Tải bản đầy đủ (.doc) (29 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Nghiên Cứu Xây Dựng Tiêu Chuẩn Việt Nam Về “Hướng Dẫn Các Biện Pháp An Toàn Thông Tin Cho Sử Dụng Dịch Vụ Điện Toán Đám Mây Dựa Trên IsoIec 27002”

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (311.16 KB, 29 trang )

BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM

THUYẾT MINH TIÊU CHUẨN

NGHIÊN CỨU XÂY DỰNG TIÊU CHUẨN VIỆT NAM VỀ
“HƯỚNG DẪN CÁC BIỆN PHÁP AN TOÀN THÔNG TIN CHO SỬ
DỤNG DỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY DỰA TRÊN ISO/IEC 27002”

Hà Nội, 11/2017


MỤC LỤC
Mở đầu..................................................................................................................3
1. Tổng quan tình hình chuẩn hóa trong và ngoài nước về an toàn thông tin
và các biện pháp an toàn thông tin cho dịch vụ điện toán đám mây..............5
1.1. Khảo sát các tiêu chuẩn hóa về an toàn thông tin................................5
1.1.1. Các tiêu chuẩn an toàn thông tin trên thế giới....................................................5
1.1.2 Các tiêu chuẩn an toàn thông tin tại Việt Nam..................................................12

1.2 Lý do xây dựng tiêu chuẩn Việt Nam về hướng dẫn các biện pháp an
toàn thông tin cho sử dụng dịch vụ điện toán đám mây..................................17
1.3. Mục đích xây dựng tiêu chuẩn............................................................18
2. Sở cứ xây dựng tiêu chuẩn............................................................................19
2.1 Lựa chọn tiêu chuẩn tham chiếu.........................................................19
2.2 Phương pháp xây dựng tiêu chuẩn......................................................19
2.3. Phạm vi và khả năng áp dụng tiêu chuẩn tại Việt Nam.....................20
2.3.1. Phạm vi áp dụng...............................................................................................20
2.3.2 Khả năng áp dụng..............................................................................................20

3. Nội dung dự thảo tiêu chuẩn kỹ thuật.........................................................20


3.1. Giới thiệu ISO/IEC 27017:2015..........................................................20
3.2 Cấu trúc và nội dung dự thảo tiêu chuẩn............................................22
3.3 Bảng đối chiếu tiêu chuẩn viện dẫn.....................................................23
4. Kết luận..........................................................................................................28

2


Mở đầu
(1) Đặt vấn đề
Điện toán đám mây có thể được hiểu một cách đơn giản là mô hình sử
dụng tài nguyên tính toán một cách “tập trung”, có khả năng thay đổi theo nhu
cầu, và tài nguyên như phần cứng, phần mềm, dữ liệu. Thông qua kết nối
Internet, người dùng có thể truy cập tài nguyên như phần cứng, dữ liệu, phần
mềm của bất cứ nhà cung cấp nào trên “đám mây” tại mọi thời gian và địa điểm.
Mô hình điện toán đám mây cung cấp khả năng truy cập hệ thống thông tin với
chi phí rẻ, tài nguyên theo nhu cầu, …
Hiện nay, Điện toán đám mây đang được coi là một trong những xu
hướng chủ đạo đối với ngành công nghệ thông tin toàn cầu. Các hoạt động liên
quan đến điện toán đám mây đang diễn ra trong nhiều cơ quan chính phủ trên
thế giới. Tại nhiều nước, mô hình máy chủ ảo đã thực sự được quan tâm và ứng
dụng hiệu quả. Cộng đồng châu Âu, Uỷ ban châu Âu và một số nước thành viên
đang triển khai các hoạt động để hướng tới việc xây dựng một cơ sở hạ tầng
chung dựa trên mô hình điện toán đám mây cho các quốc gia thành viên. Chính
phủ Nhật đang triển khai một sáng kiến lớn về điện toán đám mây, nhân rộng
“đám mây Kasumigaseki”. Sáng kiến này nhằm phát triển một môi trường điện
toán đám mây riêng có thể host toàn bộ hệ thống tính toán của chính phủ Nhật
Bản. Đám mây Kasumigaseki sẽ hỗ trợ sự chia sẻ thông tin và tài nguyên ở mức
độ cao hơn và khuyến khích hoạt động tiêu chuẩn hoá, tập trung hoá các tài
nguyên CNTT của chính phủ.

Điện toán đám mây đang có xu hướng phát triển nhanh, đây là được xem
là công nghệ, nền tảng quan trọng của Cuộc cách mạng công nghiệp 4.0. Tại
Việt Nam, Điện toán đám mây đã xuất hiện từ năm 2009, và thị trường cung cấp
và sử dụng dịch vụ điện toán đám mây đang phát triển mạnh mẽ.
Bên cạnh những lợi ích tiềm năng, đi kèm xu thế phát triển là không ít
thách thức. Các rào cản về kỹ thuật như chất lượng đường truyền kết nối
Internet, bảo mật thông tin, dữ liệu, tính riêng tư, quyền kiểm soát dữ liệu. Sự
thay đổi từ phương thức đầu tư sang chi thuê dịch vụ được xem là một trở ngại.
Đặc biệt, vấn đề an toàn thông tin đối hoạt động cung cấp và sử dụng dịch vụ
3


điện toán đám mây là vấn đề quan trọng cần phải quan tâm nhằm giảm thiểu các
rủi ro, hiểm họa và nguy cơ mất an toàn thông tin.
Đồng thời, Việt Nam chưa có tiêu chuẩn nào về hướng dẫn các biện pháp
an toàn thông tin cho dịch vụ điện toán đám mây, cả về khía cạnh người sử dụng
dịch vụ điện toán đám mây và nhà cung cấp dịch vụ điện toán đám mây. Do vậy,
việc xây dựng tiêu chuẩn “hướng dẫn các biện pháp an toàn thông tin cho dịch
vụ điện toán đám mây dựa trên tiêu chuẩn ISO/IEC 27017:2015” nhằm hoàn
thiện hệ thống các tiêu chuẩn về an toàn thông tin nói chung và an toàn cho dịch
vụ điện toán đám mây tại Việt Nam là rất cần thiết; và là tiêu chuẩn, tài liệu
quan trọng để các cơ quan, tổ chức và doanh nghiệp cung cấp và sử dụng dịch
vụ điện toán đám mây, cũng như các cơ quan, đơn vị quản lý nhà nước về an
toàn thông tin và ứng cứu sự cố tham khảo, áp dụng nhằm đảm bảo hoạt động an
toàn thông tin, ứng cứu sự cố.
(2) Mục tiêu của việc xây dựng tiêu chuẩn:
Cung cấp các hướng dẫn để hỗ trợ thực hiện kiểm soát an toàn thông tin cho
các đối tượng là cơ quan, tổ chức, doanh nghiệp và cá nhân cung cấp và sử dụng
dịch vụ điện toán đám mây.
Hoàn thiện Bộ tiêu chuẩn quốc gia (27xxx) về an toàn thông tin.

(3) Tên dự thảo tiêu chuẩn quốc gia:
Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành cho các
kiểm soát an toàn thông tin dựa trên ISO/IEC 27002 cho các dịch vụ đám mây
Information technology - Security techniques – Code of practice for
information security controls based on ISO/IEC 27002 for cloud services

4


1.
Tổng quan tình hình chuẩn hóa trong và ngoài nước về an toàn
thông tin và các biện pháp an toàn thông tin cho dịch vụ điện toán đám mây
1.1.

Khảo sát các tiêu chuẩn hóa về an toàn thông tin

1.1.1. Các tiêu chuẩn an toàn thông tin trên thế giới
Trong những năm gần đây, các loại hình xâm nhập trái phép vào hệ thống
CNTT đã tăng cả về quy mô cũng như mức độ ảnh hưởng, tác động vào hệ thống
đích. Hệ thống máy tính của các tổ chức thường xuyên phải đối phó với các cuộc
tấn công, xâm nhập trái phép, gây rò rỉ, mất mát thông tin, thậm chí dừng hoạt
động, ảnh hưởng tiêu cực đến tiến độ, chất lượng công việc, kéo theo đó là các tổn
thất về kinh tế, uy tín của tổ chức và thậm chí là ảnh hưởng tới an ninh quốc gia
Khi tổ chức có quy mô càng lớn, tính chất thông tin phức tạp, thì yêu cầu áp
dụng các tiêu chuẩn, chính sách về an toàn thông tin một cách chi tiết, rõ ràng sẽ là
một trong những yếu tố quyết định đến việc đảm bảo ATTT được ổn định và bền
vững.
Việc chuẩn hóa công tác đảm bảo an toàn thông tin là việc thực hiện đồng
thời giữa chuẩn hóa các yếu tố liên quan đến con người; quy trình và công nghệ.
Trong đó, yếu tố con người liên quan đến các vấn đề về nhận thức an toàn thông

tin, sự tuân thủ theo các văn bản pháp lý của tổ chức; chuẩn hóa về quy trình là
việc xây dựng, áp dụng và kiểm soát về hành lang pháp lý như hệ thống luật,
chính sách, quy định... về an toàn thông tin. Còn chuẩn hóa về công nghệ là các
yêu cầu về thông số kỹ thuật, yêu cầu năng lực hệ thống hay các trang thiết bị kỹ
thuật.
Một trong những giải pháp toàn diện mang lại hiệu quả cao, giảm thiểu rủi
ro gây mất an toàn thông tin được các quốc gia trên thế giới thực hiện đó là việc
chuẩn hóa công tác đảm bảo an toàn thông tin theo các tiêu chuẩn quốc tế về Hệ
thống quản lý an toàn thông tin như tiêu chuẩn ISO 27xxx.
Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng
mới các tiêu chuẩn về công nghệ thông tin - các kỹ thuật an toàn thông tin. Trong
các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có
bộ tiêu chuẩn ISO/IEC 27xxx. Bộ tiêu chuẩn 27000 là một phần của hệ thống quản
lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong
5


hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến
đảm bảo an toàn thông tin của tổ chức.
Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình để thiết lập, thực
hiện, điều hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn
thông tin (ISMS). Bộ tiêu chuẩn ISO/IEC 27000 được soạn thảo bởi ủy ban kỹ
thuật chung ISO/IEC JTC 1, công nghệ thông tin, tiểu ban SC 27, các kỹ thuật
an toàn thông tin. ISMS được thiết kế nhằm đảm bảo rằng sự lựa chọn các
phương pháp kiểm soát an toàn thỏa đáng và phù hợp nhằm bảo vệ các tài sản
thông tin và tạo niềm tin cho các bên quan tâm.
Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá được cái rủi ro,
xây dựng các biện pháp và tạo ý thức, trách nhiệm của nhân viên trong việc bảo
vệ thông tin của tổ chức.
Bộ tiêu chuẩn này có thể áp dụng cho tất cả các loại hinh tổ chức (như các

doanh nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này
xác định các yêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét duy trì
và cải tiến ISMS dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc
của tổ chức. Xác định rõ các yêu cầu thực hiện kiểm soát an toàn tùy biến cho
phù hợp với từng tổ chức hay các bộ phận riêng rẽ.
Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau :
(1) ISO/IEC 27000 – ISMS Tổng quát và từ vựng;
(2) ISO/IEC 27001 – ISMS yêu cầu;
(3) ISO/IEC 27002 –Chuẩn mực thực hiện ISM;
(4) ISO/IEC 27003 – Hướng dẫn triển khai ISMS;
(5) ISO/IEC 27004 – Đo lường ISM;
(6) ISO/IEC 27005 – Quản lý rủi ro IS;
(7) ISO/IEC 27006 – Yêu cầu về tổ chức đánh giá và chứng nhận ISMS;
(8) ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông;
(9) ISO 27799 – ISM trong y tế sử dụng ISO/IEC 27002;
(10) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;
(11) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMS
controls;
(12) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1
và ISO/IEC 27001;
(13) ISO/IEC 27014 – Khung quản lý IS;
6


(14)
(15)
(16)
(17)
(18)
(19)

(20)
(21)

ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;
ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;
ISO/IEC 27032 – Hướng dẫn cybersecurity;
ISO/IEC 27033 – IT network security;
ISO/IEC 27034 – Hướng dẫn application security;
ISO/IEC 27035 – Quản lý security incident;
ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;
ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận và

bảo quản các bằng chứng số.
Lợi ích của việc áp dụng bộ tiêu chuẩn ISO/IEC 27xxx:
 Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ.
 Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu.
 Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng.
 Giảm thiểu rủi ro gặp phải.
 Nhanh chóng khắc phục các sự cố xảy ra.
 Giảm giá thành và các chi phí bảo hiểm.
 Nâng cao nhận thức và trách nhiệm của nhân viên về an toàn thông
tin.
Cấu trúc của bộ tiêu chuẩn ISO 27000:
Hình 1 dưới đây mô tả mối quan hệ giữa các tiêu chuẩn trong họ ISO
27000.

7


Hình 1. Mối quan hệ giữa các tiêu chuẩn trong họ ISO/IEC 27000

Các tiêu chuẩn về an toàn thông tin thuộc họ 27000 dưới đây đã được công
bố hoặc đang dự thảo.
Bảng 1. Bảng danh mục các tiêu chuẩn đã được công bố và đang dự thảo

ISO/IEC 27000

Năm
xuất bản
2016

ISO/IEC 27001

2013

ISMS- Các yêu cầu

ISO/IEC 27002

2013

Quy tắc thực hành quản lý an toàn thông tin

ISO/IEC 27003

2017

ISMS- Hướng dẫn triển khai

ISO/IEC 27004


2016

Quản lý an toàn thông tin- Đo lường

ISO/IEC 27005

2011

Quản lý rủi ro an toàn thông tin

ISO/IEC 27006

2015

Yêu cầu các tổ chức

ISO/IEC 27007

2011

Hướng dẫn đánh giá hệ thống quản lý an toàn
thông tin

ISO/IEC TR

2011

Hướng dẫn chuyên gia đánh giá kiểm soát hệ

Tiêu chuẩn


Nội dung
Hệ thống quản lý an toàn thông tin (ISMS) Tổng quan và từ vựng

8


27008

thống an toàn thông tin

ISO/IEC 27009

2016

Ứng dụng ngành cụ thể của ISO/IEC 27001Các yêu cầu

ISO/IEC 27010

2015

Quản lý an toàn thông tin cho truyền thông
liên ngành và liên tổ chức

ISO/IEC 27011

2016

Hướng dẫn quản lý an toàn thông tin cho các
tổ chức viễn thông dựa trên tiêu chuẩn

ISO/IEC 27002

ISO/IEC 27013

2015

Hướng dẫn thực hiện tích hợp ISO/IEC
27001 và ISO/IEC 20000-1

ISO/IEC 27014

2013

Quản trị an toàn thông tin

ISO/IEC
27015

TR

2012

Hướng dẫn quản lý an toàn thông tin cho dịch
vụ tài chính

ISO/IEC
27016

TR


2014

Quản lý an toàn thông tin- Các tổ chức kinh
tế

ISO/IEC 27017

2015

Quy tắc thực hành kiểm soát an toàn thông
tin cho các dịch vụ điện toán đám mây dựa
trên ISO 27002

ISO/IEC 27018

2014

ISO/IEC
27019

2013

Quy tắc thực hành để kiểm soát, bảo vệ thông
tin định danh cá nhân xử lý trong các dịch vụ
điện toán đám mây
Hướng dẫn quản lý an toàn thông tin dựa trên
ISO/IEC 27002 cho các hệ thống kiểm soát
quy trình đặc trưng trong ngành công nghiệp
năng lượng


TR

ISO/IEC 27021

Draft

Yêu cầu năng lực cho chuyên gia quản lý an
toàn thông tin

ISO/IEC 27023

2015

Ánh xạ các ấn bản đã sửa đổi cho ISO/IEC
27001 và ISO 27002

ISO/IEC 27031

2011

Hướng dẫn công nghệ thông tin và truyền
9


thông cho tính liên tục nghiệp vụ
ISO/IEC 27032

ISO/IEC 27033

ISO/IEC 27034


2012
-1 2015

Khái niệm và tổng quan an toàn mạng

-2 2012

Hướng dẫn thiết kế và triển khai an toàn
mạng

-3 2010

Các kịch bản kết nối mạng tham chiếu- Nguy
cơ, kỹ thuật thiết kế và các vấn đề kiểm soát.

-4 2014

Bảo mật truyền thông giữa các mạng sử dụng
cổng an toàn.

-5 2013

Bảo mật truyền thông trên mạng sử dụng
VPN (mạng riêng ảo)

-6 2016

Bảo vệ truy cập mạng không giây


-1 2011

An toàn ứng dụng - Khái niệm và tổng quan

-2 2015

Khung quy tắc cho tổ chức

-3 Dự thảo

Quy trình quản lý an toàn ứng dụng

-4 Dự thảo

Xác nhận an toàn ứng dụng

-5 Dự thảo

Giao thức và cấu trúc dữ liệu kiểm soát bảo
mật ứng dụng

-6 2016
-7 Dự thảo
ISO/IEC 27035

ISO/IEC 27036

Hướng dẫn về an toàn không gian mạng

Trường hợp nghiên cứu

Khung dự báo đảm bảo an toàn ứng dụng

-1 2016

ISMS- Quy tắc quản lý sự cố an toàn thông tin

-2 2016

Hướng dẫn lập kế hoạch và chuẩn bị ứng
cứu sự cố

-3

Hướng dẫn cho các hoạt động ứng cứu sự cố
ICT (công nghệ thông tin và truyền thông)

-1 2014

An toàn thông tin cho mối quan hệ cung ứng
- Tổng quan và khái niệm.

-2 2014

Yêu cầu chung
10


-3 2013

Hướng dẫn an toàn chuỗi cung ứng ICT


-4 2013

Hướng dẫn an toàn thông tin cho dịch vụ điện
toán đám mây

ISO/IEC 27037

2012

Hướng dẫn xác định, thu thập, sao chép và
bảo quản các bằng chứng số

ISO/IEC 27038

2014

Chỉ dẫn kỹ thuật biên soạn kỹ thuật số

ISO/IEC 27039

2015

Lựa chọn, triển khai và vận hành IPDS

ISO/IEC 27040

2015

An toàn lưu trữ


ISO/IEC 27041

2015

Hướng dẫn đảm bảo tính phù hợp và đầy đủ
của phương pháp điều tra số

ISO/IEC 27042

2015

Hướng dẫn phân tích và diễn dịch bằng
chứng số

ISO/IEC 27043

2015

Quy trình và nguyên tắc điều tra số

-1 2016
ISO/IEC 27050

Phát hiện điện tử- Tổng quan và khái niệm

-2 Dự thảo

Hướng dẫn quản trị và quản lý phát hiện điện
tử


-3 Dự thảo

Quy tắc thực hành cho phát hiện điện tử

ISO/IEC 27103

Dự thảo

ISO/IEC 27799

2016

An toàn không gian mạng
Thông tin sức khỏe- Quản lý an toàn thông
tin trong lĩnh vực y tế sử dụng ISO/IEC
27002.

Việc áp dụng bộ tiêu chuẩn ISO/IEC 27xxx, hiện nay có 4 nước dẫn đầu
về số lượng chứng chỉ ISO/IEC 27001 được cấp (trên 1000 chứng chỉ) là Nhật,
Anh, Ấn độ, Trung Quốc. Tuy nhiên việc áp dụng bộ tiêu chuẩn này trên thực tế
gặp nhiều khó khăn, đặc biệt là chưa có quy định cụ thể về việc lựa chọn các
biện pháp quản lý; các tiêu chuẩn hướng dẫn về biện pháp bảo vệ cũng còn
mang tính phương pháp luận và chưa cụ thể. Một số nước (như Mỹ, Trung
Quốc) đã xây dựng các bộ tiêu chuẩn riêng để áp dụng cho quản lý an toàn hệ
thống thông tin. Các tiêu chuẩn này có ưu điểm: cụ thể hóa và dễ triển khai, áp
11


dụng. Tuy nhiên các hệ thống thông tin quan trọng (như các trung tâm dữ liệu)

vẫn được triển khai trên cơ sở ISO/IEC 27xxx dưới dạng lấy chứng chỉ, trong
quá trình triển khai có tham khảo các yêu cầu hay hướng dẫn cụ thể trong các
tiêu chuẩn riêng của nước này.
1.1.2 Các tiêu chuẩn an toàn thông tin tại Việt Nam
Hiện nay ở Việt Nam đã có nhiều cơ quan tổ chức thực hiện áp dụng các
tiêu chuẩn về an toàn thông tin (bộ tiêu chuẩn về quản lý an toàn thông tin
ISO/IEC 27000, tiêu chuẩn về đánh giá an toàn thông tin TCVN 8709:2011
(ISO/IEC 15408) để xây dựng quy chế đảm bảo an toàn, an ninh thông tin trong
hoạt động ứng dụng công nghệ thông tin.
Tổ chức ISO thế giới có trên 100 chuẩn về an toàn thông tin, trong khi số
tiêu chuẩn của Việt Nam ban hành còn hạn chế. Việc thiếu các tiêu chuẩn này
dẫn đến việc người sử dụng, nhà phát triển và các tổ chức kiểm định chưa có cơ
sở để thực hiện đánh giá về độ an toàn của sản phẩm và hệ thống công nghệ
thông tin. Trước tình hình này, việc xây dựng các tiêu chí thống nhất để đánh giá
an toàn cho các sản phẩm và hệ thống công nghệ thông tin là rất cần thiết.
Trong những năm gần đây Bộ Thông tin và Truyền thông đã có nhiều biện
pháp nhằm đẩy mạnh các hoạt động nghiên cứu xây dựng và ban hành các tiêu
chuẩn về an toàn thông tin như dự án xây dựng 31 tiêu chuẩn về an toàn thông
tin dưới dạng đề tài nghiên cứu khoa học năm 2014, hay hằng năm vẫn giao cho
một số đơn vị trong Bộ thực hiện nghiên cứu xây dựng các tiêu chuẩn như:
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Cục An toàn thông tin, Học
viện Công nghệ Bưu chính Viễn thông… Trong năm 2017, Bộ Thông tin và
Truyền thông cũng giao một số nhiệm vụ cho các đơn vị thực hiện xây dựng các
tiêu chuẩn về kỹ thuật an toàn thông tin trong dự án “Nâng cao năng suất chất
lượng sản phẩm hàng hóa nghành Thông tin và Truyền thông”.
Bên cạnh đó Luật An toàn thông tin mạng 2015, có hiệu lực ngày
01/7/2016 cũng quy định, định hướng tiêu chuẩn hóa về an toàn thông tin (thực
hiện quản lý an toàn thông tin theo cấp độ, áp dụng các biện pháp quản lý và kỹ
thuật).
Hiện nay Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin theo tiêu

chuẩn ISO/IEC 27xxx đã xây dựng, đã công bố 16 TCVN và đang hoàn thiện 02
12


dự thảo đang hoàn thiện TCVN trên tổng số 36 tiêu chuẩn trong họ này theo
bảng dưới đây:
Bảng 2. Bảng các tiêu chuẩn đã được công bố làm tiêu chuẩn quốc gia
STT

Tên tiêu chuẩn

Tài liệu tham
khảo

Đã công bố

Ghi chú

1

Công nghệ thông tin - Các
kỹ thuật an toàn - Các hệ
thống quản lý an toàn
thông tin – Tổng quan và
từ vựng

ISO/IEC
27000:2014

TCVN

11238:2015

2

Công nghệ thông tin - Hệ
thống quản lý an toàn
thông tin - Các yêu cầu

ISO/IEC
27001:2005

TCVN
ISO/IEC
27001:2009

Chuẩn bị
Cập nhật
phiên bản
ISO/IEC
27001:2013

3

Công nghệ thông tin - Các
kỹ thuật an toàn - Yêu cầu
đối với tổ chức đánh giá
và chứng nhận hệ thống
quản lý an toàn thông tin

ISO/IEC

27006:2015

TCVN
ISO/IEC
27006:2017

(chờ công
bố)

4

Công nghệ thông tin - Các
kỹ thuật an toàn - Quy tắc
thực hành quản lý an toàn
thông tin.

ISO/IEC
27002:2005

TCVN
ISO/IEC
27002:2011

Chuẩn bị
cập nhật
phiên bản
ISO/IEC
27002:2013

5


Công nghệ thông tin - Các
kỹ thuật an toàn - Hướng
dẫn triển khai hệ thống
quản lý an toàn thông tin

ISO/IEC
27003:2010

TCVN
10541:2014

6

Công nghệ thông tin - Các
kỹ thuật an toàn - Quản lý
an toàn thông tin - Đo

ISO/IEC
27004:2009

TCVN
10542:2014

13


lường
7


Công nghệ thông tin - Các
kỹ thuật an toàn - Quản lý
rủi ro an toàn thông tin

ISO/IEC
27005:2011

TCVN
10295:2014

8

Công nghệ thông tin - Các
kỹ thuật an toàn - Hướng
dẫn kiểm toán hệ thống
quản lý an toàn thông tin

ISO/IEC
27007

TCVN
11779:2017

Hoàn thiện
dự thảo chờ
công bố

9

Hướng dẫn kiểm toán các

biện pháp kiểm soát ISMS

ISO/IEC TR
27008 :2011

Dự thảo

Đang lấy ý
kiến góp ý

10

Công nghệ thông tin - Các
kỹ thuật an toàn - Quản lý
an toàn trao đổi thông tin
liên tổ chức, liên ngành

ISO/IEC
27010:2012

TCVN
10543:2014

11

Công nghệ thông tin - Các
kỹ thuật an toàn - Hướng
dẫn quản lý an toàn thông
tin cho dịch vụ tài chính


ISO/IEC
27015:2012

TCVN
ISO/IEC
27015:2017

12

Công nghệ thông tin –
Các kỹ thuật an toàn Quy tắc thực hành cho các
kiểm soát an toàn thông
tin dựa trên ISO/IEC
27002 cho các dịch vụ
đám mây

ISO/IEC
27017:2015

13

Công nghệ thông tin - Các
kỹ thuật an toàn - Hướng
dẫn đảm bảo sự sẵn sàng
về công nghệ thông tin và
truyền thông cho tính liên
tục của hoạt động

ISO/IEC
27031:2011


TCVN
ISO/IEC
27031:2017

Chờ công
bố

14

Công nghệ thông tin - Các

ISO/IEC

TCVN

Hoàn thiện

Chờ công
bố

Đang dự
thảo

14


kỹ thuật an toàn - Hướng
dẫn cho an toàn mạng
(cybersecurity)


27032:2012

11780:2017

15

Công nghệ thông tin - Kỹ
thuật an ninh - An ninh
mạng. Phần 1: Tổng quan
và khái niệm

ISO/IEC
27033-1:2009

TCVN
98011:2013

16

Công nghệ thông tin - Các
kỹ thuật an toàn- An toàn
mạng - Phần 2: Hướng
dẫn thiết kế và triển khai
an toàn mạng

ISO/IEC
27033-2:2012

TCVN

98012:2015

17

Công nghệ thông tin - Kỹ
thuật an toàn - An toàn
mạng - Phần 3: Các kịch
bản kết nối mạng tham
chiếu - Nguy cơ, kỹ thuật
thiết kế và các vấn đề
kiểm soát

ISO/IEC
27033-3:2010

TCVN
98013:2014

18

Công nghệ thông tin - Các
kỹ thuật an toàn – Quản lý
sự cố an toàn thông tin

ISO/IEC
27035:2011

TCVN
11239:2015


19

Công nghệ thông tin –
Các kỹ thuật an toàn –
Hướng dẫn xác định, tập
hợp, thu thập và bảo quản
bằng chứng số

ISO/IEC
27037:2012

dự thảo chờ
công bố

Đang hoàn
chỉnh dự
thảo

Bên cạnh các tiêu chuẩn về hệ thống quản lý an toàn thông tin đã được
công bố thì bộ tiêu chuẩn về tiêu chí chung cũng đã được công bố như bảng 3
dưới đây:
Bảng 3: Các tiêu chuẩn quốc gia về tiêu chí chung
STT

Tên tiêu chuẩn

Tài liệu

Đã công bố
15



tham khảo
1

Công nghệ thông tin - Các kỹ thuật an toàn
- Các tiêu chí đánh giá an toàn CNTT Phần 1: Giới thiệu và mô hình tổng quát

ISO/IEC
154081:2009

TCVN
87091:2011

2

Công nghệ thông tin - Các kỹ thuật an toàn
- Các tiêu chí đánh giá an toàn CNTT Phần 2: Các thành phần chức năng an toàn

ISO/IEC
154082:2008

TCVN
87092:2011

3

Công nghệ thông tin - Các kỹ thuật an toàn
- Các tiêu chí đánh giá an toàn CNTT Phần 3: Các thành phần đảm bảo an toàn


ISO/IEC
154083:2008

TCVN
87093:2011

4

Công nghệ thông tin - Các kỹ thuật an toàn
- Hệ thống phương pháp đánh giá an toàn
thông tin

ISO/IEC
18045

TCVN
11386:2016

5

Công nghệ thông tin - Các kỹ thuật an toàn
- Hướng dẫn tạo các tập hồ sơ bảo vệ và
đích an toàn

ISO/IEC
TR
15446:2009

Đang lấy ý
kiến góp ý


Bên cạnh đó một số tiêu chuẩn trong bộ 27xxx đang được xây dựng trong
năm 2017 như bảng dưới đây:
Bảng 3. Các tiêu chuẩn đang được xây dựng năm 2017
STT

1

2

3

4

Tên tiêu chuẩn
Công nghệ thông tin – Các kỹ thuật an toàn – Hướng
dẫn bảo đảm sự phù hợp và đầy đủ theo phương pháp
điều tra sự cố
Công nghệ thông tin – Các kỹ thuật an toàn – Nguyên
tắc và quy trình điều tra sự cố
Quy phạm thực hành bảo vệ thông tin có thể định
danh cá nhân (PII) trên đám mây công cộng có chức
năng xử lý PII
Hướng dẫn các biện pháp an toàn thông tin cho sử
dụng dịch vụ điện toán đám mây dựa trên ISO/IEC
27002

Tài liệu tham
khảo
ISO/IEC

27041
ISO/IEC
27043
ISO/IEC
27018
ISO/IEC
27017
16


5

Công nghệ thông tin – Các kỹ thuật an toàn - Quản trị
về an toàn thông tin

ISO/IEC
27014

1.2 Lý do xây dựng tiêu chuẩn Việt Nam về hướng dẫn các biện pháp
an toàn thông tin cho sử dụng dịch vụ điện toán đám mây
Điện toán đám mây (clouding computing) hay còn gọi là điện toán máy
chủ ảo là một mô hình điện toán sử dụng các công nghệ máy tính phát triển dựa
trên mạng Internet. Độ phức tạp về cơ sở hạ tầng của nó có thể liên tưởng như
một đám mây, trong đó các nguồn điên toán khổng lồ như phần mềm, dịch vụ
nằm tại các máy chủ ảo trên internet thay vì các máy tính, hệ thống tại văn
phòng mục đích nhằm cho mọi người dễ dàng kết nối và sử dụng khi cần.
Điện toán đám mây máng lại nhiều lợi ích to lớn như:
 Sử dụng tài nguyên tính toán động
 Giảm thiểu chi phí đầu tư
 Giảm độ phức tạp trong cơ cầu doanh nghiệp, tổ chức, cơ quan, đơn vị.

 Rút ngắn thời gian phát triển sản phẩm, nâng cao chất lượng dịch vụ
và linh hoạt trong mô hình kinh doanh.
 Đây là xu hướng công nghệ, nền tảng quan trọng của cuộc cách mạng
công nghiệp 4.0.
Tại Việt Nam thị trường cung cấp dịch vụ điện toán đám mây đang phát
triển mạnh mẽ theo xu hướng công nghệ thế giới. Tuy nhiên, đi kèm với xu
hướng này, dịch vụ cung cấp và sử dụng dịch vụ điện toán đám mây cũng là vấn
đề quan trọng cần phải quan tâm nhằm giảm thiểu rủi ro, hiểm họa mất an toàn
thông tin do bản chất dịch vụ điện toán đám mây luôn đi kèm với những rủi ro
mất an toàn thông tin mà nó mang lại như:
 Rủi ro lộ, lọt thông tin.
 Rủi ro mất mật khẩu.
 Giao diện và API (application program interface) bị tấn công
 Tồn tại nhiều lỗ hổng hệ thống.
17


 Lừa đảo tài khoản.
 Đối diện với vấn đề mã độc.
 Mục tiêu của tấn công APT (tấn công có chủ đích), DoS (tấn công từ
chối dịch vụ)
 Mất dữ liệu tạm thời.
Cho đến thời điểm hiện tại, một số quốc gia có các nền kinh tế công
nghiệp và công nghệ thông tin phát triển đã ban hành và áp dụng nhiều tiêu
chuẩn liên quan đến an toàn thông tin, điện toán đám mây như các tiêu chuẩn:
ISO/IEC 27000:2014, ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC
29100:2011, ISO/IEC 2017.
ISO/IEC 27002:2014; ISO/IEC 27017 đã được nhiều quốc gia như Đức,
Anh, Australia… ban hành và áp dụng rộng rãi. Tiêu chuẩn này cung cấp chi tiết
cách thức thiết lập và kiểm soát vấn đề an toàn thông tin trong bất kỳ mô hình tổ

chức, hoạt động sản xuất nào. Bên cạnh đó tiêu chuẩn này cũng hướng dẫn chi
tiết các biện pháp an toàn thông tin trong việc sử dụng giao địch điện tử khi sử
dụng các dịch vụ điện toán đám mây.
Hiện tại, Việt Nam chưa có tiêu chuẩn nào về hướng dẫn các biện pháp an
toàn thông tin cho dịch vụ điện toán đám mây, cả về khía cạnh người sử dụng
dịch vụ điện toán đám mây và nhà cung cấp dịch vụ điện toán đám mây. Do vậy,
việc xây dựng tiêu chuẩn hướng dẫn các biện pháp an toàn thông tin cho dịch vụ
điện toán đám mây nhằm hoàn thiện hệ thống các tiêu chuẩn về an toàn thông
tin nói chung và an toàn cho dịch vụ điện toán đám mây tại Việt Nam là rất cần
thiết; và là tài liệu quan trọng để các cơ quan, tổ chức và doanh nghiệp cung cấp
và sử dụng dịch vụ điện toán đám mây, cũng như các cơ quan, đơn vị chuyên
trách về an toàn thông tin và ứng cứu sự cố tham khảo, áp dụng nhằm đảm bảo
hoạt động an toàn thông tin, ứng cứu sự cố.
1.3. Mục đích xây dựng tiêu chuẩn
Tại Việt Nam, tiêu chuẩn về hướng dẫn các giải pháp an toàn trên cho
dịch vụ điện toán đám mây là chưa có, tuy nhiên xu thế và thị trường cung cấp
và sử dụng dịch vụ điện toán đám mây đang có xu hướng lớn mạnh, điều này
đòi hỏi Việt Nam cần xây dựng và ban hành tiêu chuẩn để hướng dẫn các biện
18


pháp an toàn cho dịch vụ điện toán đám mây. Do vậy, mục đích và nội dung
chính của nhiệm vụ này là:
- Đề xuất Dự thảo TCVN về hướng dẫn các biện pháp an toàn thông tin
cho sử dụng dịch vụ điện toán đám mây áp dụng chung cho tất các các mô hình
tổ chức, doanh nghiệp, cá nhân sử dụng và cung cấp các dịch vụ điện toán đám
mây.
- Bổ xung và hoàn thiện bộ TCVN về hướng dẫn các biện pháp an toàn
thông tin cho dịch vụ điện toán đám mây dựa trên tiêu chuẩn ISO/IEC 27002
- Nội dung:

+ Nghiên cứu tổng quan về an toàn điện toán đám mây và dịch vụ điện
toán đám mây; tình hình chuẩn hóa trong và ngoài nước về an toàn thông tin và
phân tích sở cứ lựa chọn tiêu chuẩn tham chiếu phù hợp để xây dựng
+ Xây dựng dự thảo TCVN về hướng dẫn các biện pháp an toàn thông
tin cho dịch vụ điện toán đám mây dựa trên tiêu chuẩn ISO/IEC 27002.
+ Nghiên cứu biên soạn thuyết minh dự thảo TCVN về hướng dẫn các
biện pháp an toàn thông tin cho dịch vụ điện toán đám mây dựa trên tiêu chuẩn
ISO/IEC 27002” và chỉnh sửa, hoàn thiện dự thảo TCVN.
2. Sở cứ xây dựng tiêu chuẩn
2.1 Lựa chọn tiêu chuẩn tham chiếu
Tiêu chuẩn này được xây dựng dựa trên ISO/IEC 27017“Information
technology – Security techniques – Code of practice for information security
controls based on ISO/IEC 27002 for cloud services” được tổ chức tiêu chuẩn
quốc tế ban hành ngày 15/12/2015. Đây cũng là tài liệu đã được nhiều quốc gia
trên thế giới sử dụng làm tài liệu gốc để tham chiếu và xây dựng tiêu chuẩn quốc
gia tương đương.
2.2 Phương pháp xây dựng tiêu chuẩn
Dự thảo của tiêu chuẩn TCVN ISO/IEC 27017: xxxx (xxxx:dự kiến năm
công bố TCVN) được xây dựng từ tiêu chuẩn quốc tế ISO/IEC 27017:2015 trên
cơ sở rà soát các tiêu chuẩn Việt Nam và quốc tế về hệ thống quản lý an toàn
19


thông tin, cũng như tham khảo các phương pháp xây dựng các tiêu chuẩn/quy
chuẩn, nhóm chủ trì đã xây dựng dự thảo tiêu chuẩn TCVN ISO/IEC TCVN
ISO/IEC 27017: xxxx: theo phương pháp chấp thuận nguyên vẹn tiêu chuẩn
quốc tế ISO/IEC 27017:2015 (có chỉnh sửa về thể thức trình bày theo quy định
hiện hành về trình bày Tiêu chuẩn quốc gia).
2.3. Phạm vi và khả năng áp dụng tiêu chuẩn tại Việt Nam
2.3.1. Phạm vi áp dụng

Tiêu chuẩn này đưa ra các hướng dẫn về kiểm soát an toàn thông tin áp
dụng cho việc cung cấp và sử dụng các dịch vụ đám mây bằng cách cung cấp:
- Hướng dẫn triển khai bổ sung cho các kiểm soát liên quan được quy
định trong ISO/IEC 27002;
- Các kiểm soát bổ sung với hướng dẫn triển khai cụ thể hóa liên quan đến
các dịch vụ đám mây.
Tiêu chuẩn này cung cấp các kiểm soát và hướng dẫn triển khai cho cả
nhà cung cấp dịch vụ đám mây và các khách hàng dịch vụ đám mây không phân
biệt tổ chức, doanh nghiệp.
2.3.2 Khả năng áp dụng
Dự thảo TCVN áp dụng cho các cơ quan, tổ chức, doanh nghiệp, cá nhân
quản lý và sử dụng và cung cấp dịch vụ điện toán đám mây.
3. Nội dung dự thảo tiêu chuẩn kỹ thuật
3.1. Giới thiệu ISO/IEC 27017:2015
 Tổng quan về ISO/IEC 27017:2015
Tiêu chuẩn này cung cấp hướng dẫn về các quy tắc thực hành cho kiểm soát
an toàn thông tin dựa trên ISO/IEC 27002 cho các dịch vụ đám mây
ISO/IEC 27017:2015 đưa ra các hướng dẫn về kiểm soát an toàn thông tin áp
dụng cho việc cung cấp và sử dụng các dịch vụ đám mây bằng cách cung cấp:
- Hướng dẫn thực hiện bổ sung cho các kiểm soát có liên quan được quy định
trong ISO/IEC 27002;
20


- Kiểm soát bổ sung với hướng dẫn thực hiện cụ thể liên quan đến các dịch vụ
đám mây;
 Mối quan hệ giữa ISO/IEC 27017 với các tiêu chuẩn khác
Tiêu chuẩn này nhằm bổ sung cho các tiêu chuẩn và tài liệu khác hướng
dẫn việc hỗ trợ thực hiện kiểm soát an ninh thông tin cho khách hàng dịch vụ
đám mây và các nhà cung cấp dịch vụ đám mây. Một số hướng dẫn dành cho

khách hàng dịch vụ đám mây thực hiện kiểm soát, và một số khác dành cho các
nhà cung cấp dịch vụ đám mây để hỗ trợ thực hiện các kiểm soát đó. Việc lựa
chọn các biện pháp kiểm soát an ninh thông tin thích hợp và áp dụng các hướng
dẫn thực hiện sẽ tùy thuộc vào việc đánh giá rủi ro và các yêu cầu về an ninh
thông tin cụ thể về luật pháp, hợp đồng, quy định hoặc các yêu cầu về an ninh
thông tin cụ thể khác
Tiêu chuẩn này mô tả các vấn đề sau đây:
- Các chính sách về an toàn thông tin và các hướng dẫn
- Tổ chức về an toàn thông tin.
- An toàn nguồn nhân lực.
- Quản lý tài sản.
- Vấn đề kiểm soát truy cập.
- Mật mã và các chính sách về sử dụng kiểm soát mật mã.
- An toàn vật lý và môi trường.
- Vận hành an toàn.
- Kết nối an toàn.
- Thu thập, phát triển và bảo trì hệ thống.
- Quản lý sự cố an toàn thông tin.
- Các khía cạnh an toàn thông tin của việc quản lý liên tục hoạt động
nghiệp vụ.
- Tuân thủ các quy tắc đặt ra.
Các lĩnh vực này đề cập từng phần trong các tiêu chuẩn sau:
21


- ISO/IEC 17788: Tiêu chuẩn này cung cấp tổng quan về điện toán đám
mây cùng với một tập hợp các thuật ngữ và định nghĩa. Đây là một nền tảng
thuật ngữ cho các tiêu chuẩn điện toán đám mây.
- ISO/IEC 17789: Tiêu chuẩn này xác định kiến trúc tham chiếu điện
toán đám mây (CCRA). Kiến trúc tham chiếu bao gồm các vai trò điện toán đám

mây, các hoạt động điện toán đám mây và các thành phần chức năng điện toán
đám mây và các mối quan hệ của chúng.
- ISO/IEC 27000: Tiêu chuẩn này đưa ra tổng quan về các hệ thống
quản lý an ninh thông tin, thuật ngữ và định nghĩa thường được sử dụng trong
các tiêu chuẩn của ISMS. Tiêu chuẩn quốc tế này áp dụng cho tất cả các loại và
quy mô tổ chức
- ISO/IEC 27002:2013: Tiêu chuẩn này đưa ra các hướng dẫn cho các
tiêu chuẩn an toàn thông tin tổ chức và thực tiễn quản lý an toàn thông tin bao
gồm việc lựa chọn, thực hiện và quản lý các kiểm soát có tính đến môi trường
rủi ro bảo mật thông tin của tổ chức.
-ISO/IEC 27018:2014 (công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc
thực hành để bảo vệ thông tin nhận dạng cá nhân (PII) trong các đám mây công
cộng làm bộ vi xử lý PII): Tiêu chuẩn này thiết lập các mục tiêu kiểm soát và
hướng dẫn thực hiện các biện pháp bảo vệ thông tin nhận dạng cá nhân (PII)
theo các nguyên tắc bảo mật trong ISO/IEC 29100 cho môi trường điện toán
đám mây công cộng.
3.2 Cấu trúc và nội dung dự thảo tiêu chuẩn
Tiêu chuẩn này bao gồm 18 điều và 02 phụ lục được bố trí cụ thể như sau:
- Điều 1 đến điều 4 bao gồm những quy định chung của tiêu chuẩn:
+ Điều 1: Phạm vi áp dụng
+ Điều 2: Tiêu chuẩn viện dẫn
+ Điều 3: Định nghĩa và từ viết tắt
+ Điều 4: Các khái niệm chuyên ngành
- Điều 5: Trình bày về các chính sách an toàn thông tin và hướng quản lý
an toàn thông tin
22


- Điều 6: Giải quyết vấn đề tổ chức về an toàn thông tin.
- Điều 7: Hướng dẫn an toàn nguồn nhân lực.

- Điều 8: Hướng dẫn về quản lý tài sản, trách nhiệm đối với tài sản, kiểm
kê tài sản, Quyền sở hữu, tiếp nhận sử dụng, hoàn trả tài sản.
- Điều 9: Trình bày các quy tắc kiểm soát và quản lý truy cập.
- Điều 10: Mật mã, chính sách về sử dụng các kiểm soát mật mã.
- Điều 11: An toàn vật lý và môi trường.
- Điều 12: Vận hành an toàn, các quy trình và trách nhiệm vận hành.
- Điều 13: Quy tắc kết nối an toàn trong mạng.
- Điều 14: Thu thập, phát triển và bảo trì hệ thống.
- Điều 15: Vấn đề an toàn thông tin trong các mối quan hệ nhà cung cấp
dịch vụ.
- Điều 16: Quy tắc quản lý sự cố an toàn thông tin.
- Điều 17: Các khía cạnh an toàn thông tin của quản lý liên tục hoạt động
nghiệp vụ.
- Điều 18: Tuân thủ pháp luật và các yêu cầu hợp đồng, quyền sở hữu trí
tuệ, bảo vệ hồ sơ, bảo mật riêng tư và bảo vệ thông tin nhận dạng cá nhân.
Phụ lục A: Bộ kiểm soát mở rộng dịch vụ đám mây.
Phụ lục B: Các tài liệu tham khảo về rủi ro an toàn thông tin liên quan đến
điện toán đám mây.
3.3 Bảng đối chiếu tiêu chuẩn viện dẫn
Dự thảo tiêu chuẩn này được xây dựng dựa trên nguyên tắc chấp nhận
nguyên vẹn tài liệu viện dẫn ISO/IEC 27017:2015 , cụ thể:
Mục

Tiêu chuẩn Việt Nam
TCVN ISO/IEC xxxx

Tiêu chuẩn viện dẫn
ISO/IEC 27017

Sửa đổi, bổ sung


1

Phạm vi áp dụng

Scope

Chấp nhận nguyên
vẹn

2

Tiêu chuẩn viện dẫn

Normative references

Chấp nhận nguyên
23


vẹn
2.1

Các Tiêu chuẩn quốc tế Identical International
tương tự
Standards

2.2

Tài liệu tham khảo bổ Additional References

sung

3

Định nghĩa và từ viết tắt Definitions
abbreviations

3.1

Thuật ngữ định nghĩa ở Terms
nơi khác
elsewhere

3.2

Từ viết tắt

4

Các khái niệm chuyên Cloud
sector-specific Chấp nhận nguyên
ngành đám mây
concepts
vẹn

4.1

Tổng quan

4.2


Các mối quan hệ nhà Supplier relationships in
cung cấp trong dịch vụ cloud services
đám mây

4.3

Các mối quan hệ giữa Relationships between
khách hàng dịch vụ đám cloud service customers
mây và nhà cung cấp and
cloud
service
dịch vụ đám mây
providers

4.4

Quản lý các rủi ro an Managing information
toàn thông tin trong security risks in cloud
dịch vụ đám mây
services

4.5

Cấu trúc của tiêu chuẩn
Structure
này
standard

5


Chính sách an toàn
Information security Chấp nhận nguyên
thông tin
policies
vẹn

5.1

Định hướng quản lý về

and Chấp nhận nguyên
vẹn
defined

Abbreviations

Overview

of

this

Management direction
24


an toàn thông tin

for information security


6

Tổ chức về an toàn
Organization
of Chấp nhận nguyên
thông tin
information security
vẹn

6.1

Tổ chức nội bộ

6.2

Thiết bị di động và
Mobile devices and
teleworking
teleworking

7

An toàn nguồn nhân lực

Human
security

7.1


Trước khi tuyển dụng

Prior to employment

7.2

Trong thời gian làm
việc

During employment

7.3

Chấm dứt và thay đổi
Termination
and
công việc
change of employment

8

Quản lý tài sản

8.1

Trách nhiệm đối với các
Responsibility
tài sản
assets


8.2

Phân loại thông tin

Information
classification

8.3

Quản lý phương tiện

Media handling

9

Kiểm soát truy cập

Access control

9.1

Các yêu cầu nghiệp vụ Business requirements
đối với kiểm soát truy of access control
cập

9.2

Quản lý truy cập người
User
dùng

management

Internal organization

resource Chấp nhận nguyên
vẹn

Asset management

Chấp nhận nguyên
vẹn
for

Chấp nhận nguyên
vẹn

access

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×