Tải bản đầy đủ
1 Bộ tiêu chuẩn ISO/IEC 27000

1 Bộ tiêu chuẩn ISO/IEC 27000

Tải bản đầy đủ

j) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;
k) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMS controls;
l) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC
27001;
m) ISO/IEC 27014 – Khung quản lý IS;
n) ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;
o) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;
p) ISO/IEC 27032 – Hướng dẫn cybersecurity;
q) ISO/IEC 27033 – IT network security;
r) ISO/IEC 27034 – Hướng dẫn application security;
s) ISO/IEC 27035 – Quản lý security incident;
t) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;
u) ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận và bảo quản các
bằng chứng số.
Có một số tiêu chuẩn không được đề cập (ví dụ như ISO 27012 cho egovermment) là
do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nâng
cấp lên thành tiêu chuẩn do Ủy ban kỹ thuật của ISO và IEC quyết định.
Dưới đây là bảng quan hệ của các chuẩn 27000 thuộc bộ chuẩn ISMS.

Hình 1.1 Quan hệ của các chuẩn trong bộ chuẩn ISMS

Trong các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 sẽ đề cập đến các chuẩn có
liên quan nhiều đến quản lý an toàn thông tin như chuẩn ISO/IEC 27000, ISO/IEC
27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 20006.
1.1.1 Tiêu chuẩn ISO/IEC 27000
ISO/IEC 27000:2014 - Information technology – Security techniques - Information
security management systems - Overview and vocabulary
ISO / IEC 27000: 2014 cung cấp một cái nhìn tổng quan của hệ thống quản lý an ninh
thông tin đó là hoàn toàn phù hợp với tiêu chuẩn ISO / IEC 27001: 2013 và ISO / IEC
27002: 2013, cập nhật (1/2014) và định nghĩa cho toàn bộ khối ISO/IEC 27000 của
chuẩn ISMS.
Mục đích:
Tiêu chuẩn này cần thiết cho tất cả các tổ chức thực hiện một hệ thống quản lý an ninh
thông tin (ISMS), cho dù trong khu vực tư nhân, công cộng hay phi lợi nhuận.
1.1.2 Tiêu chuẩn ISO/IEC 27001
ISO/IEC 27001 -Information security management systems – Requirements.
ISO / IEC 27001 là tiêu chuẩn có tiếng nhất trong khối chuẩn cung cấp các yêu cầu
cho một hệ thống quản lý an ninh thông tin (ISMS).
Mục đích
Sử dụng tiêu chuẩn này sẽ giúp cho các tổ chức quản lý an toàn các dạng tài sản như
thông tin tài chính, sở hữu trí tuệ, chi tiết nhân viên hoặc thông tin giao phó cho bạn
bởi các bên thứ ba. ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với
mọi lĩnh vực kinh tế trên toàn thế giới. Thông qua việc triển khai một hệ thống vững
chắc để quản lý thông tin trong tổ chức, bạn có thể bảo vệ được tài sản thông tin, đảm
bảo được sự liên tục trong kinh doanh nếu có xảy ra sự phá hoại hoặc mất mát nào.
Mất mát hoặc phá hoại có thể do rất nhiều nguyên nhân; thiên tai như hoả hạn hoặc lũ
lụt, sự mất mát ngẫu nhiên hoặc do quản lý kém, bị mua chuộc hoặc bị đánh cắp,
những mất mát này có thể gây ra những hậu quả khôn lường cho tổ chức.

Thông tin có thể là dữ liệu mà tổ chức sở hữu và nó có thể là những dữ liệu được lưu
lại dưới dạng điện tử, thông tin được chuyển qua bưu điện hay email, các dữ liệu hoặc
thông tin được in ra mà từng người trong tổ chức của bạn lưu giữ. Thông qua việc triển
khai ISO 27001 tổ chức sẽ xác định được loại thông tin trong tổ chức và xác định các
mối nguy và mối đe doạ. Sau đó bạn có thể thiết lập hệ thống, thiết lập sự kiểm soát và
các quy trình để giảm thiểu các mối nguy hiểm.
1.1.3 Tiêu chuẩn ISO/IEC 27002
ISO/IEC 27002 - Công nghệ thông tin - Quy tắc thực hành quản lý an toàn thông
tin - ISO 1087:2000 Thuật ngữ - Từ vựng (Terminology – Vocabulary)
Phiên bản hiện tại: ISO/IEC 27002: 2013
Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế
chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và năm 2007 được đổi tên
thành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng cùng với các tiêu chuẩn khác về
quản lý an toàn thông tin trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin
ISO/IEC 27000. Sau gần 8 năm ra đời, đã có rất nhiều thay đổi trên thế giới về an toàn
thông tin, các mối đe doạ, các điểm yếu kỹ thuật, các rủi ro liên quan đến điện toán
đám mây, dữ liệu lớn, và nhất là an ninh mạng. Do vậy hơn 3 năm qua, các tổ chức
tiêu chuẩn quốc gia trên toàn thế giới đã tổ chức cuộc họp với các chuyên gia chuyên
ngành tìm kiếm các điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC
27002:2013. Tiêu chuẩn ISO/ IEC 27002:2013 được công bố năm 2013 đã có rất nhiều
thay đổi về cấu trúc, nội dung các phần. Nội dung được viết lại cho tập trung và cô
đọng hơn (rút ngắn số trang so với bản 2005).
Mục tiêu
Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai,
duy trì và cải thiện công tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu đặt
ra của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung
đã được công nhận về quản lý an toàn thông tin.
Các mục tiêu và biện pháp kiểm soát của tiêu chuẩn này được triển khai đáp ứng các
yêu cầu được xác định bởi quá trình đánh giá rủi ro. Tiêu chuẩn này có thể đóng vai trò

như một định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn cho tổ chức
và thực hành quản lý an toàn hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt động
liên tổ chức.
Nội dung
Cấu trúc nội dung của phiên bản 27002:2013

0: Giới thiệu

ISO/IEC 27003:2010 – Information

1: Phạm vi

security

2: Tham khảo tiêu chuẩn
3. Giới hạn và định nghĩa

management

system

implementation guidance.
ISO/IEC 27003:2010 nằm trong khối
tiêu chuẩn ISO/IEC 27000 (ISMS), là

4. cấu trúc của chuẩn tham khảo

một chuẩn an ninh thông tin được công

5. Chính sách bảo mật thông tin

bố bởi Tổ chức Tiêu chuẩn Quốc tế

6. Tổ chức bảo mật thông tin
7. Nguồn nhân lực an ninh

(ISO) và Ủy ban Kỹ thuật Điện Quốc tế
(IEC). Tiêu đề của nó là Công nghệ
thông tin - Kỹ thuật an ninh - Thông tin

8. Quản lý tài nguyên

quản lý an ninh thực hiện hệ thống

9, điều khiển truy cập

hướng dẫn .

10. Khóa giao tiếp

Tiêu chuẩn này tập trung vào các khía

11. Phần vật lý và môi trường bảo mật
12. Hoạt động bảo mật

cạnh quan trọng, cần thiết cho việc thiết
kế thành công và thực hiện một hệ
thống quản lý an ninh thông (ISMS)

13. An toàn trao đổi

theo tiêu chuẩn ISO/IEC 27001:2005.

14. Hệ thống tiếp nhận, phát triển và

Nó mô tả các quá trình của ISMS được

duy trì

đặc tả và thiết kế từ khi bắt đầu đến khi

15. Quan hệ khách hàng
16. Quản lý sợ cố bảo mật thông tin

thực hiện kế hoạch sản xuất
Nó mô tả các quá trình có sự chấp
thuận quản lý để thực hiện một ISMS,

17. Các dạng bảo mật của khía cạnh

xác định một dự án để thực hiện một

kinh doanh

ISMS (được đề cập trong tiêu chuẩn

18. Tuân thủ

này là các dự án ISMS), và cung cấp
hướng dẫn về cách lập kế hoạc dự án

1.1.4 ISO/IEC 27003

ISMS.
Mục đích:
Các tổ chức có thể phát triển một quy
trình quản lý an ninh thông tin, cho các

bên liên quan đảm bảo rằng rủi ro đối

Mục đích:

với tài sản thông tin liên tục được duy

Cung cấp hướng dẫn về việc phát triển

trì trong giới hạn an ninh thông tin chấp

và sử dụng các biện pháp đo lường,

nhận được theo quy định của tổ chức.

đánh giá hiệu quả của một hệ thống

Tiêu chuẩn này không bao gồm các

quản lý an ninh thông tin, như quy định

hoạt động nghiệp vụ và các hoạt động

trong tiêu chuẩn ISO 27001. Nó được

ISMS khác, nhưng bao gồm các khái

thiết kế để giúp thiết lập một tổ chức

niệm về cách thiết kế các hoạt động đó

thực hiện ISMS một cách hiệu quả.

sẽ cho kết quả sau khi các hoạt động
ISMS bắt đầu. Việc thực hiện thực tế

1.1.6 ISO/IEC 27005

của một phần cụ thể của một dự án

ISO/IEC 27005:2011 - Information

ISMS là không nằm trong phạm vi của

technology - Security techniques -

tiêu chuẩn này.

Information

1.1.5 ISO/IEC 27004
ISO/IEC 27004:2009 - Information
security risk management

security

risk

management.
Tiêu chuẩn này cung cấp hướng dẫn
cho việc quản lý rủi ro an toàn thông tin
trong một tổ chức, đặc biệt hỗ trợ yêu

ISO/IEC 27004:2009là chuẩn của các

cầu quản lý an toàn thông tin (ISMS)

phép đo liên quan đến quản lý an ninh

theo tiêu chuẩn ISO/IEC 27001. Tuy

thông tin: thường được gọi là “thước đo

nhiên, tiêu chuẩn này không cung cấp

an ninh”.

bất kỳ phương pháp cụ thể để quản lý

Bao gồm các phần chính:

rủi ro an toàn thông tin. Đó là cách để

-

Thông tin tổng quan về đo lường

tổ chức xác định cách tiếp cận của họ
để quản lý rủi ro, ví dụ tùy thuộc vào

-

an ninh;
Trách nhiệm quản lý;
Các biện pháp và phát triển đo

-

lường;
Hoạt động đo lường;
Phân tích thông tin và báo cáo

-

kết quả đo;
Đánh giá chương trình đo lường
an ninh thông tin và cải tiến.

phạm vi của ISMS, bối cảnh của quản
lý rủi ro, hoặc lĩnh vực công nghiệp.
Một số phương pháp hiện tại có thể
được sử dụng trong khuôn khổ mô tả
trong tiêu chuẩn này để thực hiện các
yêu cầu của một ISMS.Tiêu chuẩn này
có liên quan đến quản lý rủi ro an toàn

thông tin với nhân viên trong hoặc bên

thống thông tin khách hàng của họ

ngoài tổ chức, thích hợp hỗ trợ các hoạt

'Security Management (ISMSs) so với

động như vậy.

tiêu chuẩn ISO / IEC 27001 để xác

Tiêu chuẩn này cung cấp hướng dẫn

nhận hoặc đăng ký họ tuân thủ. Các

cho việc quản lý rủi ro an toàn thông

quy trình kiểm định đặt ra trong việc

tin. Tiêu chuẩn này hỗ trợ các khái

bảo đảm tiêu chuẩn ISO / IEC 27001

niệm chung được quy định trong

chứng chỉ do các tổ chức được công

ISO/IEC 27001 và được thiết kế để hỗ

nhận là hợp lệ.

trợ việc thực hiện thỏa đáng về an toàn

ISO / IEC 27006 là tiêu chuẩn công

thông tin dựa trên phương pháp quản lý

nhận rằng hướng dẫn các cơ quan cấp

rủi ro. Kiến thức về các khái niệm, mô

giấy chứng nhận vào các quá trình

hình, quy trình và thuật ngữ mô tả trong

chính thức mà họ phải tuân theo khi

ISO/IEC 27001 và ISO/IEC 27002 là

kiểm toán Hệ thống thông tin khách

quan trọng cho việc hiểu rõ các tiêu

hàng của họ 'Security Management

chuẩn này. Tiêu chuẩn này được áp

(ISMSs) so với tiêu chuẩn ISO / IEC

dụng cho tất cả các loại hình tổ chức (ví

27001 để xác nhận hoặc đăng ký họ

dụ như các doanh nghiệp thương mại,

tuân thủ. Các quy trình kiểm định đặt ra

cơ quan chính phủ, các tổ chức phi lợi

trong việc bảo đảm nhân đạo tiêu chuẩn

nhuận) mà có ý định để quản lý rủi ro

ISO / IEC 27001 chứng chỉ do các tổ

có thể thỏa hiệp bảo mật thông tin của

chức được công nhận là hợp lệ.

tổ chức.

Mục đích

1.1.7 ISO/IEC 27006

Tiêu chuẩn ISO/IEC 27006 là để "xác

ISO/IEC 27006 - Requirements for

định yêu cầu và hướng dẫn các cơ quan

bodies

and

đánh giá và chứng nhận hệ thống quản

certification of information security

lý an ninh thông tin (ISMS), ngoài các

management systems.

yêu cầu nêu trong ISO/IEC 17021 và

ISO / IEC 27006 là tiêu chuẩn dùng để

ISO/IEC 27001. Đó là chủ yếu nhằm hỗ

hướng dẫn các cơ quan cấp giấy chứng

trợ công nhận của cơ quan cấp giấy

nhận vào các quá trình chính thức mà

chứng nhận cung cấp chứng nhận

họ phải tuân theo khi kiểm toán hệ

ISMS”.

providing

audit

1.1.8 ISO/IEC 27007

Tiêu chuẩn này cung cấp hướng dẫn về

ISO.IEC 27007:2011 - Information

quản lý một hệ thống quản lý an ninh

technology - Security techniques -

thông tin (ISMS) chương trình kiểm

Guidelines for information security

toán, trên việc thực hiện việc kiểm

management systems auditing

toán, và về thẩm quyền của ISMS kiểm

Tiêu chuẩn này cung cấp hướng dẫn về
quản lý một hệ thống quản lý an ninh
thông tin (ISMS) chương trình kiểm
toán và tiến hành các cuộc kiểm toán
nội bộ hoặc bên ngoài theo tiêu chuẩn
ISO/IEC 27001: 2005, cũng như hướng

toán viên, ngoài các hướng dẫn có
trong ISO 19011.Tiêu chuẩn này được
áp dụng cho những người cần phải hiểu
hoặc thực hiện kiểm toán nội bộ hoặc
bên ngoài ISMS hoặc để quản lý một
chương trình kiểm toán ISMS.

dẫn về thẩm quyền và đánh giá của

1.1.9 ISO/IEC 27008

kiểm toán viên, nên được sử dụng kết

ISO/IEC 27008:2011 - Information

hợp với các hướng dẫn có trong ISO

technology - Security techniques -

19011.. Hướng dẫn này là dành cho tất

Guidelines

cả người sử dụng, bao gồm cả các tổ

information security controls.

chức có quy mô vừa và nhỏ. ISO

Tiêu chuẩn này cung cấp hướng dẫn về

19011, hướng dẫn cho các hệ thống

quản lý một hệ thống quản lý an toàn

quản lý kiểm toán, cung cấp hướng dẫn

thông tin (ISMS) chương trình kiểm

về quản lý các chương trình kiểm toán,

toán, trên thực hiện việc kiểm toán, và

tiến hành đánh giá trong nội bộ hay bên

về thẩm quyền của ISMS kiểm toán

ngoài hệ thống quản lý, cũng như về

viên, ngoài các hướng dẫn có trong ISO

thẩm quyền và đánh giá của kiểm toán

19011.Tiêu chuẩn này được áp dụng

viên hệ thống quản lý. Các văn bản

cho những người cần phải hiểu hoặc

trong tiêu chuẩn này theo cấu trúc của

thực hiện kiểm toán nội bộ hoặc bên

ISO 19011, và hướng dẫn ISMS cụ thể

ngoài của một ISMS hoặc để quản lý

thêm về việc áp dụng tiêu chuẩn ISO

một chương trình kiểm toán ISMS.

19011 cho ISMS kiểm toán được xác
định bằng hai chữ "IS".

for

auditors

on

Tiêu chuẩn này cung cấp hướng dẫn về
việc rà soát việc thực hiện và hoạt động
của điều khiển, bao gồm cả kiểm tra

việc tuân thủ kỹ thuật của hệ thống điều

ISO 27011 thiết lập các hướng dẫn và

khiển thông tin, phù hợp với các tiêu

nguyên tắc chung để bắt đầu, triển khai,

chuẩn được thiết lập an ninh thông tin

duy trì và cải thiện ISM trong các tổ

của tổ chức. Tieeuc chuẩn kỹ thuật này

chức viễn thông dựa trên tiêu chuẩn

được áp dụng cho tất cả các loại và qui

ISO/ IEC 27002. Hiện nay ISO 27011

mô của các tổ chức, bao gồm cả công

bao gồm bộ điều khiển viễn thông mở

cộng và các công ty tư nhân, các tổ

rộng mới và hướng dẫn thực hiện cho

chức chính phủ, và phi lợi nhuận, tổ

một tổ chức viễn thông. Tiêu chuẩn này

chức hoạt động thông tin đánh giá an

cung cấp một cơ sở thực hiện ISM

ninh và kiểm tra việc tuân thủ kỹ thuật.

trong các tổ chức viễn thông để đảm

Báo cáo kỹ thuật này không dành cho

bảo bí mật, toàn vẹn và tính sẵn sàng

các hệ thống quản lý kiểm toán.

của thiết bị và dịch vụ viễn thông. Các

1.1.10 ISO/IEC 27011

tổ chức khi thực hiện ISO 27011 sẽ có

ISO/IEC 27011:2008 - Information
security management guidelines for
telecommunications

organizations

based on ISO/IEC 27002

thể đảm bảo tính bảo mật, tính toàn vẹn
và tính sẵn sàng của thiết bị và dịch vụ
viễn thông toàn cầu. Đã được thông qua
quá trình hợp tác an toàn và kiểm soát
đảm bảo rủi ro trong việc cung cấp các

Phạm vi của khuyến nghị này là xác

dịch vụ viễn thông. Có thể dùng để

định hướng dẫn hỗ trợ thực hiện quản

triển khai các nguồn lực để hoạt động

lý an ninh thông tin trong các tổ chức

hiệu quả hơn. Tiêu chuẩn đã thông qua

viễn thông.

một phương pháp tiếp cận toàn diện

Mục đích

phù hợp để bảo mật thông tin. Có thể

Việc áp dụng khuyến nghị sẽ cho phép
các tổ chức viễn thông để đáp ứng yêu

nâng cao nhận thực cá nhân và tăng sự
tin tưởng.

cầu quản lý an ninh thông tin cơ bản về

1.1.11 ISO/IEC 27013

bảo mật, tính toàn vẹn, tính sẵn có và

ISO/IEC 27013:2012 - Information

bất kỳ tài sản bảo đảm có liên quan

technology - Security techniques -

khác.

Guidance

on

the

integrated

implementation of ISO/IEC 27001
and ISO/IEC 20000-1

Mối quan hệ giữa an ninh thông tin và

động cho phù hợp với các yêu cầu của

quản lý dịch vụ là rất gần mà nhiều tổ

một tiêu chuẩn quốc tế và sau đó thực

chức đã nhận ra những lợi ích của việc

hiện những cải tiến để phù hợp với các

áp dụng cả hai tiêu chuẩn: ISO/IEC

yêu cầu của người khác.

27001 cho an ninh thông tin và tiêu

Có một số lợi thế trong việc thực hiện

chuẩn ISO/IEC 20.000-1 cho quản lý

một hệ thống quản lý tích hợp trong đó

dịch vụ. Nó được dùng phổ biến cho

sẽ đưa vào tài khoản không chỉ là cung

một tổ chức để cải thiện cách thức nó

cấp dịch vụ mà còn bảo vệ tài sản thông

hoạt động cho phù hợp với các yêu cầu

tin. Những lợi ích này có thể được hiệm

của một tiêu chuẩn quốc tế và sau đó

cho dù một tiêu chuẩn được thực hiện

thực hiện những cải tiến để phù hợp với

trước khi người kia, hoặc cả hai tiêu

các yêu cầu của người dùng khác

chuẩn được thực hiện đồng thời. Quản

nhau.Có một số lợi thế trong việc thực

lý và tổ chức các quy trình, đặc biệt, có

hiện một hệ thống quản lý tích hợp

thể hưởng lợi từ sự tương đồng giữa

trong đó sẽ đưa vào tài khoản không chỉ

các tiêu chuẩn quốc tế và các mục tiêu

là cung cấp dịch vụ mà còn bảo vệ tài

chung của họ.

sản thông tin. Những lợi ích này vẫm
có cho dù một tiêu chuẩn được thực
hiện trước, hay cả hai tiêu chuẩn được

Những lợi ích chính của một thực hiện
tích hợp bao gồm:

thực hiện đồng thời. Quản lý và tổ chức

a) độ tin cậy, để khách hàng nội bộ

các quy trình, đặc biệt, có thể hưởng lợi

hay bên ngoài của các tổ chức, các dịch

từ sự tương đồng giữa các tiêu chuẩn

vụ hiệu quả và an toàn;

quốc tế và các mục tiêu chung của họ.

b) chi phí thấp hơn của một chương

Mối quan hệ giữa an ninh thông tin và

trình kết hợp của hai dự án, trong đó

quản lý dịch vụ là rất gần mà nhiều tổ

đạt được cả quản lý dịch vụ và an ninh

chức đã nhận ra những lợi ích của việc

thông tin là một phần của chiến lược

áp dụng cả hai tiêu chuẩn: ISO/IEC

của một tổ chức;

27001 cho an ninh thông tin và tiêu

c) giảm thời gian thực hiện do sự

chuẩn ISO/IEC 20.000-1 cho quản lý

phát triển tích hợp các quy trình chung

dịch vụ. Nó được phổ biến cho một tổ

cho cả hai tiêu chuẩn;

chức để cải thiện cách thức nó hoạt