BỘ THÔNG TIN VÀ TRUYỀN THÔNG
ĐẠI HỌC QUỐC GIA HÀ NỘI
VIỆN CÔNG NGHỆ THÔNG TIN

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA
TCVN xxx:2017
ISO/IEC 27002:2013
CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN
TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN
THÔNG TIN
Information technology – Security techniques – Code of practice for infomation
security management


Mục Lục


CHƯƠNG 1. TÌNH HÌNH QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT
NAM
1 Tình hình quản lý an toàn thông tin chung trên thế giới
Ngày nay, hầu hết mọi hoạt động của các tổ chức, đơn vị đều bị phụ thuộc vào máy
tính, hạ tầng mạng và cơ sở thông tin. Chưa bao giờ vấn đề bảo mật và an toàn thông
tin lại được coi trọng như hiện nay, trong bối cảnh mạng máy tính phá bỏ mọi ngăn
cách, “mọi lúc, mọi nơi” người ta đều có thể lấy được thông tin cần thiết. Có không ít
chuyện những cao thủ dễ dàng đột nhập vào kho thông tin tối mật của một quốc gia
hay nhẹ nhàng nẫng đi khoản tiền kếch xù từ một ngân hàng danh tiếng. Cùng với sự
phát triển mạnh mẽ của công nghệ thông tin, tội phạm mạng cũng trở nên ngày càng
tinh vi với các kỹ thuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng.
Ngoài ra, các tổ chức còn phải đối mặt với rất nhiều loại hiểm họa an toàn từ nhiều
nguồn khác nhau như gian lận, gián điệp, phá hoại, cháy nổ, lũ lụt….Vì vậy, vấn đề
bảo mật và an toàn thông tin ngày càng trở nên cấp thiết. Việc áp dụng các tiêu chuẩn,

các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổ chức, đơn vị quan
tâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc. Một trong những
nguyên nhân chính là do hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin
chưa đầy đủ nên cần sớm bổ sung và hoàn thiện hệ thống các tiêu chuẩn để áp dụng
rộng rãi.
2 Tình hình quản lý an toàn thông tin ở Việt Nam
Vấn đề an toàn thông tin đang ngày càng cấp bách trên thế giới cũng như ở Việt Nam.
Trong những năm gần đây, các hoạt đông thể chế hóa của nhà nước trong lĩnh vực an
toàn thông tin được quan tâm hơn bao giờ hết. Luật an toàn thông tin đang được tích
cực soạn thảo lấy ý kiến đóng góp rộng rãi trong xã hội. Bên cạnh đó các cơ quan quản
lý chuyên ngành và triển khai bảo mật và an toàn thông tin đang được xây dựng và
kiện toàn tại các Bộ ngành địa phương.
Trong năm 2013, hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức điều tra về
hiện trạng an toàn thông tin tại Việt Nam với số liệu tổng hợp từ 600 tổ quốc (cơ quan
nhà nước và doanh nghiệp). Đánh giá theo chỉ số an toàn thông tin và được phân thành


5 nhóm, phản ánh hiện trạng môi trường và các biện pháp an toàn thông tin tại Việt
Nam bao gồm:
1) Đào tạo, tuyên truyền nâng cao nhận thức về an toàn thông tin;
2) Ban hành các chính sách hỗ trợ an toàn thông tin và đầu tư kinh phí cho
an toàn thông tin;
3) Xây dựng tổ chức, đầu tư nhân lực an toàn thông tin;
4) Thực hiện các biện pháp về kỹ thuật đảm bảo an toàn thông tin;
5) Thực hiện các biện pháp về quản lý đảm bảo an toàn thông tin.

Kết quả khảo sát chỉ số an toàn thông tin tại Việt Nam năm 2013 của VNISA
Kết quả điều tra cho thấy nhận thức về các vấn đề khó khăn trong việc thực thi bảo vệ
an toàn cho hệ thống thông tin, nhận thức về sự cần thiết tăng kinh phí đầu cho an toàn
thông tin của tổ chức trong năm sau là tương đối cao. Nhưng về các biện pháp kĩ thuật

hay biện pháp quản lý thì còn thấp.
3 Kết Luận
Từ đó cho thấy, sự bùng nổ của Internet, của thương mại điện tử bên cạnh việc tạo ra
những cơ hội lớn là những nguy cơ rủi ro cho nền kinh tế và xã hội hiện đại. Mặc dù
nhận thức về an toàn thông tin của các doanh nghiệp tư nhân hay nhà nước đã được
chú trọng. Nhưng tội phạm công nghệ cao ngày một tinh vi, các vấn đề mất an toàn
thông tin, mất an toàn mạng là một nguy cơ hiện hữu và ngày càng trở nên nguy hiểm.


Chúng ta cần phải có những biện pháp quản lý thích hợp nhằm phòng chống hạn chế
tối đa những thiệt hại của việc mất an toàn thông tin mang lại. Phần tiếp theo sẽ trình
bày về tình hình xây dựng các tiêu chuẩn an toàn thông tin trên thế giới và tại Việt
Nam. Sau khi có cái nhìn toàn cảnh về tình hình tiêu chuẩn hóa, cũng như phạm vi của
tiêu chuẩn xây dựng trong toàn bộ dự án nhóm xây dựng tiêu chuẩn sẽ xác định và đưa
ra được hướng xây dựng tiêu chuẩn.


CHƯƠNG 2. NGHIÊN CỨU CÁC TIÊU CHUẨN QUỐC TẾ VÀ QUỐC
GIA VỀ QUẢN LÝ AN TOÀN THÔNG TIN

Trước khi đi vào xây dựng tiêu chuẩn cụ thể ở phần sau, trong phần này sẽ rà soát các
tiêu chuẩn quốc tế và quốc gia về quản lý an toàn thông tin.
1 Các tiêu chuẩn quốc tế
1.1 Bộ tiêu chuẩn ISO/IEC 27000
Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình để thiết lập, thực hiện, điều hành,
theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (ISMS). Bộ
tiêu chuẩn ISO/IEC 27000 được soạn thảo bởi ủy ban kỹ thuật chung ISO/IEC JTC 1,
công nghệ thông tin, tiểu ban SC 27, các kỹ thuật an toàn thông tin. ISMS được thiết
kế nhằm đảm bảo rằng sự lựa chọn các phương pháp kiểm soát an toàn thỏa đáng và
phù hợp nhằm bảo vệ các tài sản thông tin và tạo niềm tin cho các bên quan tâm.

Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá được cái rủi ro, xây dựng các
biện pháp và tạo ý thức, trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ
chức.
Bộ tiêu chuẩn này có thể áp dụng cho tất cả các loại hinh tổ chức (như các doanh
nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này xác định các
yêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét duy trì và cải tiến ISMS
dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ chức. Xác định
rõ các yêu cầu thực hiện kiểm soát an toàn tùy biến cho phù hợp với từng tổ chức hay
các bộ phận riêng rẽ.
Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau :
a)
b)
c)
d)
e)
f)
g)
h)
i)

ISO/IEC 27000 – ISMS Tổng quát và từ vựng;
ISO/IEC 27001 – ISMS yêu cầu;
ISO/IEC 27002 –Chuẩn mực thực hiện ISM;
ISO/IEC 27003 – Hướng dẫn triển khai ISMS;
ISO/IEC 27004 – Đo lường ISM;
ISO/IEC 27005 – Quản lý rủi ro IS;
ISO/IEC 27006 – Yêu cầu về tổ chức đánh giá và chứng nhận ISMS;
ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông;
ISO 27799 – ISM trong y tế sử dụng ISO/IEC 27002;



j) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;
k) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMS controls;
l) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC
27001;
m) ISO/IEC 27014 – Khung quản lý IS;
n) ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;
o) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;
p) ISO/IEC 27032 – Hướng dẫn cybersecurity;
q) ISO/IEC 27033 – IT network security;
r) ISO/IEC 27034 – Hướng dẫn application security;
s) ISO/IEC 27035 – Quản lý security incident;
t) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;
u) ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận và bảo quản các
bằng chứng số.
Có một số tiêu chuẩn không được đề cập (ví dụ như ISO 27012 cho egovermment) là
do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nâng
cấp lên thành tiêu chuẩn do Ủy ban kỹ thuật của ISO và IEC quyết định.
Dưới đây là bảng quan hệ của các chuẩn 27000 thuộc bộ chuẩn ISMS.


Hình 1.1 Quan hệ của các chuẩn trong bộ chuẩn ISMS


Trong các tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 sẽ đề cập đến các chuẩn có
liên quan nhiều đến quản lý an toàn thông tin như chuẩn ISO/IEC 27000, ISO/IEC
27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 20006.
1.1.1 Tiêu chuẩn ISO/IEC 27000
ISO/IEC 27000:2014 - Information technology – Security techniques - Information
security management systems - Overview and vocabulary

ISO / IEC 27000: 2014 cung cấp một cái nhìn tổng quan của hệ thống quản lý an ninh
thông tin đó là hoàn toàn phù hợp với tiêu chuẩn ISO / IEC 27001: 2013 và ISO / IEC
27002: 2013, cập nhật (1/2014) và định nghĩa cho toàn bộ khối ISO/IEC 27000 của
chuẩn ISMS.
Mục đích:
Tiêu chuẩn này cần thiết cho tất cả các tổ chức thực hiện một hệ thống quản lý an ninh
thông tin (ISMS), cho dù trong khu vực tư nhân, công cộng hay phi lợi nhuận.
1.1.2 Tiêu chuẩn ISO/IEC 27001
ISO/IEC 27001 -Information security management systems – Requirements.
ISO / IEC 27001 là tiêu chuẩn có tiếng nhất trong khối chuẩn cung cấp các yêu cầu
cho một hệ thống quản lý an ninh thông tin (ISMS).
Mục đích
Sử dụng tiêu chuẩn này sẽ giúp cho các tổ chức quản lý an toàn các dạng tài sản như
thông tin tài chính, sở hữu trí tuệ, chi tiết nhân viên hoặc thông tin giao phó cho bạn
bởi các bên thứ ba. ISO 27001 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được với
mọi lĩnh vực kinh tế trên toàn thế giới. Thông qua việc triển khai một hệ thống vững
chắc để quản lý thông tin trong tổ chức, bạn có thể bảo vệ được tài sản thông tin, đảm
bảo được sự liên tục trong kinh doanh nếu có xảy ra sự phá hoại hoặc mất mát nào.
Mất mát hoặc phá hoại có thể do rất nhiều nguyên nhân; thiên tai như hoả hạn hoặc lũ
lụt, sự mất mát ngẫu nhiên hoặc do quản lý kém, bị mua chuộc hoặc bị đánh cắp,
những mất mát này có thể gây ra những hậu quả khôn lường cho tổ chức.


Thông tin có thể là dữ liệu mà tổ chức sở hữu và nó có thể là những dữ liệu được lưu
lại dưới dạng điện tử, thông tin được chuyển qua bưu điện hay email, các dữ liệu hoặc
thông tin được in ra mà từng người trong tổ chức của bạn lưu giữ. Thông qua việc triển
khai ISO 27001 tổ chức sẽ xác định được loại thông tin trong tổ chức và xác định các
mối nguy và mối đe doạ. Sau đó bạn có thể thiết lập hệ thống, thiết lập sự kiểm soát và
các quy trình để giảm thiểu các mối nguy hiểm.
1.1.3 Tiêu chuẩn ISO/IEC 27002

ISO/IEC 27002 - Công nghệ thông tin - Quy tắc thực hành quản lý an toàn thông
tin - ISO 1087:2000 Thuật ngữ - Từ vựng (Terminology – Vocabulary)
Phiên bản hiện tại: ISO/IEC 27002: 2013
Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế
chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và năm 2007 được đổi tên
thành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng cùng với các tiêu chuẩn khác về
quản lý an toàn thông tin trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin
ISO/IEC 27000. Sau gần 8 năm ra đời, đã có rất nhiều thay đổi trên thế giới về an toàn
thông tin, các mối đe doạ, các điểm yếu kỹ thuật, các rủi ro liên quan đến điện toán
đám mây, dữ liệu lớn, và nhất là an ninh mạng. Do vậy hơn 3 năm qua, các tổ chức
tiêu chuẩn quốc gia trên toàn thế giới đã tổ chức cuộc họp với các chuyên gia chuyên
ngành tìm kiếm các điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC
27002:2013. Tiêu chuẩn ISO/ IEC 27002:2013 được công bố năm 2013 đã có rất nhiều
thay đổi về cấu trúc, nội dung các phần. Nội dung được viết lại cho tập trung và cô
đọng hơn (rút ngắn số trang so với bản 2005).
Mục tiêu
Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai,
duy trì và cải thiện công tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu đặt
ra của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung
đã được công nhận về quản lý an toàn thông tin.
Các mục tiêu và biện pháp kiểm soát của tiêu chuẩn này được triển khai đáp ứng các
yêu cầu được xác định bởi quá trình đánh giá rủi ro. Tiêu chuẩn này có thể đóng vai trò


như một định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn cho tổ chức
và thực hành quản lý an toàn hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt động
liên tổ chức.
Nội dung
Cấu trúc nội dung của phiên bản 27002:2013



0: Giới thiệu

ISO/IEC 27003:2010 – Information

1: Phạm vi

security

2: Tham khảo tiêu chuẩn
3. Giới hạn và định nghĩa

management

system

implementation guidance.
ISO/IEC 27003:2010 nằm trong khối
tiêu chuẩn ISO/IEC 27000 (ISMS), là

4. cấu trúc của chuẩn tham khảo

một chuẩn an ninh thông tin được công

5. Chính sách bảo mật thông tin

bố bởi Tổ chức Tiêu chuẩn Quốc tế

6. Tổ chức bảo mật thông tin
7. Nguồn nhân lực an ninh


(ISO) và Ủy ban Kỹ thuật Điện Quốc tế
(IEC). Tiêu đề của nó là Công nghệ
thông tin - Kỹ thuật an ninh - Thông tin

8. Quản lý tài nguyên

quản lý an ninh thực hiện hệ thống

9, điều khiển truy cập

hướng dẫn .

10. Khóa giao tiếp

Tiêu chuẩn này tập trung vào các khía

11. Phần vật lý và môi trường bảo mật
12. Hoạt động bảo mật

cạnh quan trọng, cần thiết cho việc thiết
kế thành công và thực hiện một hệ
thống quản lý an ninh thông (ISMS)

13. An toàn trao đổi

theo tiêu chuẩn ISO/IEC 27001:2005.

14. Hệ thống tiếp nhận, phát triển và


Nó mô tả các quá trình của ISMS được

duy trì

đặc tả và thiết kế từ khi bắt đầu đến khi

15. Quan hệ khách hàng
16. Quản lý sợ cố bảo mật thông tin

thực hiện kế hoạch sản xuất
Nó mô tả các quá trình có sự chấp
thuận quản lý để thực hiện một ISMS,

17. Các dạng bảo mật của khía cạnh

xác định một dự án để thực hiện một

kinh doanh

ISMS (được đề cập trong tiêu chuẩn

18. Tuân thủ

này là các dự án ISMS), và cung cấp
hướng dẫn về cách lập kế hoạc dự án

1.1.4 ISO/IEC 27003

ISMS.
Mục đích:

Các tổ chức có thể phát triển một quy
trình quản lý an ninh thông tin, cho các


bên liên quan đảm bảo rằng rủi ro đối

Mục đích:

với tài sản thông tin liên tục được duy

Cung cấp hướng dẫn về việc phát triển

trì trong giới hạn an ninh thông tin chấp

và sử dụng các biện pháp đo lường,

nhận được theo quy định của tổ chức.

đánh giá hiệu quả của một hệ thống

Tiêu chuẩn này không bao gồm các

quản lý an ninh thông tin, như quy định

hoạt động nghiệp vụ và các hoạt động

trong tiêu chuẩn ISO 27001. Nó được

ISMS khác, nhưng bao gồm các khái


thiết kế để giúp thiết lập một tổ chức

niệm về cách thiết kế các hoạt động đó

thực hiện ISMS một cách hiệu quả.

sẽ cho kết quả sau khi các hoạt động
ISMS bắt đầu. Việc thực hiện thực tế

1.1.6 ISO/IEC 27005

của một phần cụ thể của một dự án

ISO/IEC 27005:2011 - Information

ISMS là không nằm trong phạm vi của

technology - Security techniques -

tiêu chuẩn này.

Information

1.1.5 ISO/IEC 27004
ISO/IEC 27004:2009 - Information
security risk management

security

risk


management.
Tiêu chuẩn này cung cấp hướng dẫn
cho việc quản lý rủi ro an toàn thông tin
trong một tổ chức, đặc biệt hỗ trợ yêu

ISO/IEC 27004:2009là chuẩn của các

cầu quản lý an toàn thông tin (ISMS)

phép đo liên quan đến quản lý an ninh

theo tiêu chuẩn ISO/IEC 27001. Tuy

thông tin: thường được gọi là “thước đo

nhiên, tiêu chuẩn này không cung cấp

an ninh”.

bất kỳ phương pháp cụ thể để quản lý

Bao gồm các phần chính:

rủi ro an toàn thông tin. Đó là cách để

-

Thông tin tổng quan về đo lường


tổ chức xác định cách tiếp cận của họ
để quản lý rủi ro, ví dụ tùy thuộc vào

-

an ninh;
Trách nhiệm quản lý;
Các biện pháp và phát triển đo

-

lường;
Hoạt động đo lường;
Phân tích thông tin và báo cáo

-

kết quả đo;
Đánh giá chương trình đo lường
an ninh thông tin và cải tiến.

phạm vi của ISMS, bối cảnh của quản
lý rủi ro, hoặc lĩnh vực công nghiệp.
Một số phương pháp hiện tại có thể
được sử dụng trong khuôn khổ mô tả
trong tiêu chuẩn này để thực hiện các
yêu cầu của một ISMS.Tiêu chuẩn này
có liên quan đến quản lý rủi ro an toàn



thông tin với nhân viên trong hoặc bên

thống thông tin khách hàng của họ

ngoài tổ chức, thích hợp hỗ trợ các hoạt

'Security Management (ISMSs) so với

động như vậy.

tiêu chuẩn ISO / IEC 27001 để xác

Tiêu chuẩn này cung cấp hướng dẫn

nhận hoặc đăng ký họ tuân thủ. Các

cho việc quản lý rủi ro an toàn thông

quy trình kiểm định đặt ra trong việc

tin. Tiêu chuẩn này hỗ trợ các khái

bảo đảm tiêu chuẩn ISO / IEC 27001

niệm chung được quy định trong

chứng chỉ do các tổ chức được công

ISO/IEC 27001 và được thiết kế để hỗ


nhận là hợp lệ.

trợ việc thực hiện thỏa đáng về an toàn

ISO / IEC 27006 là tiêu chuẩn công

thông tin dựa trên phương pháp quản lý

nhận rằng hướng dẫn các cơ quan cấp

rủi ro. Kiến thức về các khái niệm, mô

giấy chứng nhận vào các quá trình

hình, quy trình và thuật ngữ mô tả trong

chính thức mà họ phải tuân theo khi

ISO/IEC 27001 và ISO/IEC 27002 là

kiểm toán Hệ thống thông tin khách

quan trọng cho việc hiểu rõ các tiêu

hàng của họ 'Security Management

chuẩn này. Tiêu chuẩn này được áp

(ISMSs) so với tiêu chuẩn ISO / IEC


dụng cho tất cả các loại hình tổ chức (ví

27001 để xác nhận hoặc đăng ký họ

dụ như các doanh nghiệp thương mại,

tuân thủ. Các quy trình kiểm định đặt ra

cơ quan chính phủ, các tổ chức phi lợi

trong việc bảo đảm nhân đạo tiêu chuẩn

nhuận) mà có ý định để quản lý rủi ro

ISO / IEC 27001 chứng chỉ do các tổ

có thể thỏa hiệp bảo mật thông tin của

chức được công nhận là hợp lệ.

tổ chức.

Mục đích

1.1.7 ISO/IEC 27006

Tiêu chuẩn ISO/IEC 27006 là để "xác

ISO/IEC 27006 - Requirements for


định yêu cầu và hướng dẫn các cơ quan

bodies

and

đánh giá và chứng nhận hệ thống quản

certification of information security

lý an ninh thông tin (ISMS), ngoài các

management systems.

yêu cầu nêu trong ISO/IEC 17021 và

ISO / IEC 27006 là tiêu chuẩn dùng để

ISO/IEC 27001. Đó là chủ yếu nhằm hỗ

hướng dẫn các cơ quan cấp giấy chứng

trợ công nhận của cơ quan cấp giấy

nhận vào các quá trình chính thức mà

chứng nhận cung cấp chứng nhận

họ phải tuân theo khi kiểm toán hệ


ISMS”.

providing

audit


1.1.8 ISO/IEC 27007

Tiêu chuẩn này cung cấp hướng dẫn về

ISO.IEC 27007:2011 - Information

quản lý một hệ thống quản lý an ninh

technology - Security techniques -

thông tin (ISMS) chương trình kiểm

Guidelines for information security

toán, trên việc thực hiện việc kiểm

management systems auditing

toán, và về thẩm quyền của ISMS kiểm

Tiêu chuẩn này cung cấp hướng dẫn về
quản lý một hệ thống quản lý an ninh
thông tin (ISMS) chương trình kiểm

toán và tiến hành các cuộc kiểm toán
nội bộ hoặc bên ngoài theo tiêu chuẩn
ISO/IEC 27001: 2005, cũng như hướng

toán viên, ngoài các hướng dẫn có
trong ISO 19011.Tiêu chuẩn này được
áp dụng cho những người cần phải hiểu
hoặc thực hiện kiểm toán nội bộ hoặc
bên ngoài ISMS hoặc để quản lý một
chương trình kiểm toán ISMS.

dẫn về thẩm quyền và đánh giá của

1.1.9 ISO/IEC 27008

kiểm toán viên, nên được sử dụng kết

ISO/IEC 27008:2011 - Information

hợp với các hướng dẫn có trong ISO

technology - Security techniques -

19011.. Hướng dẫn này là dành cho tất

Guidelines

cả người sử dụng, bao gồm cả các tổ

information security controls.


chức có quy mô vừa và nhỏ. ISO

Tiêu chuẩn này cung cấp hướng dẫn về

19011, hướng dẫn cho các hệ thống

quản lý một hệ thống quản lý an toàn

quản lý kiểm toán, cung cấp hướng dẫn

thông tin (ISMS) chương trình kiểm

về quản lý các chương trình kiểm toán,

toán, trên thực hiện việc kiểm toán, và

tiến hành đánh giá trong nội bộ hay bên

về thẩm quyền của ISMS kiểm toán

ngoài hệ thống quản lý, cũng như về

viên, ngoài các hướng dẫn có trong ISO

thẩm quyền và đánh giá của kiểm toán

19011.Tiêu chuẩn này được áp dụng

viên hệ thống quản lý. Các văn bản


cho những người cần phải hiểu hoặc

trong tiêu chuẩn này theo cấu trúc của

thực hiện kiểm toán nội bộ hoặc bên

ISO 19011, và hướng dẫn ISMS cụ thể

ngoài của một ISMS hoặc để quản lý

thêm về việc áp dụng tiêu chuẩn ISO

một chương trình kiểm toán ISMS.

19011 cho ISMS kiểm toán được xác
định bằng hai chữ "IS".

for

auditors

on

Tiêu chuẩn này cung cấp hướng dẫn về
việc rà soát việc thực hiện và hoạt động
của điều khiển, bao gồm cả kiểm tra


việc tuân thủ kỹ thuật của hệ thống điều


ISO 27011 thiết lập các hướng dẫn và

khiển thông tin, phù hợp với các tiêu

nguyên tắc chung để bắt đầu, triển khai,

chuẩn được thiết lập an ninh thông tin

duy trì và cải thiện ISM trong các tổ

của tổ chức. Tieeuc chuẩn kỹ thuật này

chức viễn thông dựa trên tiêu chuẩn

được áp dụng cho tất cả các loại và qui

ISO/ IEC 27002. Hiện nay ISO 27011

mô của các tổ chức, bao gồm cả công

bao gồm bộ điều khiển viễn thông mở

cộng và các công ty tư nhân, các tổ

rộng mới và hướng dẫn thực hiện cho

chức chính phủ, và phi lợi nhuận, tổ

một tổ chức viễn thông. Tiêu chuẩn này


chức hoạt động thông tin đánh giá an

cung cấp một cơ sở thực hiện ISM

ninh và kiểm tra việc tuân thủ kỹ thuật.

trong các tổ chức viễn thông để đảm

Báo cáo kỹ thuật này không dành cho

bảo bí mật, toàn vẹn và tính sẵn sàng

các hệ thống quản lý kiểm toán.

của thiết bị và dịch vụ viễn thông. Các

1.1.10 ISO/IEC 27011

tổ chức khi thực hiện ISO 27011 sẽ có

ISO/IEC 27011:2008 - Information
security management guidelines for
telecommunications

organizations

based on ISO/IEC 27002

thể đảm bảo tính bảo mật, tính toàn vẹn

và tính sẵn sàng của thiết bị và dịch vụ
viễn thông toàn cầu. Đã được thông qua
quá trình hợp tác an toàn và kiểm soát
đảm bảo rủi ro trong việc cung cấp các

Phạm vi của khuyến nghị này là xác

dịch vụ viễn thông. Có thể dùng để

định hướng dẫn hỗ trợ thực hiện quản

triển khai các nguồn lực để hoạt động

lý an ninh thông tin trong các tổ chức

hiệu quả hơn. Tiêu chuẩn đã thông qua

viễn thông.

một phương pháp tiếp cận toàn diện

Mục đích

phù hợp để bảo mật thông tin. Có thể

Việc áp dụng khuyến nghị sẽ cho phép
các tổ chức viễn thông để đáp ứng yêu

nâng cao nhận thực cá nhân và tăng sự
tin tưởng.


cầu quản lý an ninh thông tin cơ bản về

1.1.11 ISO/IEC 27013

bảo mật, tính toàn vẹn, tính sẵn có và

ISO/IEC 27013:2012 - Information

bất kỳ tài sản bảo đảm có liên quan

technology - Security techniques -

khác.

Guidance

on

the

integrated

implementation of ISO/IEC 27001
and ISO/IEC 20000-1


Mối quan hệ giữa an ninh thông tin và

động cho phù hợp với các yêu cầu của


quản lý dịch vụ là rất gần mà nhiều tổ

một tiêu chuẩn quốc tế và sau đó thực

chức đã nhận ra những lợi ích của việc

hiện những cải tiến để phù hợp với các

áp dụng cả hai tiêu chuẩn: ISO/IEC

yêu cầu của người khác.

27001 cho an ninh thông tin và tiêu

Có một số lợi thế trong việc thực hiện

chuẩn ISO/IEC 20.000-1 cho quản lý

một hệ thống quản lý tích hợp trong đó

dịch vụ. Nó được dùng phổ biến cho

sẽ đưa vào tài khoản không chỉ là cung

một tổ chức để cải thiện cách thức nó

cấp dịch vụ mà còn bảo vệ tài sản thông

hoạt động cho phù hợp với các yêu cầu


tin. Những lợi ích này có thể được hiệm

của một tiêu chuẩn quốc tế và sau đó

cho dù một tiêu chuẩn được thực hiện

thực hiện những cải tiến để phù hợp với

trước khi người kia, hoặc cả hai tiêu

các yêu cầu của người dùng khác

chuẩn được thực hiện đồng thời. Quản

nhau.Có một số lợi thế trong việc thực

lý và tổ chức các quy trình, đặc biệt, có

hiện một hệ thống quản lý tích hợp

thể hưởng lợi từ sự tương đồng giữa

trong đó sẽ đưa vào tài khoản không chỉ

các tiêu chuẩn quốc tế và các mục tiêu

là cung cấp dịch vụ mà còn bảo vệ tài

chung của họ.


sản thông tin. Những lợi ích này vẫm
có cho dù một tiêu chuẩn được thực
hiện trước, hay cả hai tiêu chuẩn được

Những lợi ích chính của một thực hiện
tích hợp bao gồm:

thực hiện đồng thời. Quản lý và tổ chức

a) độ tin cậy, để khách hàng nội bộ

các quy trình, đặc biệt, có thể hưởng lợi

hay bên ngoài của các tổ chức, các dịch

từ sự tương đồng giữa các tiêu chuẩn

vụ hiệu quả và an toàn;

quốc tế và các mục tiêu chung của họ.

b) chi phí thấp hơn của một chương

Mối quan hệ giữa an ninh thông tin và

trình kết hợp của hai dự án, trong đó

quản lý dịch vụ là rất gần mà nhiều tổ


đạt được cả quản lý dịch vụ và an ninh

chức đã nhận ra những lợi ích của việc

thông tin là một phần của chiến lược

áp dụng cả hai tiêu chuẩn: ISO/IEC

của một tổ chức;

27001 cho an ninh thông tin và tiêu

c) giảm thời gian thực hiện do sự

chuẩn ISO/IEC 20.000-1 cho quản lý

phát triển tích hợp các quy trình chung

dịch vụ. Nó được phổ biến cho một tổ

cho cả hai tiêu chuẩn;

chức để cải thiện cách thức nó hoạt


d) loại bỏ sự trùng lặp không cần
thiết;
e) một sự hiểu biết hơn của dịch vụ

theo quốc gia và ảnh hưởng đến quy

hoạch hệ thống quản lý của một tổ
chức.

quản lý và nhân viên an ninh của các

1.1.12 ISO/IEC 27014

quan điểm của người kia;

ISO/IEC 27014:2013 - Information

f) một tổ chức chứng nhận ISO/IEC

technology - Security techniques -

27001 có thể dễ dàng đáp ứng các yêu

Governance of information security

cầu về an ninh thông tin trong ISO/IEC

Các tiêu chuẩn ISO/IEC 27014: 2013

20.000-1: 2011, phân lớp 6.6, khi cả hai

đã được phát hành vào ngày 15 tháng 5

tiêu chuẩn quốc tế được bổ sung trong

năm 2013. Việc quản lý an ninh thông


các yêu cầu.

tin là một "hệ thống mà theo đó các

Hướng dẫn này dựa trên các phiên bản

hoạt động an ninh thông tin của một tổ

xuất bản của cả hai tiêu chuẩn quốc tế,

chức được chỉ đạo và kiểm soát"

tiêu chuẩn ISO/IEC 27001: 2005 và

(ISO/IEC

ISO/IEC 20.000-1: 2011.

27014: 2013 là một phần của tiêu chuẩn

Tiêu chuẩn này được thiết kế để sử

ISO/ IEC 27000 loạt các tiêu chuẩn.

dụng bởi người có kiến thức của cả hai,

Tiêu chuẩn mới này đã được phát hành

hoặc là hoặc không phải của các tiêu


như là cả một tiêu chuẩn ISO / IEC

chuẩn quốc tế ISO / IEC 27001 và

27.014 và ITU-T khuyến nghị X.1054

ISO / IEC 20.000-1.. Do đó, tiêu chuẩn

(IRCA, 2013). "Quản trị thích hợp của

này không tái tạo các bộ phận của một

an ninh thông tin, đảm bảo sự liên kết

trong hai tiêu chuẩn. Tương tự, nó

của an ninh thông tin với chiến lược

không mô tả tất cả các bộ phận của mỗi

kinh doanh và mục tiêu, giao hàng giá

tiêu chuẩn quốc tế một cách toàn diện.

trị và trách nhiệm giải trình. Nó hỗ trợ

Chỉ có những phần mà chồng chéo đối

việc đạt được tầm nhìn, nhanh nhẹn,


tượng được mô tả chi tiết.

hiệu quả, hiệu quả và tuân thủ

Tiêu chuẩn này không đưa ra hướng
dẫn liên quan đến pháp luật và các quy
định khác nhau bên ngoài sự kiểm soát
của tổ chức. Đây có thể khác nhau tùy

27014:

2013).

ISO/IEC

"(ISO27001:2013). Tiêu chuẩn này
được "đặc biệt nhằm giúp các tổ chức
chi phối thoả thuận an ninh thông tin
của họ" (ISO 27001: 2013). Tiêu chuẩn


này cung cấp "hướng dẫn về các khái

về một sự bảo vệ an toàn thông tin có

niệm và nguyên tắc choan toàn thông

hiệu quả với tài sản và các thông tin xử


tin, do đó các tổ chức có thể đánh giá,

lý. Trong khi đó, theo tiêu chuẩn

chỉ đạo, giám sát, giao tiếp và đảm bảo

ISO/IEC 27001: 2005 và ISO/IEC

các hoạt động liên quan đến an ninh

27002: 2005 thông tin địa chỉ quản lý

thông tin trong tổ chức" và "áp dụng

an ninh và điều khiển, họ làm như vậy

cho tất cả các loại và qui mô của các tổ

trong một hình thức tổng quát. Tổ chức

chức" (ISO/IEC 27014: 2013). Các

cung cấp dịch vụ tài chính có nhu cầu

tương đối ngắn, mười một tiêu chuẩn

bảo mật thông tin và những khó khăn

trang phác thảo quản trị của khái niệm


cụ thể trong tổ chức tương ứng của họ

an ninh thông tin và cung cấp một

hoặc trong khi thực hiện các giao dịch

khuôn khổ của sáu nguyên tắc và khuôn

tài chính với các đối tác kinh doanh, đòi

khổ năm (ISO/IEC 27014: 2013). Tiêu

hỏi trình độ cao của sự phụ thuộc giữa

chuẩn này xem việc quản trị của CNTT

các bên liên quan. Báo cáo kỹ thuật này

như chồng chéo với quản trị an ninh

là một bổ sung cho ISO IEC 27000 –

thông tin, cả những yếu tố này là các bộ

họ gia đình của tiêu chuẩn quốc tế để

phận onstituent của khái niệm rộng hơn

sử dụng bởi các tổ chức cung cấp dịch


về quản trị tổ chức (ISO/IEC 27.014:

vụ tài chính. Đặc biệt, những hướng

2013)

dẫn trong báo cáo kỹ thuật này bổ sung

1.1.13 ISO/IEC 27015

và bổ sung để kiểm soát an ninh thông

ISO/IEC 27015:2012 - Information
technology - Security techniques Information security management
guidelines for financial services.

tin quy định trong ISO/IEC 27002:
2005. Thuật ngữ "dịch vụ tài chính" nên
được hiểu như là các dịch vụ trong
quản lý, đầu tư, chuyển nhượng, hoặc
cho vay tiền mà có thể được cung cấp

Phát triển liên tục trong công nghệ

bởi các tổ chức cung cấp chuyên môn

thông tin đã dẫn đến một sự phụ thuộc

tài chính của họ hơn là bán sản phẩm


tăng của các tổ chức cung cấp dịch vụ

vật lý (tức là bất cứ ai trong "kinh

tài chính về tài sản của họ xử lý thông

doanh tiền"). Ngoài việc thực hiện của

tin. Do đó, quản lý, khách hàng và các

cả hai tiêu chuẩn ISO/IEC 27001: 2005

nhà quản lý đã được nâng cao kỳ vọng

và ISO/IEC 27002: 2005, bằng cách sử


Tiêu chuẩn kỹ thuật này cung cấp bảo

trưởng (CIO), các cán bộ an toàn thông

mật thông tin hướng dẫn bổ sung và

tin trưởng (CISOs) và vai trò tương tự.

ngoài kiểm soát an ninh thông tin quy

Quản lý an toàn thông tin thường được

định trong ISO/IEC 27002:2005 khởi


xem như là một phương pháp tiếp cận

tạo, thực hiện, duy trì và cải thiện an

công nghệ thông tin chỉ bằng cách sử

ninh thông tin trong các tổ chức cung

dụng điều khiển kỹ thuật (ví dụ như mã

cấp dịch vụ tài chính.

hóa, truy cập và quản lý đặc quyền,

1.1.14 ISO/IEC 27016

tường lửa, và sự xâm nhập và xóa mã

ISO/IEC 27016:2014 - Information

độc). Tuy nhiên, bất kỳ ứng dụng bảo

technology - Security techniques -

mật thông tin là không có hiệu quả mà

Information security management -

không xem xét một loạt các điều khiển


Organizational economics

khác (ví dụ như điều khiển vật lý, kiểm

Tiêu chuẩn

kỹ thuật này cung cấp

hướng dẫn về kinh tế an toàn thông tin
là một quá trình ra quyết định liên quan
đến việc sản xuất, phân phối và tiêu thụ
hàng hóa và dịch vụ hạn chế. Hành
động để bảo vệ các tài sản thông tin của
một tổ chức đòi hỏi nguồn lực, mà nếu
không có thể được giao cho người
không-an ninh thông tin liên quan đến
sử dụng thay thế. Các độc giả của tiêu
chuẩn kỹ thuật này chủ yếu được dùng

soát nguồn nhân lực, chính sách và các
quy tắc, vv). Một quyết định đã được
thực hiện để dành đủ nguồn lực để hỗ
trợ một loạt các điều khiển như là một
phần của quản lý an ninh thông tin. Báo
cáo kỹ thuật này hỗ trợ các mục tiêu
lớn của bảo mật thông tin theo quy định
tại các tiêu chuẩn ISO/IEC 27000 gia
đình đạt tiêu chuẩn bằng cách giới thiệu
kinh tế như là một thành phần quan

trọng của quá trình ra quyết định.

để quản lý điều hành đã giao phó trách

Cùng với một cách tiếp cận quản lý rủi

nhiệm từ các cơ quan quản lý về chiến

ro (ISO/IEC 27005) và khả năng thực

lược và chính sách, ví dụ như Cán bộ

hiện các phép đo an toàn thông tin (ISO

Giám đốc điều hành (CEO), Thủ trưởng

/ IEC 27004), các yếu tố kinh tế cần

các tổ chức Chính phủ, các cán bộ tài

phải được xem xét như là một phần của

chính trưởng (CFO), các cán bộ trưởng

quản lý an toàn thông tin khi lập kế

điều hành (Coos), Sĩ quan thông tin

hoạch, triển khai, duy trì và cải thiện sự
an toàn của tài sản thông tin của tổ



chức. Đặc biệt, luận cứ kinh tế được

b) tạo điều kiện cho các doanh

yêu cầu phải đảm bảo chi tiêu về an

nghiệp để đáp ứng các nghĩa vụ pháp lý

ninh thông tin là hiệu quả như trái

và quy định;

ngược với việc sử dụng các nguồn lực
một cách kém hiệu quả hơn.
Thông thường, lợi ích kinh tế của mối
quan tâm quản lý an toàn thông tin một
hoặc nhiều điều sau đây:
a) giảm thiểu bất kỳ tác động
tiêu cực đến mục tiêu kinh doanh của tổ
chức;

c) quản lý kỳ vọng của khách
hàng của tổ chức;
d) quản lý kỳ vọng của cộng
đồng của tổ chức;
e) duy trì một danh tiếng tổ chức
đáng tin cậy;
f) cung cấp bảo đảm đầy đủ và

chính xác của các báo cáo tài chính.

b) đảm bảo bất kỳ tổn thất tài
chính là chấp nhận được;

Tác động kinh tế tài chính và phi tài
chính tiêu cực như là một kết quả của

c) tránh các yêu cầu về vốn tăng

một sự thất bại của tổ chức để cung cấp

thêm nguy cơ và dự phòng trích lập dự

bảo vệ đầy đủ các tài sản thông tin của

phòng.

nó đang ngày càng trở thành một vấn

Quản lý an toàn thông tin cũng có thể

đề kinh doanh. Giá trị của quản lý an

tạo ra lợi ích mà không phải do vấn đề

toàn thông tin bao gồm xác định một

tài chính một mình. Trong khi những


mối quan hệ trực tiếp giữa chi phí kiểm

lợi ích phi tài chính là quan trọng, họ

soát để ngăn chặn sự mất mát, và các

thường bị loại khỏi phân tích kinh tế

chi phí lợi ích của việc tránh thua lỗ.

dựa tài chính. Lợi ích như vậy cần phải

Tăng mức độ cạnh tranh được dẫn đến

được định lượng và bao gồm như là

sự cần thiết cho các tổ chức để tập

một phần của các phân tích kinh tế. Các

trung vào kinh tế của rủi ro.

ví dụ bao gồm:

Báo cáo kỹ thuật này bổ sung các tiêu

a) tạo điều kiện cho các doanh

chuẩn ISO / IEC 27000 gia đình đạt


nghiệp tham gia vào các nỗ lực có nguy

tiêu chuẩn bởi đè một góc độ kinh tế về

cơ cao;

bảo vệ tài sản thông tin của một tổ chức
trong bối cảnh của môi trường xã hội


rộng rãi, trong đó một tổ chức hoạt

thống và các ứng dụng, cũng có nghĩa

động.

là các tổ chức càng trở nên phụ thuộc

Tiêu chuẩn này cung cấp hướng dẫn kỹ

nhiều hơn vào cơ sở hạ tầng công nghệ

thuật về cách tổ chức có thể đưa ra

thông tin đáng tin cậy, an toàn và an

quyết định để bảo vệ thông tin và hiểu

toàn.


hậu quả kinh tế của các quyết định

Trong khi đó, nhu cầu quản lý kinh

trong bối cảnh các yêu cầu đối với các

doanh liên tục (BCM), bao gồm chuẩn

nguồn lực cạnh tranh.

bị sự cố, lập kế hoạch khôi phục thảm

Tiêu chuẩn kỹ thuật này được áp dụng

họa và ứng phó khẩn cấp và quản lý, đã

cho tất cả các loại và kích cỡ của các tổ

được công nhận và hỗ trợ với các lĩnh

chức và cung cấp thông tin để quyết

vực cụ thể của kiến thức, chuyên môn

định kinh tế trong quản lý an ninh

và các tiêu chuẩn xây dựng và ban hành

thông tin của lãnh đạo những người có


trong những năm gần đây, bao gồm cả

trách nhiệm về các quyết định an ninh

các BCM tiêu chuẩn quốc tế được phát

thông tin.

triển bởi ISO / TC 223.

1.1.15 ISO/IEC 27031

ISO/TC 223 đang trong quá trình phát

ISO/IEC 27031:2011 - Information
technology - Security techniques Guidelines

for

information

and

triển của một quản lý kinh doanh liên
tục có liên quan tiêu chuẩn quốc tế
(ISO 22301).

communication technology readiness

Thất bại của các dịch vụ công nghệ


for business continuity

thông tin, bao gồm cả sự xuất hiện của

Trong những năm qua, công nghệ thông
tin và truyền thông (ICT) đã trở thành
một phần không thể thiếu của rất nhiều
các hoạt động đó là những yếu tố của
cơ sở hạ tầng quan trọng trong tất cả
các lĩnh vực tổ chức, cho dù công cộng,
tư nhân hoặc tự nguyện. Sự phát triển
của Internet và các dịch vụ mạng điện
tử khác, và khả năng hiện nay của hệ

các vấn đề an ninh như hệ thống xâm
nhập và lây nhiễm phần mềm độc hại,
sẽ ảnh hưởng đến tính liên tục của hoạt
động kinh doanh. Do đó việc quản lý
công nghệ thông tin và liên tục có liên
quan và các khía cạnh an ninh khác tạo
thành một phần quan trọng của các yêu
cầu kinh doanh liên tục. Hơn nữa, trong
phần lớn các trường hợp, các chức năng


kinh doanh quan trọng đòi hỏi phải liên

Để cho một tổ chức để đạt được sự sẵn


tục kinh doanh thường phụ thuộc vào

sàng cho công nghệ thông tin kinh

công nghệ thông tin. Sự phụ thuộc này

doanh liên tục (IRBC), nó cần phải đưa

có nghĩa rằng sự gián đoạn để ICT có

ra một quy trình hệ thống để ngăn chặn,

thể cấu thành rủi ro chiến lược đối với

dự đoán và quản lý gián đoạn ICT và

danh tiếng của tổ chức và khả năng của

các sự cố có khả năng làm gián đoạn

mình để hoạt động.

dịch vụ công nghệ thông tin. Điều này

Sẵn sàng ICT là một thành phần thiết

có thể đạt được tốt nhất bằng cách áp

yếu đối với nhiều tổ chức trong việc


dụng các Plan-Do-Check-Act (PDCA)

thực hiện quản lý kinh doanh liên tục

bước theo chu kỳ như là một phần của

và quản lý an ninh thông tin. Là một

một hệ thống quản lý trong lĩnh vực

phần của việc thực hiện và hoạt động

CNTT IRBC. Bằng cách này IRBC hỗ

của một hệ thống quản lý an ninh thông

trợ BCM bằng cách đảm bảo rằng các

tin (ISMS) được quy định trong tiêu

dịch vụ công nghệ thông tin như phục

chuẩn ISO/IEC 27001 và hệ thống quản

hồi phù hợp và có thể được phục hồi

lý kinh doanh liên tục (BCMS) tương

trong khoảng thời gian yêu cầu và thỏa


ứng, nó là rất quan trọng để phát triển

thuận của tổ chức được xác định trước.

và thực hiện một kế hoạch sẵn sàng cho

1.2 Bộ tiêu chuẩn ISO/IEC 15408

các dịch vụ công nghệ thông tin để giúp

Bộ tiêu chuẩn ISO/IEC 15408 có tên là

đảm bảo kinh doanh liên tục.

“Công nghệ thông tin – Các kỹ thuật an

Kết quả là, BCM hiệu quả là thường

toàn – Các tiêu chí đánh giá cho an toàn

xuyên phụ thuộc vào sự sẵn sàng ICT

CNTT”. ISO/IEC 15408 được biên

hiệu quả để đảm bảo rằng các mục tiêu

soạn bởi Ủy ban kỹ thuật liên hợp

của tổ chức có thể tiếp tục được đáp


ISO/IEC JTC 1 về công nghệ thông tin

ứng trong thời gian gián đoạn. Điều này

(Joint Technical Committee ISO/IEC

đặc biệt quan trọng là những hậu quả

JTC) và Tiểu ban SC 27 về các kỹ thuật

của sự gián đoạn ICT thường có những

an toàn CNTT (Information Technology

biến chứng nhất của việc vô hình và /

Subcommittee SC 27, IT security

hoặc khó phát hiện.

techniques). Tài liệu chuẩn ISO/IEC
15408 được xuất bản bởi các tổ chức tài
trợ dự án về các tiêu chuẩn chung dưới


tiêu đề “Các tiêu chí chung cho đánh

Điều này làm tăng thêm tính chính xác,

giá an toàn CNTT”.


nhất quán và khách quan của kết quả

Tiêu chuẩn ISO/IEC 15408 cho phép

đánh giá.

thực hiện so sánh các kết quả đánh giá

Bộ tiêu chuẩn gồm 3 phần là : ISO/IEC

an toàn độc lập. Tiêu chuẩn cung cấp

15408-1, ISO/IEC 15408-2, ISO/IEC

một tập các yêu cầu đối với chức năng

15408-3.

an toàn của các sản phẩm và hệ thống

1.2.1 ISO/IEC 15408-1: 2009

CNTT, và về các biện pháp đảm bảo áp
dụng các yêu cầu trong quá trình đánh
giá an toàn. Tiêu chuẩn cung cấp các
tiêu chí tổng quát để đánh giá an toàn
cho các sản phẩm và hệ thống CNTT.
Các kết quả đánh giá có thể giúp người


ISO/IEC 15408-1: 2009 - Information
technology - Security techniques Evaluation criteria for IT security Part 1: Introduction and general
model

dùng xác định xem sản phẩm hoặc hệ

ISO / IEC 15.408-1: 2009 thiết lập các

thống CNTT có đủ an toàn chưa khi

khái niệm chung và nguyên tắc của

đưa vào sử dụng, và các rủi ro an toàn

công nghệ thông tin đánh giá an ninh và

tiềm ẩn khi sử dụng có chấp nhận được

xác định mô hình chung của đánh giá

hay không.

được đưa ra bởi các phần khác nhau

Bộ tiêu chuẩn ISO/IEC 15408 được xây
dựng nhằm đáp ứng một nhu cầu thiết
thực của thực tiễn là làm cơ sở cho thực
hiện đánh giá năng lực đảm bảo an toàn

của tiêu chuẩn ISO/IEC 15408 mà toàn

bộ là có nghĩa là để được sử dụng làm
cơ sở cho việc đánh giá an ninh tính
chất của các sản phẩm CNTT.

thông tin cho các sản phẩm và hệ thống

ISO / IEC 15.408-1: 2009 cung cấp một

CNTT, và giúp các doanh nghiệp trong

cái nhìn tổng quan của tất các phần

việc phát triển các sản phẩm và hệ

trong tiêu chuẩn ISO/IEC 15408. Nó

thống CNTT đảm bảo các yêu cầu về

mô tả các bộ phận khác nhau của tiêu

an toàn thông tin. Để đạt được sự so

chuẩn, các thuật ngữ và chữ viết tắt

sánh hiệu quả giữa các kết quả đánh

được sử dụng trong tất cả các bộ phận

giá, các đánh giá cần được thực hiện


của tiêu chuẩn quốc tế, thiết lập các

theo một khung của mô hình chính thức

khái niệm cốt lõi của một mục tiêu của

trong đó có các tiêu chí đánh giá chung.

đánh giá (TOE), bối cảnh đánh giá và


mô tả đối tượng mà các tiêu chí đánh

biến nhất của thị trường. Đây là những

giá được. Giới thiệu các khái niệm bảo

tổ chức sử dụng một cấu trúc phân cấp

mật cơ bản cần thiết cho việc đánh giá

của các lớp và các thành phần, và được

các sản phẩm CNTT được đưa ra. Nó

hỗ trợ bởi người sử dụng ghi chú toàn

định nghĩa các hoạt động khác nhaumaf

diện.


các thành phần chức năng và bảo đảm

Mục đích

được đưa ra trong ISO/IEC 15408-2 và
ISO/IEC 15408-3 có thể được thay đổi
thông qua việc sử dụng các hoạt động
cho phép.

Những đối tượng có thể áp dụng phần
này của tiêu chuẩn ISO/IEC 15408 bao
gồm người dùng, các nhà phát triển và
đánh giá hệ thống và sản phẩm CNTT.

Mục đích :

Người dùng sử dụng ISO 15408-2 khi

ISO / IEC 15.408-1: 2009 đưa ra hướng

lựa chọn các thành phần chức năng

dẫn cho các đặc điểm kỹ thuật của các

được yêu cầu rõ ràng để đáp ứng các

mục tiêu an ninh (ST) và cung cấp một

mục tiêu an ninh hiện trong một hồ sơ


mô tả của các tổ chức của các thành

bảo vệ hoặc một mục tiêu an ninh. Các

phần trong suốt mô hình. đoành

nhà phát triển, hay những người dùng

1.2.2 ISO/IEC 15408-2:2008

cần đáp ứng yêu cầu an ninh trong thực

ISO/IEC 15408-2:2008- Information
technology - Security techniques Evaluation criteria for IT security Part

2:

Security

functional

components

tế, hay nhận thức trong việc xây dựng
một mục tiêu của đánh giá. Có thể tìm
thấy một phương pháp tiêu chuẩn để
hiểu những yêu cầu trong phần này của
ISO/IEC 15408. Họ cũng có thể sử
dụng các nội dung của phần này của


ISO/IEC 15.408-2: 2008 xác định nội

ISO/IEC 15408 như một cơ sở để xác

dung và trình bày các yêu cầu chức

định thêm các chức năng bảo mật mục

năng an toàn được đánh giá trong một

tiêu được đánh giá và cơ chế thực hiện

đánh giá an toàn bằng cách sử dụng tiêu

theo những yêu cầu.

chuẩn ISO/IEC 15408. Nó bao gồm
một danh mục toàn diện các thành phần

1.2.3 ISO/IEC 15408-3:2008

chức năng bảo mật được xác định trước

ISO/IEC 15408-3:2008- Information

rằng sẽ đáp ứng nhu cầu bảo mật phổ

technology - Security techniques -