Giới thiệu
Các tổ chức, bất kể loại hình và quy mô, đều có nhiệm vụ quan trọng trong việc thu thập, xử lý, lưu trữ và truyền tải thông tin Họ cần nhận thức rằng thông tin, quy trình, hệ thống, mạng lưới và con người là những tài sản thiết yếu để đạt được mục tiêu Đồng thời, các tổ chức phải đối mặt với nhiều rủi ro có thể ảnh hưởng đến hoạt động của những tài sản này Do đó, việc triển khai các biện pháp kiểm soát an toàn thông tin để giải quyết những rủi ro nhận biết là điều cần thiết.
Tất cả thông tin trong tổ chức đều phải đối mặt với các mối đe dọa từ tấn công, lỗi hệ thống, thiên tai và điểm yếu trong việc sử dụng An toàn thông tin được xem như một tài sản quý giá cần được bảo vệ, nhằm ngăn chặn mất mát về tính sẵn sàng, bảo mật và toàn vẹn Sự sẵn sàng cung cấp thông tin chính xác, đầy đủ và kịp thời là yếu tố then chốt cho hiệu quả hoạt động kinh doanh.
Bảo vệ tài sản thông tin thông qua việc xác định, duy trì và cải thiện an toàn thông tin là rất quan trọng để tổ chức đạt được mục tiêu và tuân thủ pháp luật Các hoạt động phối hợp giúp triển khai các biện pháp kiểm soát phù hợp, xử lý các rủi ro an toàn thông tin không thể chấp nhận, là những thành phần cơ bản của quản lý an toàn thông tin.
Để đối phó với rủi ro an toàn thông tin và đảm bảo hiệu quả của các biện pháp kiểm soát thay đổi, các tổ chức cần giám sát và đánh giá tính hiệu quả của các biện pháp và thủ tục đã triển khai Họ cũng cần xác định các rủi ro mới xuất hiện và lựa chọn, thực thi, cải thiện các biện pháp kiểm soát phù hợp khi cần thiết Để phối hợp các hoạt động an toàn thông tin, mỗi tổ chức cần xây dựng chính sách và mục tiêu an toàn thông tin, đồng thời đạt được những mục tiêu này hiệu quả thông qua một hệ thống quản lý.
ISMS là gì ?
Tổng quan và nguyên tắc
Hệ thống quản lý an toàn thông tin (ISMS) là một phương pháp có hệ thống nhằm thiết lập, thực hiện và cải thiện an toàn thông tin trong tổ chức, với mục tiêu bảo vệ tài sản thông tin ISMS dựa trên đánh giá rủi ro và mức độ chấp nhận rủi ro của tổ chức để thiết kế các biện pháp kiểm soát thích hợp, từ đó đảm bảo an toàn cho tài sản thông tin Các nguyên tắc cơ bản bao gồm nhận thức về sự cần thiết của an toàn thông tin, phân công trách nhiệm rõ ràng, cam kết từ ban quản lý và lợi ích của các bên liên quan, nâng cao giá trị xã hội, đánh giá rủi ro để xác định biện pháp kiểm soát, hợp tác về an ninh, phòng chống và phát hiện sự cố an toàn thông tin, cũng như đảm bảo một cách tiếp cận toàn diện và thực hiện đánh giá liên tục để cải thiện an toàn thông tin.
Thông tin
Thông tin là tài sản quan trọng của tổ chức, cần được bảo vệ đúng cách để đảm bảo hoạt động hiệu quả Thông tin có thể tồn tại dưới nhiều dạng, bao gồm kỹ thuật số như tập tin trên thiết bị điện tử và vật chất như tài liệu giấy Ngoài ra, thông tin có thể được truyền tải qua nhiều phương tiện khác nhau như chuyển phát nhanh, giao tiếp điện tử hoặc bằng lời nói Dù ở hình thức nào, việc bảo vệ thông tin luôn là điều cần thiết.
Trong nhiều tổ chức, công nghệ thông tin và truyền thông đóng vai trò quan trọng Công nghệ này không chỉ hỗ trợ trong việc tổ chức mà còn thúc đẩy quá trình tạo ra, xử lý, lưu trữ, truyền tải, bảo vệ và phá hủy thông tin.
An toàn thông tin
An toàn thông tin bao gồm ba khía cạnh quan trọng: tính bí mật, tính sẵn sàng và tính toàn vẹn Việc áp dụng và quản lý các biện pháp an ninh thích hợp là cần thiết để đối phó với các mối đe dọa, nhằm đảm bảo sự bền vững và thành công trong kinh doanh, duy trì hoạt động liên tục và giảm thiểu tác động của các sự cố an toàn thông tin.
An toàn thông tin được đảm bảo thông qua việc thực hiện các biện pháp kiểm soát được lựa chọn dựa trên quy trình quản lý rủi ro, và được quản lý bởi hệ thống ISMS Hệ thống này bao gồm các chính sách, quy trình, thủ tục, cơ cấu tổ chức, phần mềm và phần cứng nhằm bảo vệ tài sản thông tin Các biện pháp kiểm soát cần được xác định, thực hiện, giám sát, đánh giá và cải tiến thường xuyên để đáp ứng các mục tiêu an toàn thông tin và mục tiêu kinh doanh của tổ chức Ngoài ra, những biện pháp này phải được tích hợp chặt chẽ vào quy trình kinh doanh của tổ chức.
Quản lý
Quản lý là quá trình chỉ đạo, kiểm soát và cải thiện liên tục các hoạt động trong tổ chức Nó bao gồm các hành động, phương thức và thực hành nhằm xử lý, chỉ đạo, giám sát và kiểm soát tài nguyên Cấu trúc quản lý có thể đơn giản với một người trong tổ chức nhỏ hoặc phức tạp với nhiều cấp bậc trong tổ chức lớn.
Trong hệ thống ISMS, quản lý đóng vai trò quan trọng trong việc giám sát và đưa ra quyết định nhằm đạt được mục tiêu kinh doanh thông qua bảo vệ tài sản thông tin của tổ chức Quản lý an toàn thông tin được thể hiện qua việc xây dựng và thực hiện các chính sách, thủ tục và hướng dẫn an toàn thông tin, đảm bảo mọi cá nhân liên quan trong tổ chức đều tuân thủ.
Hệ thống quản lý
Hệ thống quản lý là một bộ khung các nguồn lực nhằm đạt được mục tiêu của tổ chức, bao gồm cơ cấu tổ chức, chính sách, lập kế hoạch, trách nhiệm, thực hành, thủ tục, quy trình và nguồn lực cần thiết.
Hệ thống quản lý an toàn thông tin cho phép tổ chức đáp ứng yêu cầu an toàn thông tin của khách hàng và các bên liên quan, cải thiện kế hoạch và hoạt động nội bộ, đồng thời đạt được các mục tiêu an toàn thông tin đã đề ra Ngoài ra, hệ thống này cũng giúp tổ chức tuân thủ các quy định và pháp luật liên quan, quản lý tài sản thông tin một cách có tổ chức, từ đó thúc đẩy cải tiến liên tục và điều chỉnh các mục tiêu hiện tại.
Cách tiếp cận quy trình
Các tổ chức cần xác định và quản lý nhiều hoạt động để thực hiện chức năng một cách hiệu quả Mọi hoạt động sử dụng tài nguyên đều cần được quản lý để chuyển đổi đầu vào thành đầu ra thông qua các hoạt động liên quan hoặc tương tác, được gọi là quy trình Kết quả của một quy trình có thể trở thành đầu vào cho quy trình khác, và việc chuyển đổi này thường diễn ra trong điều kiện có kế hoạch và kiểm soát Việc áp dụng hệ thống quy trình trong tổ chức, cùng với nhận thức và quản lý các quy trình này, được gọi là "cách thức tiếp cận quy trình".
Tại sao ISMS lại quan trọng
Rủi ro liên quan đến tài sản thông tin trong tổ chức cần được xử lý hiệu quả Để đảm bảo an toàn thông tin, việc quản lý rủi ro là điều cần thiết, bao gồm các mối đe dọa từ yếu tố vật lý, con người và công nghệ đối với mọi hình thức thông tin trong tổ chức hoặc được tổ chức sử dụng.
Việc triển khai hệ thống ISMS là một quyết định chiến lược quan trọng cho tổ chức, do đó cần đảm bảo rằng quyết định này được tích hợp một cách hiệu quả, có khả năng mở rộng và thường xuyên cập nhật để đáp ứng nhu cầu của tổ chức.
Việc thiết kế và triển khai hệ thống quản lý an ninh thông tin (ISMS) của tổ chức cần phù hợp với nhu cầu, mục tiêu và yêu cầu an ninh của tổ chức Hệ thống ISMS phải phản ánh lợi ích và yêu cầu về an toàn thông tin của tất cả các bên liên quan, bao gồm khách hàng, nhà cung cấp, đối tác kinh doanh, cổ đông và các bên thứ ba khác Quy trình kinh doanh, quy mô và cấu trúc tổ chức cũng đóng vai trò quan trọng trong việc xây dựng hệ thống này.
Trong thế giới kết nối ngày nay, thông tin và các hệ thống mạng là tài sản quan trọng của doanh nghiệp Tuy nhiên, các tổ chức phải đối mặt với nhiều mối đe dọa an ninh, từ gian lận máy tính đến hoạt động gián điệp và thiên tai như hỏa hoạn, lũ lụt Thiệt hại do mã độc, tin tặc và các cuộc tấn công từ chối dịch vụ ngày càng gia tăng, trở nên tinh vi và khó lường hơn.
Hệ thống ISMS đóng vai trò quan trọng trong hoạt động nghiệp vụ của cả khu vực công và tư, giúp thúc đẩy thương mại điện tử và quản lý rủi ro hiệu quả Việc kết nối mạng công cộng và tư nhân, cùng với việc chia sẻ tài sản thông tin, tạo ra thách thức trong kiểm soát truy cập và xử lý thông tin Hơn nữa, sự phân tán của các thiết bị lưu trữ di động chứa thông tin có thể làm giảm hiệu quả của các biện pháp kiểm soát truyền thống Khi tổ chức áp dụng hệ thống tiêu chuẩn ISMS, họ có khả năng thể hiện việc thực hiện các nguyên tắc an toàn thông tin một cách nhất quán cho các đối tác kinh doanh và bên liên quan.
An toàn thông tin thường không được xem xét đầy đủ trong quá trình thiết kế và phát triển hệ thống thông tin, và thường chỉ được coi là một giải pháp kỹ thuật Tuy nhiên, an toàn thông tin chỉ có hiệu quả khi được hỗ trợ bởi quản lý và quy trình thích hợp trong khung hệ thống ISMS Việc tích hợp an ninh vào hệ thống thông tin sau khi triển khai có thể trở nên phức tạp và tốn kém Hệ thống ISMS yêu cầu lập kế hoạch chi tiết cho các biện pháp kiểm soát, bao gồm kiểm soát truy cập có thể là kỹ thuật, vật lý hoặc hành chính, nhằm đảm bảo quyền truy cập hợp pháp và giới hạn vào tài sản thông tin dựa trên yêu cầu nghiệp vụ và an toàn thông tin.
Việc triển khai thành công hệ thống ISMS là rất quan trọng để bảo vệ tài sản thông tin của tổ chức, giúp đảm bảo thông tin được bảo vệ trước các mối đe dọa, duy trì khung cấu trúc để xác định và đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng biện pháp kiểm soát hiệu quả, cải thiện liên tục môi trường kiểm soát và tuân thủ pháp luật cùng các quy định một cách hiệu quả.
Thiết lập, giám sát, duy trì và cải thiện một hệ thống ISMS
Tổng quan
Để xây dựng, giám sát, duy trì và cải thiện hệ thống quản lý an toàn thông tin (ISMS), tổ chức cần thực hiện các bước sau: xác định tài sản thông tin và yêu cầu an toàn thông tin liên quan; đánh giá và xử lý rủi ro an toàn thông tin; lựa chọn và thực hiện các biện pháp kiểm soát cho các rủi ro không thể chấp nhận; và giám sát, duy trì, nâng cao hiệu quả các biện pháp kiểm soát tài sản thông tin Để ISMS hoạt động hiệu quả trong việc bảo vệ tài sản thông tin, các bước này cần được lặp lại liên tục nhằm phát hiện những thay đổi trong rủi ro hoặc chiến lược và mục tiêu kinh doanh của tổ chức.
Xác định các yêu cầu an toàn thông tin
Trong chiến lược kinh doanh và mục tiêu của tổ chức, quy mô hoạt động và không gian địa lý cần được xác định dựa trên tài sản thông tin và giá trị của chúng, nhu cầu kinh doanh liên quan đến việc xử lý, lưu trữ và truyền thông thông tin, cũng như các yêu cầu pháp lý, quy định và hợp đồng.
Đánh giá rủi ro liên quan đến tài sản thông tin của tổ chức bao gồm việc phân tích các mối đe dọa, điểm yếu và khả năng xảy ra các mối đe dọa cụ thể Đồng thời, cần xem xét tác động tiềm năng của các sự cố an toàn thông tin đối với tài sản Chi phí cho các biện pháp kiểm soát sẽ tỷ lệ thuận với tác động mà rủi ro có thể gây ra cho hoạt động kinh doanh.
Đánh giá các rủi ro an toàn thông tin
Quản lý rủi ro an toàn thông tin yêu cầu đánh giá nguy cơ và áp dụng phương pháp xử lý rủi ro phù hợp, bao gồm chi phí, lợi ích, yêu cầu pháp lý và mối quan tâm của các bên liên quan Đánh giá rủi ro cần xác định, định lượng và ưu tiên các rủi ro dựa trên tiêu chí chấp nhận rủi ro và mục tiêu tổ chức, từ đó hướng dẫn các hành động quản lý và biện pháp kiểm soát Quy trình đánh giá phải có hệ thống, ước lượng mức độ rủi ro và so sánh các rủi ro để xác định tầm quan trọng của chúng Việc đánh giá cần được thực hiện định kỳ để thích ứng với những thay đổi trong yêu cầu an toàn thông tin và tình huống rủi ro, như tài sản, mối đe dọa và điểm yếu Cuối cùng, đánh giá rủi ro nên có phạm vi rõ ràng và có thể liên kết với các lĩnh vực đánh giá rủi ro khác nếu cần thiết.
TCVN 10295:2014 hướng dẫn quản lý rủi ro an toàn thông tin, bao gồm đánh giá, xử lý, chấp nhận, báo cáo, giám sát và soát xét rủi ro Bên cạnh đó, tiêu chuẩn này cũng cung cấp ví dụ về các phương pháp đánh giá rủi ro hiệu quả.
Xử lý các rủi ro an toàn thông tin
Trước khi xử lý rủi ro, tổ chức cần xác định tiêu chí để đánh giá rủi ro có thể chấp nhận Rủi ro được coi là chấp nhận nếu nguy cơ thấp hoặc chi phí xử lý không hiệu quả, và quyết định này cần được ghi lại Sau khi đánh giá, mỗi rủi ro sẽ cần có quyết định xử lý, bao gồm các tùy chọn như áp dụng biện pháp kiểm soát để giảm thiểu rủi ro, chấp nhận rủi ro có chủ ý nếu phù hợp với chính sách tổ chức, tránh rủi ro bằng cách không thực hiện hành động nguy hiểm, hoặc chia sẻ rủi ro với bên thứ ba như công ty bảo hiểm Đối với những rủi ro cần kiểm soát, tổ chức nên lựa chọn và thực hiện các biện pháp kiểm soát thích hợp.
Chọn lựa và triển khai các biện pháp kiểm soát
Sau khi xác định các yêu cầu an toàn thông tin, đánh giá rủi ro cho các tài sản thông tin cụ thể, và quyết định phương án xử lý rủi ro, việc lựa chọn và thực hiện các biện pháp kiểm soát là cần thiết để giảm thiểu rủi ro an toàn thông tin.
Các biện pháp kiểm soát cần đảm bảo giảm rủi ro đến mức chấp nhận được, với sự xem xét đến các yêu cầu pháp luật và quy định quốc gia, mục tiêu tổ chức, yêu cầu vận hành, chi phí thực hiện và hoạt động liên quan đến rủi ro Đồng thời, cần thực hiện giám sát và đánh giá hiệu quả của các biện pháp kiểm soát an toàn thông tin để hỗ trợ mục tiêu tổ chức Việc lựa chọn và thực hiện các biện pháp này nên được ghi chép trong tuyên bố áp dụng nhằm đảm bảo tuân thủ Cuối cùng, cần cân nhắc đầu tư trong việc thực hiện biện pháp kiểm soát để đối phó với những mất mát có thể xảy ra do sự cố an toàn thông tin.
Các biện pháp kiểm soát trong tiêu chuẩn TCVN ISO/IEC 27002:2011 được xem là thực hành tốt nhất cho các tổ chức, có thể tùy chỉnh để phù hợp với quy mô và độ phức tạp khác nhau Hệ thống tiêu chuẩn ISMS cung cấp hướng dẫn về cách lựa chọn và áp dụng các biện pháp này trong hệ thống quản lý an toàn thông tin.
Các biện pháp kiểm soát an toàn thông tin cần được xem xét từ giai đoạn thiết kế và yêu cầu dự án để tránh chi phí phát sinh và giải pháp kém hiệu quả Các biện pháp này có thể được chọn từ ISO/IEC 27002 hoặc thiết kế mới phù hợp với nhu cầu cụ thể của tổ chức Cần lưu ý rằng không phải tất cả các biện pháp kiểm soát đều áp dụng cho mọi hệ thống thông tin và môi trường Thời gian thiết lập các biện pháp kiểm soát có thể làm tăng mức rủi ro vượt quá khả năng chịu đựng, vì vậy tiêu chí rủi ro cần xem xét khả năng chịu lỗi trong thời gian ngắn hạn Các bên liên quan nên được thông báo về mức rủi ro ước lượng tại các thời điểm khác nhau trong quá trình triển khai.
Không có biện pháp kiểm soát nào có thể đảm bảo an toàn thông tin hoàn toàn Do đó, cần thực hiện các hoạt động quản lý bổ sung để giám sát, đánh giá và cải thiện hiệu quả của các biện pháp an toàn thông tin, nhằm hỗ trợ mục tiêu của tổ chức.
Việc lựa chọn và thực hiện biện pháp kiểm soát nên được ghi chép trong một tuyên bố áp dụng nhằm hỗ trợ các yêu cầu tuân thủ.
Giám sát, duy trì và cải thiện hiệu quả của hệ thống ISMS
Một tổ chức cần duy trì và cải thiện hệ thống ISMS thông qua việc giám sát và đánh giá các chính sách và mục tiêu, đồng thời báo cáo kết quả cho nhà quản lý để xem xét Việc soát xét này nhằm kiểm tra tính hiệu quả của các biện pháp kiểm soát trong việc xử lý rủi ro của hệ thống ISMS Bên cạnh đó, các bản ghi từ khu vực giám sát sẽ cung cấp bằng chứng cho việc thẩm tra và theo dõi các hành động sửa chữa, phòng ngừa và cải tiến.
Cải thiện liên tục
Mục tiêu của việc cải thiện liên tục Hệ thống Quản lý An ninh Thông tin (ISMS) là nâng cao khả năng đạt được các mục tiêu liên quan đến bảo mật, tính sẵn sàng và tính toàn vẹn của thông tin Việc cải tiến này tập trung vào việc phát hiện và khai thác các cơ hội cải thiện, đồng thời không nên coi các hoạt động quản lý hiện tại là đủ hoặc tối ưu cho hệ thống.
Các hành động cải thiện bao gồm việc phân tích và đánh giá tình huống hiện tại để xác định các vùng cần cải thiện, thiết lập mục tiêu cụ thể, tìm kiếm giải pháp khả thi, đánh giá và lựa chọn giải pháp hiện có, triển khai các giải pháp đã chọn, đồng thời đo lường và phân tích kết quả để đảm bảo các mục tiêu đã đạt được, cuối cùng là chính thức hoá các thay đổi.
Kết quả soát xét là cần thiết để xác định cơ hội cải tiến, tạo ra một quá trình liên tục với các hành động lặp lại thường xuyên Phản hồi từ khách hàng, các bên liên quan, cùng với việc kiểm toán và soát xét hệ thống quản lý an toàn thông tin, cũng đóng vai trò quan trọng trong việc phát hiện những cơ hội cải tiến hiệu quả.
Các yếu tố quan trọng quyết định thành công của ISMS
Để triển khai thành công một hệ thống ISMS đáp ứng mục tiêu kinh doanh của tổ chức, cần chú ý đến nhiều yếu tố quan trọng Những yếu tố này bao gồm việc xác định rõ ràng các mục tiêu bảo mật thông tin, đào tạo nhân viên về quy trình và chính sách bảo mật, cũng như thường xuyên đánh giá và cải tiến hệ thống để đảm bảo tính hiệu quả và phù hợp với các yêu cầu thay đổi của tổ chức.
Để thực hiện thành công một hệ thống ISMS đáp ứng mục tiêu kinh doanh, cần chú trọng vào một số yếu tố quan trọng Đầu tiên, xây dựng chính sách an toàn thông tin và các mục tiêu liên quan là cần thiết Thứ hai, việc thiết kế và thực hiện các biện pháp an toàn thông tin phải phù hợp với văn hóa doanh nghiệp Hỗ trợ và cam kết từ tất cả các cấp quản lý, đặc biệt là từ lãnh đạo cao nhất, cũng là yếu tố then chốt Bên cạnh đó, cần hiểu rõ nhu cầu bảo vệ tài sản thông tin thông qua quản lý rủi ro an toàn thông tin Một chương trình nâng cao nhận thức và đào tạo an toàn thông tin hiệu quả sẽ giúp nhân viên và các bên liên quan hiểu rõ trách nhiệm của mình Ngoài ra, cần có quy trình quản lý sự cố an toàn thông tin và phương pháp duy trì hoạt động kinh doanh liên tục Cuối cùng, sử dụng hệ thống đo lường để đánh giá hiệu suất quản lý an toàn thông tin và thu thập phản hồi nhằm cải thiện.
Hệ thống ISMS nâng cao khả năng của tổ chức trong việc duy trì và đạt được các yếu tố thành công quan trọng, góp phần bảo vệ tài sản thông tin một cách hiệu quả.
Lợi ích của họ tiêu chuẩn ISMS
Việc thực hiện một hệ thống ISMS mang lại nhiều lợi ích cho tổ chức, chủ yếu là giảm thiểu rủi ro an toàn thông tin, từ đó nâng cao khả năng và giảm tác động của các sự cố an toàn Hệ thống ISMS hỗ trợ quy trình xác định, thực hiện và duy trì một hệ thống an toàn thông tin toàn diện, đồng thời giúp nhà quản lý quản lý thống nhất và có trách nhiệm trong việc quản lý an toàn thông tin Hệ thống này cũng thúc đẩy chấp nhận toàn cầu về thực hành an toàn thông tin hiệu quả, cung cấp ngôn ngữ chung giúp tăng cường sự tin tưởng từ các bên liên quan và đáp ứng nhu cầu của xã hội Cuối cùng, việc áp dụng ISMS còn giúp tổ chức quản lý kinh tế hiệu quả hơn với các khoản đầu tư an toàn thông tin.
4 Hệ thống tiêu chuẩn ISMS
Thông tin chung
Tiêu chuẩn ISMS bao gồm các tiêu chuẩn liên quan, đã được công bố và đang phát triển, với các thành phần cấu trúc quan trọng Những thành phần này tập trung vào tiêu chuẩn quy định yêu cầu hệ thống ISMS (TCVN ISO/IEC 27001:2009) và yêu cầu chứng nhận của cơ quan (ISO/IEC 27006) để đảm bảo sự phù hợp với tiêu chuẩn TCVN ISO/IEC 27001:2009 Các tiêu chuẩn khác cung cấp hướng dẫn cho các khía cạnh khác nhau trong việc triển khai hệ thống ISMS, đề cập đến quy trình chung, các hướng dẫn kiểm soát và các lĩnh vực cụ thể.
Mối quan hệ giữa các tiêu chuẩn ISMS được minh họa trong Hình 1 ( 1 ).
1 Trong khi biên soạn tiêu chuẩn này, các tiêu chuẩn ISO/IEC 27007 và 27008 đang được phát triển
Hệ thống tiêu chuẩn ISMS bao gồm nhiều tiêu chuẩn khác nhau, mỗi tiêu chuẩn được phân loại theo các kiểu hoặc vai trò cụ thể và được đánh số để dễ tham chiếu Các tiêu chuẩn này có nhiệm vụ mô tả tổng quan và thuật ngữ liên quan, xác định các yêu cầu cần thiết, nêu rõ các nguyên tắc chung, và cung cấp hướng dẫn cho các lĩnh vực chuyên biệt.
Tiêu chuẩn mô tả về tổng quan và từ vựng
TCVN ISO/IEC 27000 (tài liệu tiêu chuẩn này)
Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
Tiêu chuẩn này nhằm cung cấp cho các tổ chức và cá nhân cái nhìn tổng quan về bộ tiêu chuẩn ISMS, giới thiệu hệ thống quản lý an toàn thông tin (ISMS), cùng với các thuật ngữ và định nghĩa liên quan đến bộ tiêu chuẩn này.
Mục tiêu của tiêu chuẩn TCVN ISO/IEC 27000 là mô tả các nguyên tắc cơ bản của hệ thống quản lý an toàn thông tin, từ đó tạo thành nền tảng cho các tiêu chuẩn ISMS và xác định các điều khoản liên quan.
Tiêu chuẩn mô tả các yêu cầu cụ thể
TCVN ISO/IEC 27001:2009
Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu
Tiêu chuẩn này quy định các yêu cầu thiết lập và duy trì hệ thống quản lý an toàn thông tin (ISMS) trong bối cảnh hoạt động của tổ chức, nhằm quản lý rủi ro hiệu quả Nó xác định các biện pháp kiểm soát an toàn thông tin cần thiết, được điều chỉnh theo nhu cầu cụ thể của từng tổ chức hoặc bộ phận Tiêu chuẩn này áp dụng cho mọi loại hình, quy mô và tính chất tổ chức.
Mục tiêu: ISO/IEC 27001 cung cấp các yêu cầu bắt buộc để phát triển và vận hành một hệ thống
Hệ thống quản lý an ninh thông tin (ISMS) bao gồm các biện pháp kiểm soát nhằm giảm thiểu rủi ro liên quan đến tài sản thông tin mà tổ chức muốn bảo vệ Các tổ chức áp dụng ISMS có thể được kiểm toán và chứng nhận về sự tuân thủ Mục tiêu và biện pháp kiểm soát trong Phụ lục A (TCVN ISO/IEC 27001:2009) cần được lựa chọn phù hợp với yêu cầu của quy trình ISMS Những mục tiêu và biện pháp này được lấy từ Bảng A.1 (TCVN ISO/IEC 27001:2009) và tương thích với các điều khoản trong tiêu chuẩn TCVN ISO/IEC 27002:2011, cụ thể từ điều khoản 5 đến 18.
ISO/IEC 27006
Công nghệ thông tin ngày nay đóng vai trò quan trọng trong việc bảo vệ dữ liệu và thông tin nhạy cảm Các kỹ thuật an toàn cần được áp dụng để đảm bảo tính bảo mật và toàn vẹn của hệ thống Đối với các cơ quan cung cấp kiểm toán và chứng nhận, yêu cầu về việc thực hiện quy trình kiểm tra và đánh giá hệ thống quản lý an toàn thông tin là rất cần thiết để đảm bảo tuân thủ các tiêu chuẩn quốc tế và nâng cao niềm tin của khách hàng.
Tiêu chuẩn này quy định các yêu cầu và hướng dẫn cho các cơ quan cung cấp dịch vụ kiểm toán và chứng nhận Hệ thống Quản lý An ninh Thông tin (ISMS) theo tiêu chuẩn TCVN ISO/IEC 27001:2009 Ngoài ra, nó cũng bổ sung các yêu cầu đã được nêu trong ISO/IEC 17021 Tiêu chuẩn này chủ yếu nhằm hỗ trợ việc công nhận cho các cơ quan chứng nhận cấp giấy chứng nhận ISMS theo tiêu chuẩn TCVN ISO/IEC 27001:2009.
ISO/IEC 27006 hỗ trợ ISO/IEC 17021 bằng cách cung cấp các yêu cầu cho tổ chức chứng nhận được công nhận, giúp họ cung cấp chứng nhận tuân thủ một cách nhất quán với tiêu chuẩn TCVN ISO/IEC 27001:2009.
Các tiêu chuẩn mô tả hướng dẫn chung
TCVN ISO/IEC 27002:2011
Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin
Tiêu chuẩn này đưa ra danh sách các mục tiêu kiểm soát phổ biến và các biện pháp thực hành tốt nhất, nhằm hướng dẫn việc lựa chọn và triển khai các biện pháp kiểm soát để bảo đảm an toàn thông tin.
Mục tiêu của TCVN ISO/IEC 27002:2011 là cung cấp hướng dẫn thực hiện các biện pháp kiểm soát an toàn thông tin Các điều khoản từ 5 đến 18 trong tiêu chuẩn này đưa ra tư vấn triển khai cụ thể và hướng dẫn thực hành tốt nhất, nhằm hỗ trợ cho các biện pháp kiểm soát được quy định tại các điều khoản A.5 đến A.18 của TCVN ISO/IEC 27001:2009.
TCVN 10541:2014
Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin
Tiêu chuẩn này hướng dẫn cách triển khai và cung cấp thông tin cần thiết để thiết lập, thực hiện, vận hành, giám sát, đánh giá, duy trì và cải thiện hệ thống quản lý an ninh thông tin (ISMS) theo TCVN ISO/IEC 27001:2009.
Mục tiêu: TCVN 15041:2014 cung cấp một phương pháp tiếp cận theo định hướng quy trình nhằm thực hiện thành công hệ thống ISMS theo TCVN ISO/IEC 27001:2009.
TCVN 10542:2014
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường
Tiêu chuẩn này hướng dẫn và tư vấn về việc phát triển và sử dụng các phép đo nhằm đánh giá hiệu quả của hệ thống ISMS, các mục tiêu kiểm soát, cũng như các biện pháp kiểm soát trong việc thực hiện và quản lý an toàn thông tin, theo quy định của TCVN ISO/IEC 27001:2009.
Mục tiêu: TCVN 10542:2014 cung cấp một bộ khung đo lường cho phép đánh giá hiệu quả của hệ thống ISMS theo TCVN ISO/IEC 27001:2009.
TCVN 10295:2014
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin
Tiêu chuẩn này hướng dẫn quản lý rủi ro an toàn thông tin, cung cấp phương pháp tiếp cận phù hợp với các khái niệm quy định trong TCVN ISO/IEC 27001:2009.
Mục tiêu của TCVN 10295:2014 là hướng dẫn triển khai quản lý rủi ro theo quy trình, nhằm đảm bảo thực hiện và hoàn thành các yêu cầu về quản lý rủi ro an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27001:2009.
ISO/IEC 27007
Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn kiểm toán hệ thống quản lý an toàn thông tin
Tiêu chuẩn này hướng dẫn việc thực hiện kiểm toán Hệ thống Quản lý An toàn Thông tin (ISMS) và quy định năng lực cần có của các kiểm toán viên, bổ sung cho các chỉ dẫn có trong TCVN ISO 19011:2013 về hệ thống quản lý chung.
ISO/IEC 27007 cung cấp hướng dẫn chi tiết cho các tổ chức trong việc thực hiện kiểm toán nội bộ hoặc kiểm toán độc lập bên ngoài cho hệ thống Quản lý An ninh Thông tin (ISMS) Hướng dẫn này cũng hỗ trợ quản lý chương trình kiểm toán ISMS theo các yêu cầu quy định trong TCVN ISO/IEC 27001:2009.
ISO/IEC TR 27008
Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn cho kiểm toán viên về các biện pháp kiểm soát an toàn thông tin
Báo cáo kỹ thuật này hướng dẫn rà soát việc thực hiện và hoạt động của các biện pháp kiểm soát, chú trọng vào việc tuân thủ kỹ thuật trong kiểm tra các biện pháp kiểm soát hệ thống thông tin và sự tuân thủ với các tiêu chuẩn an toàn thông tin đã được thiết lập trong tổ chức.
Báo cáo kỹ thuật này tập trung vào việc rà soát các biện pháp kiểm soát an toàn thông tin và kiểm tra tuân thủ kỹ thuật theo tiêu chuẩn an toàn thông tin trong tổ chức Tài liệu không cung cấp hướng dẫn cụ thể về kiểm tra tuân thủ liên quan đến đo lường, đánh giá rủi ro hay kiểm toán hệ thống ISMS theo ISO/IEC 27004, 27005 hoặc 27007 Đồng thời, báo cáo này cũng không dành cho kiểm toán hệ thống quản lý.
TCVN 9965:2013
Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn tích hợp triển khai ISO/IEC 27001 và ISO/IEC
Tiêu chuẩn này hướng dẫn các tổ chức trong việc kết hợp triển khai ISO/IEC 27001 và ISO/IEC 20000-1 Cụ thể, nó áp dụng cho các tổ chức muốn triển khai TCVN ISO/IEC 27001:2009 sau khi đã thực hiện ISO/IEC 20000-1, hoặc ngược lại Ngoài ra, tiêu chuẩn cũng hỗ trợ việc triển khai đồng thời cả hai tiêu chuẩn này, cũng như đồng bộ hóa chúng cho hệ thống quản lý đã được triển khai.
Mục tiêu của bài viết là cung cấp thông tin cho các tổ chức về những điểm tương đồng và khác biệt giữa tiêu chuẩn TCVN ISO/IEC 27001:2009 và ISO/IEC 20000-1, nhằm hỗ trợ trong việc lập kế hoạch cho một hệ thống quản lý tích hợp phù hợp với cả hai tiêu chuẩn quốc tế.
ISO/IEC 27014
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý nhà nước về an toàn thông tin
Tiêu chuẩn này hướng dẫn các nguyên tắc và quy trình quản trị an toàn thông tin, giúp các tổ chức ước lượng, điều hành và giám sát hiệu quả việc quản lý an toàn thông tin.
An toàn thông tin ngày càng trở thành vấn đề quan trọng đối với các tổ chức, không chỉ do yêu cầu pháp lý gia tăng mà còn vì sự thất bại trong các biện pháp an toàn có thể ảnh hưởng trực tiếp đến uy tín của tổ chức Do đó, các cơ quan quản lý đang yêu cầu giám sát an toàn thông tin chặt chẽ hơn để đảm bảo các mục tiêu của tổ chức được thực hiện hiệu quả.
ISO/IEC TR 27016
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin - Kinh tế của tổ chức
Báo cáo kỹ thuật này trình bày một phương pháp giúp các tổ chức hiểu rõ hơn về giá trị kinh tế của tài sản thông tin, xác định chính xác giá trị và rủi ro tiềm tàng liên quan Nó cũng đánh giá lợi ích mà các biện pháp kiểm soát bảo vệ thông tin mang lại cho tài sản và xác định cách tối ưu hóa nguồn lực cần thiết để bảo vệ các tài sản này.
Báo cáo kỹ thuật này nhằm bổ sung tiêu chuẩn ISMS bằng cách tiếp cận từ góc độ kinh tế trong việc bảo vệ tài sản thông tin của tổ chức Trong bối cảnh xã hội ngày càng mở rộng, tài liệu cung cấp hướng dẫn cụ thể về cách áp dụng các nguyên tắc kinh tế vào an toàn thông tin, sử dụng các mô hình và ví dụ thực tiễn để minh họa.
Các tiêu chuẩn mô tả hướng dẫn theo lĩnh vực cụ thể
TCVN 10543:2014
Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành.
Tiêu chuẩn này hướng dẫn quản lý an toàn thông tin trong các cộng đồng chia sẻ thông tin, bổ sung các biện pháp kiểm soát và hướng dẫn cụ thể cho việc khởi tạo, triển khai, duy trì và cải thiện an toàn thông tin Nó hỗ trợ việc truyền thông tin giữa các lĩnh vực và tổ chức, đồng thời tuân thủ các hướng dẫn trong tiêu chuẩn ISO/IEC 27000.
Mục tiêu của tiêu chuẩn này là áp dụng cho tất cả các hình thức trao đổi và chia sẻ thông tin nhạy cảm, bao gồm cả lĩnh vực công cộng và tư nhân, trong nước và quốc tế Tiêu chuẩn này phù hợp cho các lĩnh vực sản xuất và kinh doanh tương tự, cũng như giữa các lĩnh vực khác nhau Đặc biệt, tiêu chuẩn này còn có thể được áp dụng để đảm bảo việc trao đổi và chia sẻ thông tin liên quan đến việc cung cấp, duy trì và bảo vệ các tổ chức hoặc cơ sở hạ tầng quan trọng của quốc gia.
ISO/IEC 27011
Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông dựa theo TCVN ISO/IEC 27002:2011
Phạm vi: Tiêu chuẩn này cung cấp hướng dẫn hỗ trợ thực hiện quản lý an toàn thông tin trong các tổ chức viễn thông.
ISO/IEC 27011 cung cấp hướng dẫn cho các tổ chức viễn thông, tương thích với TCVN ISO/IEC 27002:2011 Tài liệu này bao gồm các chỉ dẫn bổ sung nhằm hoàn thiện các yêu cầu trong TCVN ISO/IEC 27001:2009, Phụ lục A, giúp nâng cao hiệu quả quản lý an ninh thông tin trong lĩnh vực viễn thông.
ISO/IEC TR 27015
Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin cho các dịch vụ tài chính
Báo cáo kỹ thuật này bổ sung cho các hướng dẫn trong tiêu chuẩn ISO/IEC 27000, nhằm hỗ trợ các tổ chức cung cấp dịch vụ tài chính trong việc khởi tạo, triển khai, duy trì và cải thiện an toàn thông tin.
Báo cáo kỹ thuật này nhằm bổ sung cho TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011, phục vụ các tổ chức cung cấp dịch vụ tài chính trong việc khởi tạo, triển khai, duy trì và cải thiện hệ thống quản lý an toàn thông tin theo tiêu chuẩn TCVN ISO/IEC 27001:2009 Đồng thời, tài liệu cũng hướng dẫn thiết kế và thực hiện các biện pháp kiểm soát theo quy định trong TCVN ISO/IEC 27002:2011 hoặc tiêu chuẩn này.
ISO/IEC 27799
Tin học y tế - Quản lý an toàn thông tin trong lĩnh vực y tế sử dụng TCVN ISO/IEC 27002:2011
Phạm vi: Tiêu chuẩn này cung cấp hướng dẫn hỗ trợ thực hiện quản lý an toàn thông tin trong các tổ chức y tế.
ISO / IEC 27799 cung cấp hướng dẫn cho các tổ chức y tế nhằm thực hiện tiêu chuẩn ISO / IEC 27002, phù hợp với lĩnh vực y tế Tiêu chuẩn này bổ sung cho các hướng dẫn hiện có, giúp đáp ứng yêu cầu của TCVN ISO/IEC 27001:2009, Phụ lục A.
Các hình thức quy ước cho việc biểu thị các điều khoản
Các tài liệu trong hệ thống tiêu chuẩn ISMS không bắt buộc cho bất kỳ ai, nhưng việc tuân thủ có thể được yêu cầu thông qua luật pháp hoặc hợp đồng Để yêu cầu tuân thủ, người sử dụng cần xác định rõ các yêu cầu cần thiết Họ cũng cần phân biệt các yêu cầu này với những khuyến nghị khác, trong đó có những lựa chọn tự do nhất định.
Bảng dưới đây giải thích cách diễn giải tài liệu tiêu chuẩn ISMS liên quan đến việc thể hiện các quy ước, bao gồm cả các yêu cầu và khuyến nghị.
Bảng này được dựa trên các quy định của Chỉ thị JTC1, Phần 2, Quy định về cấu trúc và soạn thảo các tiêu chuẩn quốc tế, Phụ lục H.
Các cụm từ "phải" và "không phải" thể hiện những yêu cầu nghiêm ngặt cần được tuân thủ để đảm bảo sự chính xác và tuân thủ tài liệu, đồng thời ngăn chặn bất kỳ sự sai lệch nào.
Các cụm từ "nên" và "không nên" thể hiện rằng trong các lựa chọn có thể, có một lựa chọn được khuyến nghị là phù hợp hơn Điều này không loại trừ các khả năng khác và không yêu cầu một chu trình hành động cụ thể nào đó phải được ưu tiên Chúng cũng không ngăn cấm một khả năng hay chu trình hành động nào, mà chỉ đơn thuần là đề xuất.
Cho phép Các cụm từ "có thể" và "không cần" biểu thị một chu trình hành động được phép trong phạm vi tài liệu.
Khả năng Các cụm từ "có khả năng" và "không có khả năng" biểu thị khả năng một điều gì đó xảy ra.
Chủ sở hữu thuật ngữ
Chủ sở hữu thuật ngữ trong tiêu chuẩn ISO/IEC 27000 có vai trò quan trọng trong việc khởi tạo và duy trì định nghĩa thuật ngữ Họ không chỉ định nghĩa mà còn đảm bảo rằng các định nghĩa này được cập nhật và chính xác theo thời gian.
CHÚ THÍCH 1: TCVN ISO/IEC 27001:2009 không bao giờ được xác định như là chủ sở hữu thuật ngữ của chính nó.
TCVN ISO/IEC 27001:2009 và ISO/IEC 27006 là các tiêu chuẩn quan trọng, quy định các yêu cầu liên quan đến quản lý an toàn thông tin, và chúng luôn giữ vai trò chủ đạo trong lĩnh vực này.
Thuật ngữ được sắp xếp theo tiêu chuẩn
Kiểm toán (Audit) 2.5 Phép đo (Measurement) 2.48
Tính sẵn sàng (Availability) 2.9 Giám sát (Monitoring) 2.52
Năng lực (Competence) 2.11 Điểm không phù hợp (Nonconformity) 2.53
Tính bí mật (Confidentiality) 2.12 Mục tiêu (Objective) 2.56
Sự phù hợp (Conformity) 2.13 Tổ chức (Organization) 2.57
Cải thiện liên tục (continual improvement) 2.15 Thuê ngoài (outsource) 2.58
Kiểm soát (Control) 2.16 Hiệu năng (performance) 2.59
Khắc phục (Corrective) 2.18 Chính sách (Policy) 2.60
Hành động khắc phục (Corrective action) 2.19 Quy trình (Process) 2.61
Thông tin được lập tài liệu
(documented information) 2.23 Yêu cầu (Requirement) 2.63
Hiệu quả (Effectiveness) 2.24 Soát xét (Review) 2.65
(Information security) 2.33 Rủi ro (Risk) 2.68
Tính toàn vẹn (Integrity) 2.40 Chủ thể rủi ro (Risk owner) 2.78
Bên quan tân (Interested party) 2.41 Bộ phận quản lý cấp cao (Top management) 2.84
Kiểm soát truy cập (Access control) 2.1 Sự kiện an toàn thông tin
Tấn công (Attack) 2.3 Sự cố an toàn thông tin
Quản lý sự cố an toàn thông tin (Information security incident management )
Tính xác thực (Authenticity) 2.8 Hệ thống thông tin (Information system) 2.39 Mục tiêu kiểm soát (Control objective) 2.17 Chống chối bỏ (Non-repudiation) 2.54 Các phương tiện xử lý thông tin
(Information processing facilities) 2.32 Tính tin cậy (Reliability) 2.62 Tính liên tục an toàn thông tin
Dự án ISMS (ISMS project) 2.43
Mô hình phân tích (Analytical model) 2.2 Hàm đo lường (Measurement function) 2.49
Thuộc tính (Attribute) 2.4 Phương pháp đo lường
Số đo cơ bản (Base measure) 2.10 Kết quả đo (Measurement results) 2.51
Dữ liệu (Data) 2.20 Đối tượng (Object) 2.55
Tiêu chí quyết định (Decision criteria) 2.21 Thang giá trị (Scale) 2.80
Số đo dẫn xuất (Derived measure) 2.22 Đơn vị đo lường (Unit of measurement) 2.86
Chỉ báo (Indicator) 2.30 Sự công nhận (Validation) 2.87
Nhu cầu thông tin (Information need) 2.31 Sự xác minh (Verification) 2.88
Hậu quả (Consequence) 2.14 Tư vấn và truyền thông rủi ro
Sự kiện (Event) 2.25 Tiêu chí rủi ro (Risk criteria) 2.73
Ngữ cảnh bên ngoài (External context) 2.27 Ước lượng rủi ro (Risk evaluation) 2.74
Internal context plays a crucial role in risk identification, helping to assess the level of risk associated with various scenarios Understanding the likelihood of risks occurring is essential for effective risk management A structured risk management process ensures that potential risks are systematically identified, evaluated, and mitigated, ultimately enhancing organizational resilience.
Rủi ro tồn đọng (Residual risk) 2.64 Xử lý rủi ro (Risk treatment) 2.79
Chấp nhận rủi ro (Risk acceptance) 2.69 Mối đe dọa (Threat) 2.83
Phân tích rủi ro (Risk analysis) 2.70 Điểm yếu (Vulnerability) 2.89 Đánh giá rủi ro (Risk assessment) 2.71
Tổ chức chứng nhận (Certification body) Nhãn hiệu (Mark)
Tài liệu chứng nhận (Certification document) Tổ chức (organization)
Phạm vi kiểm toán (Audit scope) 2.6
B.2.8 ISO/IEC 27008 Đối tượng soát xét (Review object) 2.66 Chuẩn thực thi an toàn
(Security implementation standard) 2.81 Mục tiêu soát xét (Review objective) 2.67
Cộng đồng chia sẻ thông tin
(Information sharing community) 2.38 Thực thể thông tin truyền thông tin cậy
Kết hợp theo thứ tự (Collocation) Phương tiện viễn thông
(Telecommunications facilities) Trung tâm truyền thông
Tổ chức viễn thông (Telecommunications organizations)
Truyền thông cần thiết (Essential communications)
Bản ghi viễn thông (Telecommunication records)
Chống tiết lộ trong truyền thông (Non- disclosure of communications)
Dịch vụ viễn thông (Telecommunications services)
Thông tin cá nhân (Personal information)
Khách hàng dịch vụ viễn thông (Telecommunications service customer)
Cuộc gọi ưu tiên (Priority call) Người dùng dịch vụ viễn thông
(Telecommunications service user) Ứng dụng viễn thông
(Telecommunications applications) Phương tiện đầu cuối (Terminal facilities)
(Telecommunications business) Người dùng (User)
Phòng thiết bị viễn thông
Bộ phận quản lý thực thi (Exucutive management) 2.26 Cơ quan chủ quản (Governing body) 2.29
Quản trị an toàn thông tin
(Governance of information security) 2.28 Bên liên quan (Stakeholder) 2.82
Các dịch vụ tài chính (Financial services)
Tính toán giá trị tổn thât hàng năm
(Annulized Loss Expectancy (ALE)) Tổn thất (Loss)
Giá trị trực tiếp (Direct value) Giá trị thị trường (Market value)
Phép so sánh kinh tế (Economic comparison) Giá trị hiện tại thuần (Net present value)
Nhân tố kinh tế (Economic factor) Lợi nhuận phi kinh tế (Non economic benefit) Biện minh kinh tế (Economic justification) Giá trị hiện tại (Present value)
Giá trị kinh tế gia tăng (Economic value added) Chi phí cơ hội (Opportunity cost)
Kinh tế học (Economics) Giá trị cơ hội (Opportunity value)
Giá trị mong đợi (Expected value) Các yêu cầu điều tiết (Regulatory requirements)
Giá trị mở rộng (Extended value) Tỉ lệ hoàn vốn đầu tư (Return on investment) Giá trị gián tiếp (Indirect value) Giá trị xã hội (Societal value)
Kinh tế học an toàn thông tin
(Information security economics) Giá trị (Value)
Quản lý an toàn thông tin IMS
Quản trị rủi ro (value-at-risk)
Thư mục tài liệu tham khảo
[1] TCVN ISO/IEC 17021:2011, Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý.
[2] ISO 9000:2005, Quality management systems — Fundamentals and vocabulary.
[3] TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý.
[4] TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu.
[5] TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành cho hệ thống quản lý an toàn thông tin.
[6] TCVN 10541:2014, Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin.
[7] TCVN 10542:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường.
[8] TCVN 10295:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin.
[9] ISO/IEC 27006:2011, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems.
[10] ISO/IEC 27007:2011, Information technology — Security techniques — Guidelines for information security management systems auditing.
[11] ISO/IEC TR 27008:2011, Information technology — Security techniques Guidelines for auditors on information security controls.
[12] TCVN 10543:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành.
[13] ISO/IEC 27011:2008, Information technology —Securitytechniques —Information security management guidelines for telecommunications organisations based on ISO/IEC 27002.
[14] TCVN 9965:2013, Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1.
[15] ISO/IEC FDIS 27014, Information technology — Security techniques — Governance of informatio n security.
[16] ISO/IEC DTR 27015, Information technology — Security techniques — Information security management guidelines for financial services.
