Tải bản đầy đủ
1 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005

1 TCVN ISO/IEC 27001:2009 ISO/IEC 27001:2005

Tải bản đầy đủ

lường chất lượng đề nghị, Bộ Khoa học

8) Quản lý truyền thông và hoạt

và Công nghệ ban hành năm 2005.

động;
9) Kiểm soát truy cập;
10)Phát triển và duy trì hệ thống;
11)Quản lý liên tục trong kinh

Tiêu chuẩn này được xây dựng dựa trên
tiêu

chuẩn

quốc

tế

ISO/IEC

17799:2000 có tên “code of practice for
information security management”và
hoàn toàn tương đương với tiêu chuẩn
quốc tế này.
Mục tiêu
Tiêu chuẩn này gồm có mười hai phần,
đưa ra các khuyến nghị về công tác
quản lý an ninh thông tin cho những

doanh;
12)Sự tuân thủ.
Tiêu chuẩn đã đưa ra 127 hướng dẫn
đảm bảo an toàn thông tin được phân
thành 10 vấn đề chính, bao gồm:
Chính sách an ninh
Mục tiêu là cung cấp phương hướng
quản lý và hỗ trợ an ninh thông tin.

người có trách nhiệm cài đặt, thực thi

Ban quản lý an toàn thông tin (BQL)

hoặc duy trì an ninh trong tổ chức của

nên thiết lập một phương hướng chính

họ. Tiêu chuẩn này nhằm cung cấp một

sách rõ ràng, công khai hỗ trợ và cam

cơ sở chung để xây dựng các tiêu chuẩn

kết ANTT thông qua việc phát hành và

an ninh trong tổ chức và thực hành

duy trì một chính sách an ninh (CSAN)

quản lý an toàn thông tin một cách hiệu

thông tin trong toàn tổ chức.

quả và tạo sự tin cậy trong các giao

Việc xây dựng các chính sách an ninh

dịch liên tổ chức. Các khuyến Các

bao gồm hai nội dung cơ bản:

khuyến nghị rút ra từ tiêu chuẩn này
được lựa chọn và sử dụng phù hợp với

a) Các cơ quan tổ chức cần tự xây
dựng tài liệu CSAN phù hợp với

các luật và quy định liên quan.

hoạt động thực tiễn trong đó bao

Tiêu chuẩn TCVN 7562 được trình bày
trong mười hai phần bao gồm:
1)
2)
3)
4)
5)
6)
7)

Phạm vi áp dụng;
Thuật ngữ và định nghĩa;
Chính sách an ninh;
An ninh tổ chức;
Phân loại và kiểm soát tài sản;
An ninh cá nhân;
An ninh môi trường vật lý;

-

gồm các nội dung:
Định nghĩa về an ninh thông tin
(ANTT), đối tượng, phạm vi,

-

tầm quan trọng;
Mục đích quản lý, hỗ trợ các
mục tiêu và nguyên tắc về
ANTT;

-

Giải thích các chính

sách,

sử dụng cách tiếp cận an ninh thông tin

nguyên tắc, tiêu chuẩn, yêu cầu

đã chiều, ví dụ bao gồm sự phối hợp và
hợp tác của các nhà quản lý, người sử

-

đặc biệt của tổ chức quy định.;
Xác định trách nhiệm cho việc

-

quản lý và báo cáo;
Danh mục các tài liệu có thể hỗ

trợ.
b) Các cơ quan tổ chức cần thường

dụng, nhà quản trị, người thiết kế ứng
dụng, kiểm toán viên, nhân viên an
ninh và các chuyên gia có kỹ năng
chuyên môn trong nhiều lĩnh vực như

xuyên soát xét đánh giá hiệu quả

bảo hiểm và quản lý rủi ro.

của CSAN đã có.

Xây dựng một hạ tầng an ninh thông tin

An ninh tổ chức
a) Hạ tầng an ninh thông tin
Mục tiêu : Quản lý an ninh thông tin
trong tổ chức

cần thực hiện
-

Xây dựng diễn đàn quản lý

-

ANTT;
Hợp tác về ANTT (Phối hợp
thực hiện đảm bảo ANTT giữa

Khuôn khổ quản lý nên được thiết lập
để khởi đầu và kiểm soát việc thực hiện
an ninh thông tin trong tổ chức.

-

các bộ phận, chuyên gia);
Phân định trách nhiệm

-

ANTT;
Quyền xử lý phương tiện xử lý

-

thông tin;
Khuyến nghị của chuyên gia

-

ATTT;
Hợp tác giữa các tổ chức;
Soát xét ANTT một cách độc

Các diễn đàn quản lý phù hợp với khả
năng lãnh đạo của ban quản lý nên
được thành lập để thông qua CSAN, ấn
định các vai trò an ninh và phối hợp
thực hiện an ninh trong toàn bộ tổ chức.
Nếu cần thiết, một tập hợp các khuyến

về

lập.
b) An ninh đối với sự truy cập bên
thứ ba

nghị về an ninh thông tin nên được thiết
lập và sẵn dùng trong tổ chức. Nên phát

Mục tiêu : Duy trì an ninh cho các

triển việc cộng tác với các chuyên gia

phương tiện xử lý thông tin của tổ chức

an ninh bên ngoài để theo kịp các xu

và các tài sản thông tin do các bên thứ

hướng công nghiệp, các tiêu chuẩn

ba truy cập.

giám sát, phương pháp đánh giá và
cung cấp các điểm liên lạc phù hợp khi
xử lý sự cố an ninh. Nên khuyến khích

-

Xác định các rủi ro từ việc truy
cập của bên thứ ba;

-

Các yêu cầu an ninh trong hợp

đồng với bên thứ ba.
c) Cung ứng bên ngoài
Mục tiêu : Duy trì an ninh cho các
phương tiện xử lý thông tin của tổ chức
và các tài sản thông tin do các bên thứ
ba truy cập
-

Xác định các rủi ro từ việc truy

-

cập của bên thứ ba;
Các yêu cầu an ninh trong hợp
đồng với bên thứ ba.

Phân loại và kiểm soát tài sản
a) Trách nhiệm giải trình các tài
sản

a) An ninh theo định nghĩa và
nguồn công việc
Mục tiêu : Giảm rủi ro do các hành vi
sai sót, đánh cắp, gian lận hoặc lạm
dụng các phương tiện
Nội dung tiêu chuẩn đề ra các quy tắc
cần thực hiện trong việc:
-

An ninh theo trách nhiệm công

-

việc;
Chính sách và kiểm tra nhân sự;
Thỏa thuận về tính bảo mật;
Các điều khoản và điều kiện

tuyển dụng.
b) Đào tạo người sử dụng (NSD)
Mục tiêu : Đảm bảo NSD nhận thức

Mục tiêu : Duy trì bảo vệ thích hợp các

được các mối đe dọa và các vấn đề liên

tài sản của tổ chức

quan đến ANTT.

-

Tài sản: Thông tin; thiết bị; phần

-

mềm; dịch vụ;
Toàn bộ tài sản chính nên được
giải trình và có người quản lý

-

được bổ nhiệm;
Thường xuyên kiểm kê, kiểm

soát đảm bảo an ninh cho tài sản.
b) Phân loại thông tin
Mục tiêu : Đảm bảo tài sản thông tin
có mức bảo vệ thích hợp
-

Hướng dẫn phân loại thông tin;
Dán nhãn quản lý thông tin.

An ninh cá nhân

c) Đối phó với các sự cố và sự cố
an ninh
Mục tiêu : Giảm thiểu thiệt hại từ các
trục trặc và sự cố AN, theo dõi và rút
kinh nghiệm.
Nội dung tiêu chuẩn đề ra các quy tắc
cần thực hiện trong việc:
-

Báo cáo sự cố (bảo mật);
Báo cáo các điểm yếu an ninh;
Báo cáo sự cố (phần mềm);
Rút kinh nghiệm từ các sự cố;
Quy trình thiết lập kỷ luật.

An ninh môi trường vật lý
a) Phạm vi an ninh

Mục tiêu : Ngăn ngừa việc truy cập,

-

Thủ tục vận hành được tài liệu

-

hóa;
Kiểm soát thay đổi trong hoạt

-

động;
Thủ tục quản lý sự cố;
Phân tách trách nhiệm;
Phân tách về các phương tiện

-

phát triển và hoạt động;
Quản lý các phương tiện bên

gây hại và can thiệp trái phép vào vùng
và thông tin nghiệp vụ
Nội dung tiêu chuẩn đề ra các quy tắc
cần thực hiện trong việc:
-

Xây dựng vành đai an ninh vật

-

lý;
Kiểm soát xâm nhập vật lý;
An ninh văn phòng, phòng và

-

phương tiện;
Làm việc trong phạm vi an ninh;
Các khu vực tiếp nhận và phân

phối riêng biệt.
b) Kiểm soát chung
Mục tiêu : Ngăn ngừa làm hại hoặc
đánh cắp thông tin và các phương tiện
xử lý thông tin
Nội dung tiêu chuẩn đề ra các quy tắc

ngoài.
b) Lập kế hoạch hệ thống và sự
công nhận
Mục tiêu : Giảm thiểu rủi ro về lỗi hệ
thống
Nội dung tiêu chuẩn đề ra các quy tắc
cần thực hiện trong việc:
- Lập kế hoạch về năng lực;
- Chấp nhận hệ thống.
c) Bảo vệ chống lại phần mềm cố ý
gây hại

cần thực hiện trong việc:
-

Chính sách bàn sạch và màn

-

hình sạch;
Di chuyển tài sản.

Quản lý truyền thông và hoạt động
a) Trách nhiệm và thủ tục hoạt
động
Mục tiêu : Đảm bảo các phương tiện
xử lý thông tin hoạt động đúng và an
toàn.
Nội dung tiêu chuẩn đề ra các quy tắc
cần thực hiện trong việc:

Đối tượng : Để bảo vệ tính toàn vẹn
của phần mềm và thông tin
-

Kiểm tra chống lại các phần

mềm cố ý gây hại.
d) Công việc cai quản
Mục tiêu: Duy trì tính toàn vẹn và sẵn
sàng của dịch vụ truyền đạt và xử lý
thông tin
e)

Sao lưu thông tin;
Các bản ghi của điều hành viên;
Ghi lại khiếm khuyết.
Quản lý mạng

Đối tượng: Đảm bảo viện bảo vệ thông

-

An ninh các hệ thống văn phòng

-

điện tử;
Các hệ thống công cộng sẵn có;
Các biểu mẫu trao đổi thông tin

tin trên các mạng và việc bảo vệ hạ
tầng hỗ trợ
- Kiểm soát mạng.
f) Trình điều khiển và an ninh môi
trường truyền thông
Đối tượng : Để ngăn ngừa tổn hại tới

khác.
Kiểm soát truy cập
a) Yêu cầu kinh doanh đối với
kiểm soát truy cập

tài sản và gián đoạn các hoạt động của
cơ quan. Phương tiện truyền thông nên
được kiểm soát và bảo vệ vật lý
Nội dung tiêu chuẩn đề ra các quy tắc
cần thực hiện trong việc:
-

Quản lý vủa phương tiện truyền
thông máy tính có thể tháo lắp

-

được;
Sự chuyển nhượng của môi

-

trường truyền thông;
Các thủ tục của trình điều khiển

thông tin.
g) Trao đổi các thông tin và phần
mềm
Đối tượng: Ngăn ngừa mất mát, thay
đổi hoặc sử dụng sai thông tin được
trao đổi giữa các tổ chức
-

Thỏa thuận trao đổi thông tin và

-

phần mềm;
An ninh môi trường truyền

-

thông tin;
An ninh thương mại điện tử;
Các rủi ro;
Chính sách về thư điện tử;

Đối tượng: Để kiểm soát truy cập
thông tin
-

Chính sách kiểm soát truy cập;
Chính sách và yêu cầu kinh

doanh (nghiệp vụ);
- Các quy tắc kiểm soát truy cập.
b) Quản lý truy cập người sử dụng
Đối tượng: Ngăn ngừa trái phép cho
các truy cập hệ thống thông tin
-

Đăng ký người sử dụng;
Quản lý đặc quyền;
Quản lý mật khẩu;
Soát xét các quyền truy cập của

người sử dụng.
c) Trách nhiệm của người sử dụng
Đối tượng: Ngăn ngừa người sử dụng
truy cập trái phép
- Sử dụng mật khẩu;
- Giám sát thiết bị.
d) Kiểm soát truy cập mạng
Đối tượng: Sự bảo vệ của các dịch vụ
được nối mạng
-

Chính sách về sử dụng các dịch
vụ mạng;

-

Đường dẫn bắt buộc;
Xác thực người sử dụng đối với

-

các kết nối bên ngoài;
Xác thực nút mạng;
Bảo vệ cổng chẩn đoán từ xa;
Tình trạng phân tách trong

mạng;
- Kiểm soát kết nối của mạng;
- Kiểm soát định tuyến mạng;
- An ninh của các dịch vụ mạng.
e) Kiểm soát định truy cập hệ điều
hành
Đối tượng: Để ngăn ngừa truy cập máy
tính trái phép
-

Định danh tự động thiết bị đầu

-

cuối;
Các thủ tục nhập vào thiết bị đầu

-

cuối;
Định danh và xác thực người sử

-

dụng;
Hệ thống quản lý mật khẩu;
Sử dụng các tiện ích của hệ

-

thống;
Cảnh báo bắt buộc để bảo vệ

-

NSD;
Thời gian chờ của thiết bị đầu

cuối;
- Giới hạn của thời gian kết nối.
f) Kiểm soát truy cập của ứng dụng
Đối tượng: Để ngăn ngừa truy cập trái

Đối tượng: Phát hiện hoạt động trái
phép
h)

động
Đối tượng: Để đảm bảo an ninh thông
tin khi sử dụng các phương tiện máy
tính di động
-

- Hạn chế truy cập thông tin;
- Cách ly hệ thống nhạy cảm.
g) Kiểm soát truy cập và sử dụng
hệ thống

Tính toán lưu động;
Công tác từ xa.

Phát triển và duy trì hệ thống
a) Các yêu cầu an ninh của hệ
thống
Đối tượng: Đảm bảo rằng an ninh được
thiết lập trong các hệ thống thông tin
-

Phân tích và đặc tả các yêu cầu

an ninh.
b) An ninh trong các hệ thống ứng
dụng
Đối tượng: Để ngăn ngừa mất mát, thay
đổi hoặc lạm dụng thông tin người sử
dụng trong các hệ thống ứng dụng
-

Xác định tính hợp lệ của thông

-

tin đầu vào;
Kiểm soát quá trình nội bộ;
Xác thực thông điệp;
Kiểm tra tính hợp lệ của thông

phép tới thông tin của hệ thống thông
tin

Ghi lại sự kiện;
Kiểm tra việc sử dụng hệ thống;
Đồng bộ hóa đồng hồ.
Công tác từ xa và tính toán lưu

tin ra .
c) Các kiểm soát mật mã hóa

Đối tượng: Để bảo vệ tính tin cẩn, xác

a) Các khía cạnh về quản lý liên

thực hoặc toàn vẹn của thông tin

tục trong kinh doanh

-

Chính sách về việc sử dụng các

Đối tượng: Để chống lại sự gián đoạn

kiểm soát mật mã hóa;
Sự mật mã hóa;
Các chữ ký điện tử;
Các dịch vụ không từ chối nhận;
Quản lý khóa.
An ninh các tệp hệ thống

các hoạt động kinh doanh và để bảo vệ

d)

các thủ tục kinh doanh có tính phê bình
khỏi các tác động của các lỗi hoặc các
thảm họa lớn
-

Quản lý tính liên tục của thủ tục

-

kinh doanh;
Phân tích tác động và liên tục

Kiểm soát phần mềm thao tác;
Sự bảo vệ của thông tin thử

-

trong kinh doanh;
Ghi lại và thực hiện các kế

nghiệm hệ thống;
Kiểm soát truy cập tới thư viện

-

hoạch về tính liên tục;
Khuôn khổ lập kế hoạch liên tục

gốc của chương trình.
e) An ninh quá trình hỗ trợ và phát

-

trong kinh doanh;
Thử nghiệm, duy trì và đánh giá

Đối tượng: Để đảm bảo rằng các dự án
IT và các hoạt động hỗ trợ được quản lý
một cách an toàn
-

lại các kế hoạch liên tục của

triển
Đối tượng: Để duy trì an ninh của phần
mềm và thông tin hệ thống ứng dụng

doanh nghiệp.
Sự tuân thủ
a) Tuân thủ các yêu cầu pháp lý

-

Kiểm soát sự thay đổi các thủ

-

tục;
Xem xét kỹ thuật của các thay

-

đổi hệ điều hành;
Các hạn chế thay đổi đối với các

-

gói phần mềm;
Các kênh chuyển đổi và mã

-

Xác định văn bản pháp lý có thể

-

thành Troa;
Xây dựng phần mềm được cung

-

áp dụng;
Các quyền sở hữu trí tuệ (IPR);
Bản quyền phần mềm;
Bảo vệ các báo cáo tổ chức;
Bảo vệ thông tin đảm bảo bí mật

ứng;
Quản lý liên tục trong kinh doanh

Đối tượng: Để tránh các vi phạm bất kỳ
luật hình sự và dân sự, các nghĩa vụ có
tính luật pháp, nguyên tắc hoặc giao
kèo và bất kỳ yêu cầu an ninh nào

của thông tin cá nhân;

-

Ngăn ngừa việc sử dụng sai các

Bao gồm 3 phần TCVN 8709-1, TCVN
8709-2, TCVN 8709-3.

-

phương tiện xử lý thông tin;
Quy định các kiểm soát mật mã

hóa;
- Tập hợp chứng cớ.
b) Soát xét của chính sách an ninh
và yêu cầu kỹ thuật

2.3.1

TCVN 8709-1:2011 ISO/IEC

15408-1:2009
TCVN 8709-1:2011 ISO/IEC 154081:2009 - Công nghệ thông tin- Các kỹ

Đối tượng: Để đảm bảo việc tuân thủ

thuật an toàn- Các tiêu chí đánh giá

của hệ thống với các chính sách và tiêu

an toàn CNTT- Phần 1: Giới thiệu và

chuẩn an ninh của tổ chức

mô hình tổng quát

- Sự tuân theo chính sách an ninh;
- Kiểm tra sự tuân theo kỹ thuật.
c) Sự xem xét kiểm tra hệ thống

TCVN 8709-1:2011 hoàn toàn tương

Đối tượng: Để tối đa tính hiệu lực và để

TCVN 8709-1:2011 do Trung tâm Ứng

giảm thiểu sự can thiệp tới/từ quy trình

cứu khẩn cấp máy tính Việt Nam biên

kiểm tra hệ thống đó

soạn, Bộ Thông tin và Truyền thông đề

-

Các kiểm soát kiểm tra hệ thống;
Sự bảo vệ của các công cụ kiểm
tra hệ thống.

đương ISO/IEC 15408-1:2008

nghị, Tổng cục Tiêu chuẩn Đo lường
Chất lượng thẩm định, Bộ Khoa học và
Công nghệ công bố. .

2.3 Bộ TCVN 8709

Mục đích

Bô tiêu chuẩn Việt Nam này hoàn toàn

Tiêu chuẩn này cho phép thực hiện so

tương đương với bộ tiêu chuẩn

sánh các kết quả đánh giá an toàn độc

ISO/IEC 15408. Bộ tiêu chuẩn có chứa

lập. Tiêu chuẩn cung cấp một tập các

một tập hợp chung các yêu cầu cho các

yêu cầu chung về chức năng an toàn

chức năng bảo mật của sản phẩm và các

cho các sản phẩm công nghệ thông tin

hệ thống, các biện pháp bảo đảm áp

(CNTT), và về các biện pháp đảm bảo

dụng cho họ trong quá trình đánh giá an

áp dụng cho các sản phẩm này trong

toàn bảo mật. Nó có thể được áp dụng

quá trình đánh giá an toàn. Các sản

trong bất kì lĩnh vực nào cần phải kiểm

phẩm CNTT này có thể dưới dạng phần

tra độ an toàn bảo mật của một hệ

cứng, phần sụn hay phần mềm.

thống hay một sản phẩm công nghệ
thông tin.

Quy trình đánh giá thiết lập một mức

các sản phẩm, đặc tính và các phương

tin cậy về việc các chức năng an toàn

pháp để xác định rõ việc đánh giá đem

cho các sản phẩm CNTT và các biện

lại kết quả có nghĩa. Ngoài ra, người

pháp đảm bảo áp dụng cho chúng thỏa

mua các sản phẩm đã được đánh giá

mãn các yêu cầu nêu trên. Các kết quả

cũng cần xem xét kỹ lưỡng ngữ cảnh

đánh giá có thể giúp người dùng xác

này để xác định xem sản phẩm đã đánh

định xem sản phẩm hoặc hệ thống

giá có hữu ích và áp dụng được cho

CNTT có thỏa mãn yêu cầu đảm bảo an

trường hợp cụ thể của mình và đáp ứng

toàn của chúng hay không.

yêu cầu hay không.

TCVN 8709 là một chỉ dẫn bổ ích cho

TCVN 8709 đề cập đến việc bảo vệ tài

phát triển, đánh giá và/hoặc đầu tư các

sản thông tin chống các truy nhập trái

sản phẩm CNTT với chức năng an toàn.

phép, các sửa đổi hoặc mất mát trong

TCVN 8709 có tính mềm dẻo, cho phép

sử dụng. Phân loại bảo vệ liên quan đến

áp dụng nhiều phương pháp đánh giá

ba kiểu lỗi an toàn kể trên tương ứng

cho nhiều đặc tính an toàn của đa dạng

với tính bí mật, tính toàn vẹn và tính

sản phẩm CNTT. Chính vì vậy, người

sẵn sàng. TCVN 8709 cũng có thể áp

dùng tiêu chuẩn này cần thận trọng khi

dụng cho các đánh giá ngoài ba nhóm

áp dụng để tránh lạm dụng nó. Ví dụ,

trên. TCVN 8709 áp dụng cho các rủi

nếu sử dụng TCVN 8709 kết hợp với

ro phát sinh từ các hành vi của con

các phương pháp đánh giá không phù

người (ác ý hoặc lý do khác), và cho

hợp, các đặc tính an toàn không thích

các rủi ro không do con người tạo ra.

hợp, hoặc các sản phẩm CNTT không

Ngoài an toàn CNTT, TCVN 8709 có

phù hợp sẽ dẫn đến các kết quả đánh

thể áp dụng cho các lĩnh vực CNTT

giá vô nghĩa.

khác, song không có ràng buộc nào khi

Do vậy, thực tế là một sản phẩm CNTT

áp dụng cho các lĩnh vực đó.

đã được đánh giá chỉ có ý nghĩa trong

2.3.2

TCVN 8709-2:2011 ISO/IEC

phạm vi ngữ cảnh các đặc tính an toàn

15408-2:2008

được đánh giá với các phương pháp

TCVN 8709-2:2011 ISO/IEC 15408-

đánh giá cụ thể đã sử dụng. Các cơ

2:2008 - Công nghệ thông tin- Các kỹ

quan đánh giá cần kiểm tra thận trọng

thuật an toàn- Các tiêu chí đánh giá

an toàn CNTT- Phần 2: Các thành

TCVN 8709-3:2011 ISO/IEC 15408-

phần chức năng an toàn

3:2008 - Công nghệ thông tin- Các kỹ

TCVN 8709-2:2011 hoàn toàn tương

thuật an toàn- Các tiêu chí đánh giá

đương IS/IEC 15408-2:2008

an toàn CNTT- Phần 3: Các thành

TCVN 8709-2:2011 do Trung tâm Ứng

phần đảm bảo an toàn

cứu khẩn cấp máy tính VIệt Nam biên

TCVN 8709-3:2011 hoàn toàn tương

soạn, Bộ Thông tin và Truyền thông đề

đương IS/IEC 15408-2:2008

nghị, Tổng cục Tiêu chuẩn Đo lường

TCVN 8709-3:2011 do Trung tâm Ứng

Chất lượng thẩm định, Bộ Khoa học và

cứu khẩn cấp máy tính VIệt Nam biên

Công nghệ công bố.

soạn, Bộ Thông tin và Truyền thông đề

Mục đích

nghị, Tổng cục Tiêu chuẩn Đo lường

Các thành phần chức năng an toàn định
nghĩa trong tiêu chuẩn này (TCVN

Chất lượng thẩm định, Bộ Khoa học và
Công nghệ công bố

8709-2) là cơ sở cho các yêu cầu chức

Các thành phần đảm bảo an toàn như

năng an toàn biểu thị trong một hồ sơ

định nghĩa trong tiêu chuẩn này của

bảo vệ (PP) hoặc một đích an toàn

TCVN 8709 là cơ sở cho các yêu cầu

(ST). Các yêu cầu này mô tả các hành

đảm bảo an toàn được biểu thị trong

vi an toàn mong muốn dự kiến đối với

một hồ sơ bảo vệ (PP) hoặc một đích an

một đích đánh giá (TOE) và nhằm đáp

toàn (ST).

ứng các mục tiêu an toàn đã tuyên bố
trong một PP hoặc một ST. Các yêu cầu

3 Tiêu chuẩn áp dụng xây dựng
chuẩn

này mô tả các đặc tính an toàn mà

Ở Việt Nam hiện tại đã có một số chuẩn

người dùng có thể phát hiện ra thông

xây dựng liên quan đến việc quản lý an

qua tương tác trực tiếp với công nghệ

toàn thông tin. Nhưng các chuẩn ở Việt

thông tin (CNTT) hoặc qua phản ứng

Nam đã xây dựng chưa đi sát về nội

của CNTT với các tương tác.

dung quản lý an toàn thông tin hoặc lại

2.3.3

TCVN 8709-3:2011 ISO/IEC

15408-3:2008

áp dụng theo các phiên bản ISO đã cũ
trên thế giới, hiện tại những phiên bản
cũ này đã có bản cập nhật mới hơn, có
bố cục trình bày, nội dung được sửa đổi

khác với bản cũ để phù hợp với tình

dung phù hợp nhất để xây dựng bộ tiêu

hình phát triển công nghệ thông tin. Ví

chuẩn quản lý an toàn thông tin.

dụ như chuẩn ISO/IEC 27001:2009 xây

Trong bộ tiêu chuẩn nhóm đề tài xây

dựng hoàn toàn tương đương ISO/IEC

dựng là quản lý an toàn thông tin có

27001:2005, hiện tại đã có ISO/IEC

một phần là an toàn toàn trao đổi được

27001:2013. Bộ tiêu chuẩn TCVN 8709

trình bày trong phần dự thảo, và áp

xây dựng hoàn toàn tương đương với

dụng tiêu chuẩn 27002:2013 để xây

bộ tiêu chuẩn ISO/IEC 15408. Vì vậy

dựng.

chúng ta sẽ áp dụng các bộ chuẩn phiên
bản mới nhất để xây dựng bộ tiêu
chuẩn quản lý an toàn thông tin.
Những chuẩn thuộc lĩnh vực an toàn
quản lý thông tin trên thế giới đã giới
thiệu; như bộ tiêu chuẩn ISO/IEC
15408, có chứa một tập hợp chung các
yêu cầu cho các chức năng bảo mật của
sản phẩm và các hệ thống, các biện
pháp bảo đảm áp dụng cho họ trong quá
trình đánh giá an toàn bảo mật. Bộ tiêu
chuẩn này có thể được áp dụng trong
bất kì lĩnh vực nào cần phải kiểm tra độ
an toàn bảo mật của một hệ thống hay
một sản phẩm công nghệ thông tin. Hay
bộ tiêu chuẩn ISO/IEC 27000 cung cấp
một mô hình để thiết lập, thực hiện,
điều hành, theo dõi, xem xét, duy trì và
cải tiến hệ thống quản lý an toàn thông
tin (ISMS).
Nhận thấy trong các tiêu chuẩn hay bộ
tiêu chuẩn tìm hiểu thì bộ tiêu chuẩn
ISO/IEC 27000 là đầy đủ và có nội