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT

      • IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005

      • IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005

      • IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005

      • IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005

      • V Tiêu chuẩn kỹ thuật “Hệ thống quản lý ATTT”

        • V.1 Các yêu cầu chung

        • V.2 Yêu cầu đối với quá trình thiết lập hệ thống ISMS

        • V.3 Yêu cầu đối với quá trình điều hành hoạt động hệ thống ISMS

        • V.4 Yêu cầu đối với quá trình giám sát và đánh giá hệ thống ISMS

        • V.5 Yêu cầu đối với quá trình duy trì và mở rộng hệ thống ISMS

        • V.6 Sự phù hợp của ISO 27001:2005 và tiêu chuẩn quản lý khác

        • VI Bản dự thảo TCVN “Hệ thống quản lý an toàn thông tin”

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan