thuyet minh du thao tcvn 27010 (1)
TRANSCRIPT
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
VIỆN KHOA HỌC KỸ THUẬT BƯU ĐIỆN
--------------
THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUẢN LÝ
AN TOÀN THÔNG TIN CHO HỆ THỐNG THÔNG TIN LIÊN TỔ CHỨC,
LIÊN NGÀNH
HÀ NỘI, 2014
MỤC LỤC
1. Tên gọi và ký hiệu tiêu chuẩn..........................................................................1
2. Đặt vấn đề.........................................................................................................1
2.1 Tình hình tiêu chuẩn hóa.................................................................................1
2.2.1. Tình hình tiêu chuẩn hóa về hệ thống quản lý an toàn thông tin.1
2.2.2. ISO/IEC 27010:2012 và vai trò của ISO/IEC 27010 trong bộ
ISO/IEC 27000........................................................................................................2
a) Mục tiêu của tiêu chuẩn......................................................................2
b) Cấu trúc tiêu chuẩn.............................................................................3
c) So sánh với ISO/IEC 27001 và ISO/IEC 27002.................................3
d) Vai trò của ISO/IEC 27010 trong bộ tiêu chuẩn ISO/IEC 27000.......5
2.2 Lý do và mục đích xây dựng tiêu chuẩn.........................................................6
3. Sở cứ xây dựng tiêu chuẩn...............................................................................7
4. Phương pháp xây dựng tiêu chuẩn.................................................................7
5. Nội dung chính của dự thảo tiêu chuẩn..........................................................8
6. Bảng đối chiếu tiêu chuẩn viện dẫn................................................................9
7. Kết luận...........................................................................................................13
1. Tên gọi và ký hiệu tiêu chuẩn
Tên tiêu chuẩn: “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin
cho hệ thống thông tin liên tổ chức, liên ngành.”
Ký hiệu tiêu chuẩn: TCVN xxxx:2014
2. Đặt vấn đề
1.1 Tình hình tiêu chuẩn hóa
2.2.1.Tình hình tiêu chuẩn hóa về hệ thống quản lý an toàn thông tin
Một trong các biện pháp phòng ngừa rủi ro an toàn thông tin là triển khai áp dụng Hệ thống
Quản lý An toàn Thông tin (ISMS: Information Security Management System) theo các nguyên
tắc của bộ tiêu chuẩn quốc tế ISO/IEC 27000. Có thể nói rằng, ISO/IEC 27000 là một phần của
hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro
trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, soát xét, duy trì và cải tiến đảm bảo
an toàn thông tin của tổ chức.
Hiện nay, đã có 17 tiêu chuẩn trong bộ tiêu chuẩn này đã được ban hành, và một số khác đang
được xây dựng. Tại Việt Nam cũng đã ban hành 2 tiêu chuẩn TCVN ISO/IEC 27001:2009 và
TCVN ISO/IEC 27002:2011, trong đó 2 tiêu chuẩn này được xây dựng theo phương pháp chấp
thuận nguyên vẹn về nội dung của các tiêu chuẩn tương đương của bộ ISO/IEC 27000.
Bảng 1: Các tiêu chuẩn quốc tế, chuẩn quốc gia về hệ thống quản lý an toàn thông tin.
STT Tiêu chuẩn ISO/IEC Tiêu chuẩn quốc gia
1 ISO/IEC 27000
2 ISO/IEC 27001 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005
3 ISO/IEC 27002 TCVN ISO/IEC 27002:2011 ISO/IEC 27002:2005
4 ISO/IEC 27003
5 ISO/IEC 27004
6 ISO/IEC 27005
7 ISO/IEC 27006
8 ISO/IEC 27007
9 ISO/IEC TR 27008
1
STT Tiêu chuẩn ISO/IEC Tiêu chuẩn quốc gia
10 ISO/IEC 27010
11 ISO/IEC 27011
12 ISO/IEC 27031
13 ISO/IEC 27032
14 ISO/IEC 27033
15 ISO/IEC 27034
16 ISO/IEC 27035
17 ISO 27799
2.2.2.ISO/IEC 27010:2012 và vai trò của ISO/IEC 27010 trong bộ ISO/IEC 27000
Tháng 04/2012, ISO/IEC ban hành tiêu chuẩn quốc tế ISO/IEC 27010:2012 “Công nghệ thông
tin – Các kỹ thuật an toàn - Quản lý an toàn thông tin cho hệ thống thông tin liên tổ chức, liên
ngành” cung cấp bổ sung các hướng dẫn đưa ra trong bộ tiêu chuẩn ISO/IEC 27000.
ISO/IEC 27010:2012 được biên soạn bởi Ủy ban kỹ thuật liên hợp ISO/IEC JTC 1 về công nghệ
thông tin (Joint Technical Committee ISO/IEC JTC) và Tiểu ban SC 27 về các kỹ thuật an toàn
CNTT (Information Technology Subcommittee SC 27, IT security techniques).
a) Mục tiêu của tiêu chuẩn
ISO/IEC 27010:2012 bổ sung thêm vào hai tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC
27002:2005 về việc sử dụng cộng đồng chia sẻ thông tin. Các hướng dẫn bao hàm trong tiêu
chuẩn này là để thêm vào và hoàn thiện hướng dẫn chung được đưa ra trong bộ tiêu chuẩn
ISO/IEC 27000.
Tiêu chuẩn này cung cấp các biện pháp quản lý và hướng dẫn cụ thể liên quan đến khởi tạo,
triển khai thực hiện, duy trì, và cải thiện an toàn thông tin cho truyền thông liên tổ chức và liên
ngành.
ISO/IEC 27010:2012 được áp dụng cho tất cả các hình thức trao đổi và chia sẻ thông tin nhạy
cảm, cả công khai lẫn riêng tư, quốc gia và quốc tế, trong cùng một ngành công nghiệp hoặc
cùng một thị trường hay giữa các ngành. Đặc biệt, nó có thể được áp dụng để trao đổi và chia sẻ
thông tin liên quan đến việc hỗ trợ, duy trì và bảo vệ cơ sở hạ tầng quan trọng của một tổ chức
hoặc một nước.
b) Cấu trúc tiêu chuẩn
2
Tiêu chuẩn này gồm 15 mục và 4 phụ lục cụ thể như sau:
Mục 4 đưa ra các khái niệm và lý giải nhằm giải thích một số khái niệm và nguyên nhân
xây dựng thêm tiêu chuẩn cho truyền thông liên ngành và liên tổ chức.
Từ mục 5 đến mục 15 được tham chiếu đến ISO/IEC 27002:2005, bổ sung thêm nội dung
nhằm đưa ra nội dung quản lý an toàn thông tin cho hệ thống truyền thông liên ngành, liên tổ
chức.
Phụ lục giải thích một số định nghĩa, thiết lập, giao thức và mô hình có liên quan đến việc
quản lý an toàn thông tin cho truyền thông liên ngành, liên tổ chức.
c) So sánh với ISO/IEC 27001 và ISO/IEC 27002.
Tiêu chuẩn ISO/IEC 27010 được tạo ra và vận hành theo tiêu chuẩn ISO/IEC 27001 và sử dụng
biện pháp quản lý theo tiêu chuẩn ISO/IEC 27002.
Tuy nhiên, có một số chỗ trong tiêu chuẩn ISO/IEC 27001:2005 cần được giải thích khi áp dụng
cho một cộng đồng chia sẻ thông tin (hoặc, đối với cộng đồng truyền thông liên ngành). Và tiêu
chuẩn ISO/IEC 27010.
Còn về bố cục và nội dung, tiêu chuẩn ISO/IEC 27010 gần như tương đương với tiêu chuẩn
ISO/IEC 27002.
So sánh về sự tương đồng của hai tiêu chuẩn ISO/IEC 27010 và ISO/IEC 27002.
- Hai phiên bản vẫn sử dụng các định nghĩa, các khái niệm nhất quán như được định
nghĩa trong bộ tiêu chuẩn ISO/IEC 27000.
- Bộ khung của hai tiêu chuẩn từ mục 5 đến mục 15 (mục cuối của tiêu chuẩn) là không
thay đổi.
- Như vậy, bộ khung chính của hai tiêu chuẩn không thay đổi. Phiên bản mới không có
thay đổi về tư tưởng chủ đạo của tiêu chuẩn, các tiêu chí đánh giá, phương thức đánh giá.
So sánh về sự khác biệt của hai tiêu chuẩn
Hai tiêu chuẩn có một số khác biệt, chủ yếu là do tiêu chuẩn ISO/IEC 27010 bổ sung thêm nội
dung vào các phần đã được nêu trong ISO/IEC 27002, cụ thể là:
- Bổ sung thêm 02 thuật ngữ;
- Bổ sung thêm phần khái niệm và lý giải nhằm giải thích một số khái niệm và nguyên
nhân xây dựng thêm tiêu chuẩn cho truyền thông liên ngành và liên tổ chức.
- Phần Hướng dẫn triển khai: Cung cấp nhiều thông tin chi tiết hơn để hỗ trợ triển khai
biện pháp quản lý và phù hợp với mục tiêu quản lý. Cụ thể: Phần 5.1.1; 5.1.2; 6.2.3; 7.1.3;
7.2.1; 8.1.3; 10.4.1; 10.8.2; 10.8.4; 10.10.1; 12.3.1; 13.1.1; 13.2.2; 14.1.2; 14.1.3; 15.1.1 của
ISO/IEC 27002 được bổ sung thêm nội dung này.
3
- Bỏ Mục 5 “ Đánh giá và xử lý rủi ro” của ISO/IEC 27002: ISO/IEC 27002 định nghĩa
các biện pháp quản lý bao gồm việc trao đổi thông tin giữa các tổ chức trên cơ sở song
phương hay có nghĩa là chỉ trong phạm vi của một tổ chức nói chung, các bộ phận của tổ
chức, một hệ thống thông tin cụ thể nào đó, các thành phần hệ thống nhất định, hoặc các
dịch vụ mà ở đó có thể thực hiện đánh giá rủi ro một cách khả thi, thực tế, và hữu dụng, nên
khả năng đánh giá vấn đề an toàn thông tin, phát hiện và xử lý các rủi ro xảy ra là điều cần
thiết. Còn việc trao đổi thông tin giữa các ngành, các tổ chức với nhau việc đánh giá và xử
lý rủi ro thông tin của tổ chức này mang lại cho tổ chức khác là không rõ ràng, có thể nó là
rủi ro với tổ chức này, nhưng lại không gây thiệt hại gì cho tổ chức khác. Nên phần này
không hiệu quả trong tiêu chuẩn này.
- Mục 7 của ISO/IEC 27002 được bổ sung thêm mục 7.3 “Bảo vệ trao đổi thông tin”: Ở
một mức độ cao hơn việc chia sẻ thông tin trong cùng một tổ chức, việc phân tán thông tin
trong truyền thông liên ngành, liên tổ chức là bị giới hạn phạm vi thành viên nhận, nó được
bảo vệ và phân tán theo mọi quy tắc được thiết lập bởi cộng đồng chia sẻ thông tin hoặc của
người khởi tạo. Việc trao đổi thông tin này là đã thoát ra ngoài của một tổ chức, do đó một
vài đặc tính khi truyền thông tin như: nguồn gốc thông tin gửi, đặc tính người nhận…có thể
có lợi cho tổ chức này, nhưng lại không có lợi cho tổ chức khác. Do đó, để đảm bảo sự an
toàn cho các ngành, các tổ chức trong việc trao đổi thông tin với nhau, việc “Bảo vệ trao đổi
thông tin” là cần thiết.
- Mục 13.1 của ISO/IEC 27002 được bổ sung thêm mục nhỏ 13.1.3 “Hệ thống cảnh báo
sớm”.
Trong bối phát triển như vũ bão của công nghệ thông tin ngày nay, việc trao đổi
đan xen tác động qua lại lẫn nhau giữa các ngành, các quốc gia,... làm nguy cơ xảy
ra những bất ổn dẫn đến mất kiểm soát thông tin là rất lớn. Một khi xảy ra mất kiểm
soát thông tin thì ảnh hưởng của nó rất nghiêm trọng, nó không chỉ gây ảnh hưởng
đến một ngành, một tổ chức mà nó còn ảnh hưởng đến quốc gia, của khu vực và
thậm chí là thế giới; gây thiệt hại vô cùng lớn. Vì vậy, việc xây dựng một hệ thống
cảnh báo kiểm soát thông tin (cảnh báo mức ưu tiên của thông tin) là rất cần thiết.
Có thể hiểu một cách đơn giản, hệ thống cảnh báo sớm là một hệ thống sử dụng
nhiều hình thức, kiến thức và kỹ thuật khác nhau nhất là kiến thức về công nghệ
thông tin thông qua các chỉ tiêu về mức độ an toàn, mức độ ưu tiên để đo (đánh giá)
được khả năng truyền thông. Từ đó, phát hiện ra mức kiểm soát thông tin, các mức
độ ưu tiên của thông tin để tiến hành truyền thông thích hợp. Trên cơ sở đó giúp
cho các thông tin như vậy được chia sẻ khẩn cấp thậm chí nó không cần được phân
tích hoặc xác nhận đầy đủ. Vì vậy việc xây dựng hệ thống cảnh báo sớm là rất cần
thiết.
4
- Mục 15.1 của ISO/IEC 27002 được bổ sung thêm mục nhỏ 15.1.7 “Trách nhiệm với
cộng đồng chia sẻ thông tin”: Mục này nằm trong phần “Sự tuân thủ” của tiêu chuẩn này tức
là liên quan đến quy định, nghĩa vụ. Khi chia sẻ thông tin trong một tổ chức, những quy
định, phạm vi đều đã được phổ cập bắt buộc các thành viên trong tổ chức đó nắm đươc. Tuy
nhiên, mỗi ngành, mỗi tổ chức lại có những quy định riêng, có thể có những chỉ tiêu giống
nhau nhưng cũng có những chỉ tiêu khác nhau, tùy vào mục đích hoạt động, phương thức
lãnh đạo của tổ chức đó. Do đó, để tiến hành trao đổi thông tin giữa các ngành, tổ chức này
cần đặt ra một quy định chung hay chính là trách nhiệm cần tuân thủ của những thành viên
tham gia vào việc truyền thông giữa các ngành các tổ chức để giải quyết các tình huống có
thể xảy ra trong cộng đồng chia sẻ đó. Phải xem xét mọi thỏa thuận, luật thích hợp và các
quy định liên quan đến chia sẻ thông tin, như các quy định hoặc pháp luật về chống độc
quyền. Điều này để ngăn cản việc các tổ chức tham gia vào cộng đồng, hoặc đưa ra các hạn
chế cho đại diện của tổ chức.
- Mục 15.3 của ISO/IEC 27002 được bổ sung thêm mục nhỏ 15.3.3 “Chức năng đánh giá
của cộng đồng”: việc đánh giá các hệ thống thông tin rất quan trọng nhằm tối ưu hóa và
giảm thiểu những ảnh hưởng xấu từ/tới quá trình đánh giá các hệ thống thông tin. Đánh giá
cho hệ thống của một tổ chức riêng lẻ đã quan trọng, việc đánh giá khi các tổ chức đó trao
đổi thông tin với nhau càng quan trọng hơn, vì nó ảnh hưởng tới tất cả các tổ chức mà liên
quan đến thông tin đó. Khi trong phạm vi của một tổ chức, việc đánh giá là đã được chỉ định
cho một bộ phận nào đó dưới sự hỗ trợ của các công cụ đánh giá và sự giám sát của ban
quản lý của tổ chức đó. Khi truyền thông liên ngành, liên tổ chức diễn ra, cũng tương tự như
việc chỉ định một bộ phận đánh giá trong một tổ chức thì ở đây cộng đồng chia sẻ thông tin
sẽ phải định rõ các thành viên đánh giá các hệ thống cho cộng đồng để đảm bảo an toàn cho
toàn bộ các ngành, tổ chức tham gia truyền thông trong cộng đồng đó.
d) Vai trò của ISO/IEC 27010 trong bộ tiêu chuẩn ISO/IEC 27000
ISO/IEC 27010 có vai trò là một trong những tiêu chuẩn hướng dẫn liên quan đến việc chia sẻ
thông tin về các rủi ro an toàn thông tin, các biện pháp quản lý, các vấn đề và/hoặc các sự cố
xảy ra trên các giới hạn giữa các ngành nghề và/hoặc các quốc gia, đặc biệt là các sự cố ảnh
hưởng đến cơ sở hạ tầng quan trọng..
Nếu đặt ISO/IEC 27010 trong mối quan hệ với các tiêu chuẩn khác trong cùng bộ ISO/IEC
27000 có thể thấy rằng, ISO/IEC 27010 thuộc nhóm các tiêu chuẩn hướng dẫn cho các ngành
nghề cụ thể. Bên cạnh ISO/IEC 27011 cung cấp hướng dẫn hỗ trợ việc triển khai quản lý an
toàn thông tin trong các tổ chức viễn thông, cùng được mở rộng từ khuyến nghị ISO/IEC
27002 tiêu chuẩn ISO/IEC 27015 nhấn mạnh cho các tổ chức cung cấp dịch vụ tài chính còn
ISO/IEC 27799 cung cấp hướng dẫn cho các tổ chức y tế và các tổ chức nắm giữ thông tin sức
khỏe cá nhân bảo vệ các thông tin sức khỏe thì ISO/IEC 27010 lại tập trung vào việc cung cấp
5
hướng dẫn xây dựng các tiêu chuẩn an toàn thông tin cho hệ thống thông tin liên tổ chức, liên
ngành.
- Trong nội dung của ISO/IEC 27010 ngoài việc thể hiện rõ vị trí áp dụng của tiêu chuẩn
ISO/IEC 27002 trong bộ ISO/IEC 27000 trong quá trình triển khai ISMS thì tiêu chuẩn
ISO/IEC 27001 cũng được sử dụng trong tiêu chuẩn này để viện dẫn. Điều này cho thấy mối
quan hệ mật thiết của ISO/IEC 27010 với các tiêu chuẩn khác trong cùng bộ ISO/IEC 27000.
Nhận xét:
- Các tiêu chuẩn quốc gia về hệ thống quản lý an toàn thông tin đều dựa trên các tiêu chuẩn
của ISO/IEC. Các tiêu chuẩn này liên tục được cập nhật và bổ xung mới cho phù hợp hơn, đáp
ứng được yêu cầu của thực tiễn.
- Hai tiêu chuẩn quốc gia về quản lý an toàn thông tin TCVN ISO/IEC 27001:2009 và TCVN
ISO/IEC 27002:2011 chấp thuận nguyên vẹn theo tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC
27002:2005.
- Tiêu chuẩn quốc gia về hệ thống quản lý an toàn thông tin liên tổ chức, liên ngành là chưa
có.
- Tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin liên tổ chức, liên ngành mới được
ban hành là ISO/IEC 27010:2012.
- Xây dựng tiêu chuẩn mới về quản lý an toàn thông tin cho hệ thống thông tin liên tổ chức,
liên ngành nhằm khuyến khích các tổ chức áp dụng và đưa ra định hướng thực hành trong việc
xây dựng các tiêu chuẩn an toàn cho các tổ chức và thực hành quản lý an toàn hiệu quả và giúp
tạo dựng sự tin cậy trong các hoạt động liên tổ chức.
1.2 Lý do và mục đích xây dựng tiêu chuẩn
- Các tổ chức tiêu chuẩn quốc tế liên tục cập nhật các tiêu chuẩn về công nghệ thông tin, trong
đó có bộ tiêu chuẩn ISO/IEC 27000 về hệ thống quản lý an toàn thông tin. ISO/IEC 27010:2012
là phiên bản mới nằm trong bộ tiêu chuẩn ISO/IEC 27000, trong đó đưa ra việc quản lý an toàn
thông tin cho truyền thông liên ngành, liên tổ chức, phù hợp, có hiệu quả ứng dụng cao cho các
tổ chức mà không phụ thuộc vào loại hình và quy mô của tổ chức.
- Vấn đề an toàn thông tin đang ngày càng cấp bách trên thế giới cũng như ở Việt Nam. Thời
gian qua, hàng loạt các sự kiện nóng liên quan đến ATTT đã liên tục xảy ra như Hacker tấn công
hệ thống website, làm tê liệt mạng thông tin. Hàng loạt ngân hàng lớn trên thế giới bị mất cắp
tiền qua mạng, hay việc phát hiện lỗ hổng lớn trên hệ thống DNS... Từ đó cho thấy, sự bùng nổ
của Internet, của thương mại điện tử bên cạnh việc tạo ra những cơ hội lớn là những nguy cơ rủi
ro cho nền kinh tế và xã hội hiện đại.
6
- Để quản lý an toàn thông tin cho hệ thống truyền thông liên ngành, liên tổ chức, việc đưa ra
các tiêu chí chung cho hệ thống đánh giá là điều hết sức cần thiết, nhằm đạt được sự nhất quán
và khách quan trong các kết quả đánh giá.
- Hiện nay, ở Việt Nam chưa có một tiêu chuẩn nào về việc thực hiện quản lý an toàn thông tin
cho hệ thống truyền thông liên ngành, liên tổ chức. Tiêu chuẩn này sẽ giúp các cơ quan, đơn vị,
doanh nghiệp có thể dựa vào để thực hiện việc quản lý an toàn thông tin trên hệ thống của mình.
- Tháng 1/2010, Thủ tướng chính phủ đã ký quyết định phê duyệt “Quy hoạch phát triển an
toàn thông tin số quốc gia đến năm 2020”. Một trong những nhiệm vụ trong Quy hoạch là xây
dựng và ban hành hệ thống tiêu chuẩn an toàn thông tin quốc gia làm cơ sở cho việc đảm bảo an
toàn thông tin trong giai đoạn 2010-2015, đáp ứng các nhu cầu đảm bảo an toàn thông tin đang
hết sức cấp bách trong thực tiễn.
- Việc xây dựng tiêu chuẩn này đồng bộ với việc xây dựng tiêu chuẩn TCVN ISO/IEC
27001:2009 và TCVN ISO/IEC 27002:2011.
- Xây dựng tiêu chuẩn nhằm bổ sung thêm tiêu chuẩn vào hệ thống tiêu chuẩn về lĩnh vực an
toàn thông tin hiện còn đang thiếu nhiều của Việt Nam, để khuyến nghị áp dụng tại Việt Nam
(hiện trên thế giới có khoảng hơn 100 tiêu chuẩn về an toàn thông tin, Việt Nam mới chỉ có một
số ít tiêu chuẩn được ban hành chính thức là TCVN 7562:2005 và TCVN 27001:2009 và TCVN
8709-1:2011 ISO/IEC 15408-1:2009; TCVN 8709-2:2011 ISO/IEC 15408-2:2008; TCVN 8709-
3:2011 cho đánh giá an toàn cho hệ thống CNTT.
- Định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn thông tin cho hệ thống
thông tin liên tổ chức, liên ngành và thực hành quản lý an toàn thông tin hiệu quả.
3. Sở cứ xây dựng tiêu chuẩn
Nhóm chủ trì đã xây dựng tiêu chuẩn này dựa trên tiêu chuẩn ISO/IEC 27010:2012. Đây cũng là
tài liệu đã được một số quốc gia sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia
tương đương.
4. Phương pháp xây dựng tiêu chuẩn
- ISO/IEC 27010:2012 là tài liệu tham chiếu làm cơ sở để xây dưng tiêu chuẩn này.
- Trên cơ sở rà soát các tiêu chuẩn Việt nam và quốc tế về hệ thống quản lý an toàn thông tin,
cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/ qui chuẩn, nhóm đề tài khuyến
nghị xây dựng tiêu chuẩn này theo phương pháp chấp thuận nguyên vẹn (có chỉnh sửa về thể
thức trình bày theo qui định về trình bày Tiêu chuẩn Quốc gia). Do một số tài liệu viện dẫn
(ISO/IEC 27001 và ISO/IEC 27002) của ISO/IEC 27010:2012 đã được sử dụng làm tài liệu cơ
sở để xây dựng các tiêu chuẩn TCVN tương đương nên dự thảo tiêu chuẩn viện dẫn trực tiếp đến
7
các TCVN tương đương này (TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005 và TCVN
ISO/IEC 27002:2011 ISO/IEC 27002:2005).
5. Nội dung chính của dự thảo tiêu chuẩn
Tiêu chuẩn được xây dựng với các nội dung như sau:
1 PHẠM VI ÁP DỤNG
2 TIÊU CHUẨN VIỆN DẪN
3 THUẬT NGỮ VÀ ĐỊNH NGHĨA
4 CÁC KHÁI NIỆM VÀ LÝ GIẢI
5 CHÍNH SÁCH AN TOÀN THÔNG TIN
6 TỔ CHỨC ĐẢM BẢO AN TOÀN THÔNG TIN
7 QUẢN LÝ TÀI SẢN
8 ĐẢM BẢO AN TOÀN THÔNG TIN TỪ NGUỒN NHÂN LỰC
9 ĐẢM BẢO AN TOÀN VẬT LÝ VÀ MÔI TRƯỜNG
10 QUẢN LÝ TRUYỀN THÔNG VÀ VẬN HÀNH
11 QUẢN LÝ TRUY CẬP
12 TIẾP NHẬN, PHÁT TRIỂN VÀ DUY TRÌ CÁC HỆ THỐNG THÔNG TIN
13 QUẢN LÝ CÁC SỰ CỐ AN TOÀN THÔNG TIN
14 QUẢN LÝ SỰ LIÊN TỤC CỦA HOẠT ĐỘNG NGHIỆP VỤ
15 SỰ TUÂN THỦ
PHỤ LỤC A
PHỤ LỤC B
PHỤ LỤC C
PHỤ LỤC D
THƯ MỤC TÀI LIỆU THAM KHẢO
8
6. Bảng đối chiếu tiêu chuẩn viện dẫn
Bảng 2: Bảng đối chiếu tiêu chuẩn viện dẫn
Nội dung tiêu chuẩn Tài liệu viện dẫn
ISO/IEC 27010:2012
Sửa đổi, bổ sung
1 Pham vi áp dụng Mục 1: Scope Chấp thuận
nguyên vẹn
2 Tiêu chuẩn viện dẫn Mục 2: Normative
references
Sửa đổi tham chiếu
đến TCVN
3 Thuật ngư và định nghia Mục 3: Terms and
Definitions
Chấp thuận
nguyên vẹn
4 Các khái niệm và lý giải Mục 4: Concepts and
justification
Chấp thuận
nguyên vẹn
5 Chính sách an toàn thông tin Mục 5: Security policy Chấp thuận
nguyên vẹn
5.1 Chính sách an toàn thông tin Mục 5.1: Information
security policy
6 Tổ chức đảm bảo an toàn thông
tin
Mục 6: Organization of
information security
Chấp thuận
nguyên vẹn
6.1 Tổ chức nội bộ Mục 6.1: Internal
Organization
6.2 Các bên tham gia bên ngoài Mục 6.2: External parties
7 Quản lý tài sản Mục 7 : Asset
management
Chấp thuận
nguyên vẹn
7.1 Trách nhiệm đối với tài sản Mục 7.1: Responsibility for
Assets
7.2 Phân loại thông tin Mục 7.2: Information
classification
7.3 Bảo vệ trao đổi thông tin Mục 7.3: Information
exchanges protection
9
Nội dung tiêu chuẩn Tài liệu viện dẫn
ISO/IEC 27010:2012
Sửa đổi, bổ sung
8 Đảm bảo an toàn thông tin từ
nguồn nhân lực
Mục 8: Human
resources security
Chấp thuận
nguyên vẹn
8.1 Trước khi tuyển dụng Mục 8.1: prior to
employment
8.2 Trong thời gian làm việc Mục 8.2: during
employment
8.3 Chấm dứt hoặc thay đổi công việc Mục 8.3: termination or
change employment
9 Đảm bảo an toàn vật lý và môi
trường
Mục 9: Physical and
environmental security
Chấp thuận
nguyên vẹn
10 Quản lý truyền thông và vận hành Mục 10: Communications
and operations
management
Chấp thuận
nguyên vẹn
10.1 Các trách nhiệm và thủ tục vận
hành
Mục 10.1: operational
procedures and
responsibilities
10.2 Quản lý chuyển giao dịch vụ của
bên thứ ba
Mục 10.2: thirt party service
delivery management
10.3 Lập kế hoạch và chấp nhận hệ
thống
Mục 10.3: System planning
and acceptance
10.4 Bảo vệ chống lại mã độc hại và
mã di động
Mục 10.4: Protection agains
malicious and mobilde code
10.5 Sao lưu Mục 10.5: back-up
10.6 Quản lý an toàn mạng Mục 10.6: network security
management
10.7 Quản lý phương tiện Mục 10.7: Media handling
10.8 Trao đổi thông tin Mục 10.8: Exchange of
information
10.9 Các dịch vụ thương mại điện tử Mục 10.9: Electronic
10
Nội dung tiêu chuẩn Tài liệu viện dẫn
ISO/IEC 27010:2012
Sửa đổi, bổ sung
commerce services
10.10 Giám sát Mục 10.10: Monitoring
11 Quản lý truy cập Mục 11: Access control Chấp thuận
nguyên vẹn
12 Tiếp nhận, phát triển và duy trì
các hệ thống thông tin
Mục 12: Information
systems acquisition,
development and
maintenance
Chấp thuận
nguyên vẹn
12.1 Yêu cầu đảm bảo an toàn cho
các hệ thống thông tin
Mục 12.1: Security
requirements of information
systems
12.2 Xử lý đúng trong các ứng dụng Mục 12.2: Correct
processing in applications
12.3 Quản lý mã hóa Mục 12.3: Cryptographic
controls
12.4 An toàn cho các tệp tin hệ thống Mục 12.4: Security of
system files
12.5 Bảo đảm an toàn trong các quy
trình hỗ trợ và phát triển
Mục 12.5: Sucurity in
development and support
process
12.6 Quản lý các điểm yếu về kỹ
thuật
Mục 12.6: Technical
vulnerability management
13 Quản lý các sự cố an toàn thông
tin
Mục 13: Information
security incident
management
Chấp thuận
nguyên vẹn
13.1 Báo cáo về các sự kiện an toàn
thông tin và các điểm yếu
Mục 13.1: Reporting
information secrity events
and weaknesses
13.2 Quản lý các sự cố an toàn thông
tin và cải tiến
Mục 13.2: Management of
information secrity
11
Nội dung tiêu chuẩn Tài liệu viện dẫn
ISO/IEC 27010:2012
Sửa đổi, bổ sung
incidents and improvements
14 Quản lý sự liên tục của hoat động
nghiệp vụ
Mục 14: Business
continuity management
Chấp thuận
nguyên vẹn
14.1 Các khía cạnh an toàn thông tin
trong quản lý sự liên tục của hoạt động
nghiệp vụ
Mục 14.1: information
secrity aspects of business
continuity management
15 Sự tuân thủ Mục 15: Compliance Chấp thuận
nguyên vẹn
15.1 Sự tuân thủ các quy định pháp lý Mục 15.1: Compliance with
legal requirements
15.2 Sự tuân thủ các chính sách và
tiêu chuẩn an toàn, và tương thích kỹ
thuật
Mục 15.2: Compliance with
security policies and
standard, and technical
compliance
15.3 Xem xét việc đánh giá các hệ
thống thông tin
Mục 15.3: Information
systems audit consideration
Phụ lục A Chia sẻ thông tin nhạy cảm Annex A: Sharing sensitive
information
Chấp nhận nguyên
vẹn
Phụ lục B Thiết lập sự tin cậy trong trao
đổi thông tin
Annex B: Establishing trust
in information exchanges
Chấp nhận nguyên
vẹn
Phụ lục C: Giao thức đèn giao thông Annex C: The traffic light
protocol
Chấp nhận nguyên
vẹn
Phụ lục D: Mô hình tổ chức của một
cộng đồng chia sẻ thông tin
Annex D: Models for
organizing an information
sharing community
Chấp nhận nguyên
vẹn
Thư mục tài liệu tham khảo Bibliography Chấp thuận
nguyên vẹn
12
7. Kết luận
An toàn bảo mật nhằm đảm bảo thông tin được cung cấp đáp ứng tính bí mật, tính sẵn sàng và
tính toàn vẹn đang là vấn đề cấp thiết trên toàn thế giới và cả ở Việt Nam.
Ở Việt Nam hiện nay, hệ thống tiêu chuẩn về an toàn thông tin còn chưa đầy đủ; tiêu chuẩn về
an toàn thông tin cho hệ thống thông tin liên ngành, liên tổ chức ở Việt Nam chưa có. Trước tình
hình đó, việc xây dựng, công bố tiêu chuẩn để đánh giá an toàn cho các hệ thống thông tin liên
ngành, liên tổ chức là cần thiết.
Cùng với tiêu chuẩn TCVN ISO/IEC 27001:2009, TCVN ISO/IEC 27002:2011, nhóm chủ trì đề
xuất hoàn chỉnh và công bố tiêu chuẩn này cho các tổ chức ở Việt Nam với mọi loại hình và
quy mô khác nhau (như các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi
lợi nhuận, các mạng xã hội), đặc biệt là các tổ chức nhà nước để giúp các tổ chức xây dựng các
hệ thống thông tin an toàn và thực hành quản lý an toàn thông tin một cách hiệu quả.
13