CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN –QUẢN TRỊ AN TOÀN THÔNG TIN
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (870.83 KB, 28 trang )
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM
THUYẾT MINH
DỰ THẢO TIÊU CHUẨN QUỐC GIA
CƠNG NGHỆ THƠNG TIN – CÁC KỸ THUẬT AN TỒN –
QUẢN TRỊ AN TỒN THƠNG TIN
Information technology – Security techniques – Governance of information security
Mã số: 16-07-NSCL
(Tài liệu NTCB)
Mục lục
1Tên gọi và ký hiệu tiêu chuẩn...................................................................................................3
2Tình hình tiêu chuẩn hóa về ATTT và quản trị ATTT...............................................................5
2.1Tình hình tiêu chuẩn hóa về an tồn thơng tin.....................................................................................5
2.1.1Các tiêu chuẩn về hệ thống quản lý an tồn thơng tin........................................................5
2.1.2Bộ tiêu chuẩn về Các tiêu chí đánh giá an tồn CNTT.....................................................13
2.2Tiêu chuẩn hóa về quản trị an tồn thơng tin.....................................................................................15
2.3Phân biệt Quản trị an tồn thơng tin với quản lý an tồn thông tin..................................................17
3Sự cần thiết và ý nghĩa của quản trị an tồn thơng tin............................................................20
4Nghiên cứu xây dựng dự thảo TCVN về quản trị ATTT........................................................23
4.1Sở cứ xây dựng tiêu chuẩn và lựa chọn tài liệu tham chiếu...............................................................23
4.2Phương pháp xây dựng tiêu chuẩn......................................................................................................24
5Nội dung dự thảo tiêu chuẩn...................................................................................................25
6Kết luận 25
1
TCVN xxxx:2017
2
TCVN xxxx:2017
1 Tên gọi và ký hiệu tiêu chuẩn
1.1 Tên tiêu chuẩn:
"Công nghệ thông tin - Các kỹ thuật an tồn - Quản trị về an tồn thơng
tin".
1.2 Ký hiệu tiêu chuẩn:
TCVN xxxx:2017
1.3 Mã số nhiệm vụ xây dựng tiêu chuẩn
Mã số: 16-07-NSCL
3
TCVN xxxx:2017
4
TCVN xxxx:2017
2 Tình hình tiêu chuẩn hóa về ATTT và quản trị ATTT
2.1 Tình hình tiêu chuẩn hóa về an tồn thơng tin
2.1.1
tin
Các tiêu chuẩn về hệ thống quản lý an tồn thơng
Việc triển khai áp dụng Hệ thống Quản lý An tồn Thơng tin (ISMS:
Information Security Management System) theo các nguyên tắc của bộ tiêu
chuẩn quốc tế ISO/IEC 27000s được biết đến là một trong các biện pháp phòng
ngừa sự cố ATTT hữu hiệu. Có thể nói rằng, ISO/IEC 27000s là một phần của hệ
thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận
các rủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, sốt xét,
duy trì và cải tiến đảm bảo an tồn thơng tin của tổ chức.
Bộ tiêu chuẩn ISO/IEC 27000s có thể áp dụng được cho các tổ chức với
các quy mơ và loại hình khác nhau. Tất cả các tổ chức đều được khuyến khích
đánh giá các rủi ro an tồn thơng tin trong tổ chức, sau đó triển khai các biện
pháp kiểm sốt an tồn thơng tin phù hợp theo các nhu cầu của họ dựa trên các
hướng dẫn và gợi ý liên quan.
5
TCVN xxxx:2017
Bộ tiêu chuẩn ISO/IEC 27000 về hệ thống quản lý an tồn thơng tin có
khoảng 40 tiêu chuẩn, trong đó ¾ số tiêu chuẩn đã được ban hành và một số
khác hiện đang được xây dựng.
Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn liên quan đến nhau,
đã được cơng bố hoặc đang được phát triển, và có chứa một số thành phần cấu
trúc quan trọng. Các thành phần này tập trung vào tiêu chuẩn quy định mô tả các
yêu cầu hệ thống ISMS (ISO/IEC 27001) và yêu cầu của cơ quan chứng nhận
(ISO/IEC 27006) thực hiện chứng nhận phù hợp với tiêu chuẩn ISO/IEC 27001.
Các tiêu chuẩn khác cung cấp hướng dẫn về các khía cạnh khác nhau khi thực
thi một hệ thống ISMS, đề cập một quy trình chung, đưa ra các hướng dẫn liên
quan đến biện pháp kiểm soát cũng như hướng dẫn trong các lĩnh vực cụ thể.
Họ tiêu chuẩn ISMS duy trì mối quan hệ với nhiều tiêu chuẩn ISO/IEC và
tiêu chuẩn ISO khác, được phân loại và mô tả như sau:
1) các tiêu chuẩn mô tả tổng quan và từ vựng;
2) các tiêu chuẩn xác định các yêu cầu;
3) các tiêu chuẩn mô tả các hướng dẫn chung;
4) tiêu chuẩn mô tả hướng dẫn các lĩnh vực cụ thể.
6
TCVN xxxx:2017
Mối quan hệ giữa các tiêu chuẩn ISMS được minh họa trong Hình 1.
Hình 1 – Mối quan hệ trong họ tiêu chuẩn ISMS ISO/IEC 27000
Tại Việt Nam, một số tiêu chuẩn trong bộ ISO/IEC 27000 đã được sử dụng
làm tài liệu tham chiếu để xây dựng các tiêu chuẩn quốc gia tương đương. Hiện
có 10 tiêu chuẩn quốc gia được ban hành và nhiều dự thảo tiêu chuẩn đang được
rà sốt, hồn thiện để chuẩn bị ban hành. Cụ thể như sau:
Các tiêu chuẩn về hệ thống ISMS đã ban hành:
1) TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005): Công nghệ thơng tin
– Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin – Các u
cầu;
2) TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005): Công nghệ thông tin
– Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin.
7
TCVN xxxx:2017
3) TCVN 10541:2014 (ISO/IEC 27003:2010): Công nghệ thông tin - Các kỹ
thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an tồn thơng tin.
4) TCVN 10542:2014 (ISO/IEC 27004:2009): Công nghệ thông tin - Các kỹ
thuật an tồn - Quản lý an tồn thơng tin - Đo lường.
5) TCVN 10295:2014 (ISO/IEC 27005:2011): Công nghệ thông tin - Các kỹ
thuật an toàn - Quản lý rủi ro an tồn thơng tin.
6) TCVN 10543:2014 (ISO/IEC 27010:2012): Cơng nghệ thơng tin – Các kỹ
thuật an toàn – Quản lý an tồn thơng tin cho truyền thơng liên ngành và
liên tổ chức
7) TCVN 9965:2013 (ISO/IEC 27013:2012): Công nghệ thông tin – Các kỹ
thuật an tồn- Hướng dẫn triển khai tích hợp ISO/IEC 27001 và ISO/IEC
20000-1
8) TCVN 9801-1:2013 (ISO/IEC 27033-1:2009): Công nghệ thông tin – Kỹ
thuật an ninh – An ninh mạng – Phần 1: Tổng quan và khái niệm;
9) TCVN 9801-3:2014 (ISO/IEC 27033-3:2010): Cơng nghệ thơng tin – Kỹ
thuật an tồn – An toàn mạng - Phần 3: Các kịch bản kết nối mạng tham
chiếu – Nguy cơ, kỹ thuật thiết kế và các vấn đề kiểm soát;
10) TCVN 10543:2014 (ISO/IEC 27010:2012): Cơng nghệ thơng tin - Các kỹ
thuật an tồn - Quản lý an tồn trao đổi thơng tin liên tổ chức, liên ngành.
Trong số các tiêu chuẩn TCVN về hệ thống quản lý an tồn thơng tin ở
trên, TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và TCVN ISO/IEC
27002:2011 (ISO/IEC 27002:2005) đang được rà soát, cập nhật theo các phiên
bản mới nhất là ISO/IEC 27001:2015 và ISO/IEC 27002:2015.
Bảng dưới đây tổng kết các tiêu chuẩn quốc tế và quốc gia về hệ thống
quản lý an tồn thơng tin.
8
TCVN xxxx:2017
Bảng 1: Các tiêu chuẩn về hệ thống quản lý an tồn thơng tin (Bộ tiêu
chuẩn ISO/IEC 27000)
STT
1
Ký hiệu tiêu
chuẩn ISO/IEC
Tên tiêu chuẩn
Ký hiệu tiêu chuẩn Việt
Nam
ISO/IEC
27000:2014
Công nghệ thông tin – Các kỹ thuật an toàn –
Hệ thống quản lý an tồn thơng tin – Tổng
quan và từ vựng
TCVN 11238:2015 ISO/IEC
27000:2014
ISO/IEC
27001:2013
Công nghệ thông tin – Các kỹ thuật an tồn Hệ thống quản lý an tồn thơng tin — Các yêu
cầu
TCVN ISO/IEC 27001:2009
ISO/IEC 27001:2005
ISO/IEC
Công nghệ thông tin – Các kỹ thuật an toàn -
TCVN ISO/IEC 27002:2011
27002:2013
Quy tắc thực hành quản lý an tồn thơng tin
ISO/IEC 27002:2009
ISO/IEC
27003:2010
Cơng nghệ thơng tin – Các kỹ thuật an toàn Hướng dẫn triển khai hệ thống quản lý an tồn
thơng tin
TCVN 10541:2014
ISO/IEC 27003:2010
5
ISO/IEC
27004:2009
Cơng nghệ thơng tin – Các ký thuật an tồn Quản lý an tồn thơng tin – Đo lường đánh giá
TCVN 10542:2014 ISO/IEC
27004:2009
6
ISO/IEC
27005:2011
Cơng nghệ thơng tin – Các kỹ thuật an tồn –
Quản lý rủi ro an tồn thơng tin
TCVN 10295:2014 ISO/IEC
27005:2011
ISO/IEC
27006:2015
Cơng nghệ thơng tin – Các kỹ thuật an tồn Các yêu cầu đối với các tổ chức đánh giá và
cấp chứng nhận hệ thống quản lý an tồn thơng
tin
ISO/IEC
27007:2011
Cơng nghệ thơng tin – Các kỹ thuật an tồn Hướng dẫn đánh giá hệ thống quản lý an tồn
thơng tin
ISO/IEC TR
27008:2011
Cơng nghệ thơng tin – Các kỹ thuật an tồn –
Hướng dẫn đánh giá viên đánh giá các biện
pháp kiểm soát của hệ thống quản lý an tồn
thơng tin
ISO/IEC 27009:
Cơng nghệ thơng tin – Các kỹ thuật an tồn –
Ứng dụng chuyên ngành của ISO/IEC 27001
— Các yêu cầu (Dự thảo)
2
3
4
7
8
9
10
11
ISO/IEC
27010:2012
TCVN ISO/IEC 27006:2017
ISO/IEC 27006:2015
Công nghệ thông tin – Các kỹ thuật an tồn –
TCVN 10543:2014 ISO/IEC
Quản lý an tồn thơng tin cho truyền thông liên
27010:2012
ngành và liên tổ chức
9
TCVN xxxx:2017
STT
12
13
14
15
16
Ký hiệu tiêu
chuẩn ISO/IEC
ISO/IEC
27011:2008
Công nghệ thông tin – Các kỹ thuật an tồnHướng dẫn quản lý an tồn thơng tin cho các tổ
chức viễn thông dựa trên ISO/IEC 27002
ISO/IEC
27013:2012
Công nghệ thơng tin – Các kỹ thuật an tồnHướng dẫn triển khai tích hợp ISO/IEC 27001
và ISO/IEC 20000-1
ISO/IEC
27014:2013
Cơng nghệ thơng tin – Các kỹ thuật an toàn –
Quản trị an tồn thơng tin
ISO/IEC TR
27015:2012
Cơng nghệ thơng tin – Các kỹ thuật an tồnHướng dẫn quản lý an tồn thơng tin cho các
dịch vụ tài chính
ISO/IEC TR
27016:2014
An tồn IT – Các kỹ thuật an tồn - Quản lý an
tồn thơng tin– Kinh tế của tổ chức
ISO/IEC 27017
Công nghệ thông tin – Các kỹ thuật an toàn —
Quy tắc thực hành các biện pháp kiểm soát
ATTT dựa trên ISO/IEC 27002 đối với các
dịch vụ đám mây (FDIS)
ISO/IEC
27018:2014
Công nghệ thông tin – Các kỹ thuật an toàn —
Quy tắc thực hành bảo vệ thông tin định danh
cá nhân (PII) trong đám mây công cộng hoạt
động có vai trị là các bộ vi xử lý PII
ISO/IEC TR
27019:2013
Công nghệ thông tin – Các kỹ thuật an toàn —
Hướng dẫn quản lý ATTT dựa trên ISO/IEC
27002 đối với các hệ thống kiểm soát xử lý
dành cho công nghiệp năng lượng
17
18
19
20
ISO/IEC 27021
Công nghệ thông tin – Các kỹ thuật an toàn
— Các yêu cầu năng lực đối với các chuyên
gia quản lý ATTT (dự thảo)
ISO/IEC TR
27023:2015
Công nghệ thơng tin – Các kỹ thuật an tồn
— Ánh xạ các phiên bản sửa đổi của ISO/IEC
27001 và ISO/IEC 27002
ISO/IEC
27031:2011
Công nghệ thơng tin – Các kỹ thuật an tồn Hướng dẫn về sự sẵn sàng của ICT để đạt được
sự liên tục về nghiệp vụ
23
ISO/IEC
27032:2012
Công nghệ thông tin – Các kỹ thuật an toàn –
Hướng dẫn an toàn mạng thực tại ảo
24
ISO/IEC 27033
Công nghệ thông tin – Các kỹ thuật an toàn –
21
22
10
Tên tiêu chuẩn
Ký hiệu tiêu chuẩn Việt
Nam
TCVN 9965:2013 ISO/IEC
27013:2012
TCVN ISO/IEC 27015:2017
ISO/IEC TR 27015:2012
TCVN ISO/IEC 27031:2017
ISO/IEC 27031:2011
TCVN xxxx:2017
STT
Ký hiệu tiêu
chuẩn ISO/IEC
Tên tiêu chuẩn
Ký hiệu tiêu chuẩn Việt
Nam
An toàn mạng
25
26
ISO/IEC 270331:2009
Tổng quan và khái niệm
ISO/IEC 270332:2012
Hướng dẫn thiết kế và triển khai an toàn mạng
ISO/IEC 270333:2010
Các kịch bản kết nối mạng tham chiếu – Nguy
cơ, kỹ thuật thiết kế và các vấn đề kiểm sốt
ISO/IEC 270334:2014
An tồn truyền thơng giữa các mạng sử dụng
cổng an tồn
ISO/IEC 270335:2013
An tồn truyền thơng giữa các mạng sử dụng
mạng riêng ảo
ISO/IEC 27033-6
An tồn truy cập mạng IP khơng dây (Dự thảo)
ISO/IEC 27033-7
An tồn truyền thơng giữa các mạng sử dụng
khơng dây và vô tuyến (Dự thảo)
ISO/IEC 27034
Tổng quan và khái niệm
ISO/IEC 27034-2
Khn dạng chuẩn về tổ chức (FDIS)
ISO/IEC 27034-3
Quy trình quản lý an tồn ứng dụng (Dự thảo)
ISO/IEC 27034-4
Cơng nhận an toàn ứng dụng (Dự thảo)
ISO/IEC 27034-5
Các giao thức và cấu trúc dữ liệu kiểm sốt an
tồn ứng dụng (Dự thảo)
ISO/IEC 27034-6
Nghiên cứu tình huống (Dự thảo)
ISO/IEC 27034-7
Dự đốn đảm bảo an tồn ứng dụng (Dự thảo)
27
ISO/IEC 27036
TCVN 9801-3:2014 ISO/IEC
27033-3:2010
Cơng nghệ thơng tin – Các kỹ thuật an tồn –
An tồn ứng dụng
ISO/IEC 270341:2011
ISO/IEC
27035:2011
TCVN 9801-1:2013 ISO/IEC
27033-1:2009
Công nghệ thông tin – Các kỹ thuật an toàn Quản lý sự cố an toàn thơng tin
TCVN 11239:2015
ISO/IEC 27035:2011
An tồn IT – Các kỹ thuật an toàn – ATTT đối
với các quan hệ giữa các nhà cung cấp (phần 1,
2 & 3 đã ban hành, phần 4 dự thảo)
ISO/IEC 27036-1:
2014
Tổng quan và khái niệm
ISO/IEC 27036-2:
2014
Yêu cầu
11
TCVN xxxx:2017
STT
Ký hiệu tiêu
chuẩn ISO/IEC
ISO/IEC 270363:2013
ISO/IEC 27036–4
28
29
30
31
32
33
34
37
12
Hướng dẫn an toàn chuỗi cung cấp ICT
Hướng dẫn an toàn cho các dịch vụ đám mây
(Dự thảo)
ISO/IEC
27037:2012
Công nghệ thông tin – Các kỹ thuật an toàn –
Hướng dẫn xác định, thu thập, tiếp nhận và bảo
quản chứng cứ số
ISO/IEC
27038:2014
Công nghệ thông tin – Các kỹ thuật an tồn –
Cơng nghệ thơng tin - Kỹ thuật an toàn - Chỉ
dẫn kỹ thuật biên soạn kỹ thuật số
ISO/IEC
27039:2015
Công nghệ thông tin – Các kỹ thuật an toàn –
Lựa chọn, triển khai và vận hành các hệ thống
phát hiện và ngăn chặn xâm nhập (IDPS)
ISO/IEC
27040:2015
Công nghệ thơng tin – Các kỹ thuật an tồn –
An tồn lưu trữ
ISO/IEC
27041:2015
Công nghệ thông tin – Các kỹ thuật an toàn –
Hướng dẫn đảm bảo sự phù hợp của các biện
pháp điều tra sự cố
ISO/IEC
27042:2015
Công nghệ thông tin – Các kỹ thuật an tồn –
Hướng dẫn phân tích và làm sáng tỏ chứng cứ
số
ISO/IEC
27043:2015
Công nghệ thông tin – Các kỹ thuật an toàn –
Nguyên tắc và thủ tục điều tra sự cố
ISO/IEC 27044
Công nghệ thông tin – Các kỹ thuật an tồn –
Hướng dẫn quản lý thơng tin và sự kiện an
tồn (SIEM) (dự thảo)
ISO/IEC 27050
Cơng nghệ thơng tin – Các kỹ thuật an toàn –
Phát hiện điện tử (Dự thảo)
ISO 27799:2008
Thơng tin sức khỏe - Quản lý an tồn thông tin
sức khỏe khi áp dụng ISO/IEC 27002
35
36
Tên tiêu chuẩn
Ký hiệu tiêu chuẩn Việt
Nam
TCVN xxxx:2017
2.1.2
Bộ tiêu chuẩn về Các tiêu chí đánh giá an tồn
CNTT
Bộ tiêu chuẩn về Các tiêu chí đánh giá an toàn CNTT gồm 3 phần hoàn
toàn tương đương với bộ tiêu chuẩn quốc tế ISO/IEC 15408 "Information
Technology – Security Techniques – Evaluation Criteria for IT Security”:
1) TCVN 8709-1:2011 "Công nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu
chí đánh giá an tồn CNTT - Phần 1: Giới thiệu và mơ hình tổng qt".
Tiêu chuẩn này hồn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC
15408-1:2009 " Information Technology – Security Techniques – Evaluation
Criteria for IT Security –Part 1: Introduction and General Model". Tiêu chuẩn
này được ban hành TCVN năm 2011, nội dung của tiêu chuẩn này cho phép thực
hiện so sánh các kết quả đánh giá an toàn độc lập, cung cấp một tập các yêu cầu
về chức năng an toàn cho các sản phẩm và hệ thống công nghệ thông tin và các
biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an tồn. Các
sản phẩm CNTT này có thể dưới dạng phần cứng, phần mềm, phần sụn. Ngoài
ra tiêu chuẩn này còn đánh giá giá thiết lập một mức tin cậy về các chức năng an
toàn toàn cho các sản phẩm và hệ thống CNTT, về các biện pháp đảm bảo áp
dụng mà thoả mãn các yêu cầu nêu trên. Các kết quả đánh giá có thể giúp người
dùng xác định xem sản phẩm hoặc hệ thống CNTT có thoả mãn các u cầu an
tồn đưa ra hay khơng.
2) TCVN 8709-2:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu
chí đánh giá an tồn CNTT - Phần 2: Các thành phần chức năng an toàn".
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC
15408-2:2008 " Information Technology – Security Techniques – Evaluation
Criteria for IT Security –Part 2: Security functional components". Tiêu chuẩn
này được ban hành TCVN năm 2011, nội dung của Tiêu chuẩn này là: Đưa ra
13
TCVN xxxx:2017
các yêu cầu an toàn làm cơ sở cho các yêu cầu chức năng an toàn biểu thị trong
Hồ sơ bảo vệ (Protection Profile - PP) hoặc một Đích An tồn (Security Target ST). Các u cầu này mơ tả các hành vi an toàn mong muốn dự kiến đối với một
Đích đánh giá (TOE – Target of Evaluation) hoặc môi trường CNTT của TOE và
cần thỏa mãn các mục tiêu an tồn như đã cơng bố trong một PP hoặc một ST.
Các yêu cầu này mô tả các đặc tính an tồn người dùng có thể phát hiện ra thông
qua tương tác trực tiếp (nghĩa là thông qua đầu vào, đầu ra) với sản phẩm /hệ
thống CNTT hoặc qua phản ứng của sản phẩm /hệ thống CNTT với các tương
tác.
3) TCVN 8709-3:2011 "Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu
chí đánh giá an toàn CNTT - Phần 2: Các thành phần đảm bảo an toàn".
Tiêu chuẩn này hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC
15408-3:2008 " Information Technology – Security Techniques – Evaluation
Criteria for IT Security –Part 3: Security assurance components". Tiêu chuẩn
này được ban hành TCVN năm 2011, nội dung của Tiêu chuẩn này là: Nêu ra
các thành phần đảm bảo bảo an tồn thơng tin là cơ sở cho các u cầu đảm bảo
an tồn thơng tin được biểu thị trong một Hồ sơ bảo vệ (Protection Profile – PP)
hoặc một Đích An tồn (Security Target – ST). Các yêu cầu này tạo thành một
cách thức chuẩn để biểu thị các yêu cầu đảm bảo cho một Đích đánh giá (TOE –
Target of Evaluation). Tiêu chuẩn này liệt kê danh mục các thành phần, các họ
và lớp đảm bảo đồng thời xác định các tiêu chí đánh giá cho PP và ST, biểu thị
14
TCVN xxxx:2017
các cấp đảm bảo đánh giá dùng để xác định các thang bậc ISO/IEC 15408 định
trước cho đánh giá tính đảm bảo của các TOE, cịn gọi là các Cấp đảm bảo đánh
giá (EAL – Evaluation Assurance Level).
2.2 Tiêu chuẩn hóa về quản trị an tồn thơng tin
Tiêu chuẩn quốc tế về quản trị an tồn thơng tin ISO/IEC 27014 hoàn toàn
tương đương tiêu chuẩn ITU-T Recommendation X.1054. Nội dung cụ thể của
các tiêu chuẩn này được trình bầy ở phần sau.
Vị trí của tiêu chuẩn ISO/IEC 27014 trong họ tiêu chuẩn ISO/IEC27000s
như trong hình vẽ dưới dây.
15
TCVN xxxx:2017
Hình 2: Vị trí của tiêu chuẩn ISO/IEC 27014 trong họ tiêu chuẩn
ISO/IEC27000s
Ngoài ra Mỹ cũng đưa ra tiêu chuẩn NIST Special Publication 800-100
(SP800-100) trong đó có nội dung về quản trị an tồn thơng tin.
16
TCVN xxxx:2017
Hình 2: Vị trí của tiêu chuẩn ISO/IEC 27014 trong họ tiêu chuẩn
ISO/IEC27000s
Tiêu chuẩn này như là sổ tay an tồn thơng tin hướng dẫn cho lãnh đạo
quản lý. Tiêu chuẩn này được công bố vào tháng 10/2006.
Tại Việt Nam đến thời điểm hiện tại chưa công bố tiêu chuẩn nào về quản
trị an tồn thơng tin.
2.3 Phân biệt Quản trị an tồn thơng tin với quản lý an tồn
thơng tin
Trước hết cần phân biệt Quản trị (governance) với Quản lý(management).
Theo định nghĩa:
17
TCVN xxxx:2017
• Quản trị (governance): là cách mà các tổ chức hoặc quốc gia được
quản lý ở mức cao nhất và các hệ thống để thực hiện nó.
• Quản lý(management): là cách để kiểm soát và tổ chức thực hiện
Như vậy, Quản trị là tiến trình hoạch định, đề ra mục tiêu, chiến lược, kế
hoạch, tổ chức, lãnh đạo và kiểm tra họat động của các thành viên trong tổ chức,
sử dụng các nguồn lực nhằm đạt đến sự thành công trong các mục tiêu đề ra.
Quản lý là quá trình thực thi cùng với và thơng qua các cá nhân, các nhóm
và các nguồn lực khác (thiết bị, vốn, công nghệ) để đạt được những mục tiêu của
tổ chức.
Bảng so sánh giữa Quản trị và Quản lý:
Quản trị
Quản lý
Ý nghĩa
Quản trị thường liên quan đến việc
hoạch định, các mục tiêu vĩ mơ, các
kế hoạch và chính sách.
Quản lý là nghệ thuật đạt được
mục đích đã được xác lập sẵn
thơng qua người khác.
Bản chất
Chức năng của quản trị là việc đưa
ra quyết định
Chức năng của quản lý là thi hành
18
TCVN xxxx:2017
Quá
trình
Quản trị quyết định trả lời cho câu
hỏi cái gì và bao giờ.
Quản lý quyết định ai và như thế
nào
Chức
năng
Quản trị có chức năng tư duy bởi vì
các kế hoạch và chính sách được
quyết định dựa theo các tư duy này.
Quản lý có chức năng thi hành bởi
vì người quản lý hồn thành cơng
việc của mình dưới sự giám sát
nhất định.
Kỹ năng
Kỹ năng nhận thức và con người
Kỹ thuật và kỹ năng con người
Cấp độ
Cấp cao
Cấp trung và thấp
Mức độ
ảnh
hưởng
Quản trị bị ảnh hưởng bởi quan
điểm cộng đồng, chính phủ, các tổ
chức tôn giáo, hoặc phong tục, vv
Các quyết định quản lý đưa ra bị
ảnh hưởng bởi giá trị, quan điểm,
tín ngưỡng và quyết định của
người quản lý khác.
Tình
trạng
Quản trị đại diện cho chủ sở hữu của
doanh nghiệp, những người mà thu
lại lợi nhuận họ đã đầu tư theo hình
thức cổ tức.
Quản lý chi phối người lao động
của tổ chức, những người được trả
thù lao (theo hình thức lương).
Như vậy:
• Nhà quản trị (lãnh đạo):
-Có tầm nhìn;
-Có khả năng thúc đẩy;
-Có khả năng truyền cảm hứng.
19
TCVN xxxx:2017
• Nhà quản lý:
-Có khả năng tổ chức;
-Có tính kiên định;
-Có tính linh hoạt;
- Làm việc hiệu quả.
Từ đó quản trị an tồn thơng tin trước hết là quản trị - lãnh đạo về an tồn
thơng tin. Quản lý an tồn thơng tin là quản lý - điều hành về an tồn thơng tin.
Hình 3: So sánh giữa quản trị ATTT và quản lý ATTT
3 Sự cần thiết và ý nghĩa của quản trị an tồn thơng tin
20
TCVN xxxx:2017
An tồn thơng tin đã trở thành vấn đề quan trọng của tổ chức, khơng chỉ có
sự gia tăng các yêu cầu về quy định mà sự thất bại của các biện pháp an tồn
thơng tin có thể tác động trực tiếp đến uy tín của tổ chức.
Vì vậy, Ban lãnh đạo, bộ phận có trách nhiệm quản trị, gia tăng các giám
sát an tồn thơng tin cần thiết để đảm bảo đạt được các mục tiêu của tổ chức.
Hơn nữa, quản trị an tồn thơng tin cung cấp một liên kết mạnh mẽ giữa
Ban lãnh đạo, Ban điều hành của tổ chức và những người chịu trách nhiệm thực
hiện và vận hành hệ thống quản lý an toàn thông tin.
Tiêu chuẩn đưa ra các nhiệm vụ thiết yếu để kiểm sốt các hoạt động an
tồn thơng tin trong tồn tổ chức.
Vì vậy, quản trị an tồn thơng tin hiệu quả đảm bảo Ban lãnh đạo nhận
được báo cáo thích hợp - được quy định trong bối cảnh hoạt động - về các hoạt
động liên quan đến an toàn thơng tin. Nó cho phép đưa ra các quyết định chính
xác và kịp thời về các vấn đề an tồn thông tin nhằm hỗ trợ các mục tiêu chiến
lược của tổ chức.
21
TCVN xxxx:2017
Như vậy, Các mục tiêu của quản trị an tồn thơng tin gồm:
• Liên kết chiến lược (strategic alignment): Đặt mục tiêu và chiến lược
an tồn thơng tin trong mục tiêu và chiến lược hoạt động
• Phân phối giá trị (value delivery): Đưa giá trị đến với Ban lãnh đạo
và các bên liên quan
• Trách nhiệm giải trình (accountability): Đảm bảo rủi ro an tồn
thơng tin được kiểm sốt hoàn toàn.
Và các kết quả mong muốn từ việc áp dụng quản trị an tồn thơng tin một
cách hiệu quả bao gồm:
• Ban lãnh đạo hiện diện trong hoạt động an tồn thơng tin
• Ra quyết định nhanh về rủi ro an tồn thơng tin
• Đầu tư cho an tồn thơng tin một cách hiệu lực, hiệu quả
• Tn thủ các yêu cầu từ bên ngoài (luật pháp, quy định, thỏa thuận)
22
TCVN xxxx:2017
4 Nghiên cứu xây dựng dự thảo TCVN về quản trị ATTT
4.1 Sở cứ xây dựng tiêu chuẩn và lựa chọn tài liệu tham chiếu
Quản trị an tồn thơng tin có tầm quan trọng trong hoạt động của bất kỳ tổ
chức nào ứng dụng CNTT. Nó được đặt ở vị trí trong quản trị tổ chức (quản trị
quốc gia, quản trị doanh nghiệp ...) và được đặt ở vị trí ngang hàng với quản trị
CNTT và quản trị an tồn thơng tin. Hiện tại ở Việt Nam chưa có tiêu chuẩn nào
về quản trị an tồn thơng tin.
Trong số các tiêu chuẩn quốc tế về quản trị an toàn thơng tin như phân tích
ở trên thì tiêu chuẩn ISO/IEC 27014 hoàn toàn tương đương với ITU-T X.1054
là hai tổ chức tiêu chuẩn quốc tế lớn có uy tín và tiêu chuẩn này là mới nhất và
chuyên về quản trị an tồn thơng tin. Nó cũng là tiêu chuẩn nằm trong họ tiêu
chuẩn ISO/IEC 27000s mà Việt Nam cũng đang lựa chọn để làm sở cứ xây dựng
các tiêu chuẩn an tồn thơng tin.
Nhóm chủ trì lựa chọn tiêu chuẩn ISO/IEC 27014:2013 công bố ngày
15/5/2013 làm tài liệu tham chiếu.
23
