Nghiên Cứu Xây Dựng Tiêu Chuẩn Việt Nam Về “Hướng Dẫn Các Biện Pháp An Toàn Thông Tin Cho Sử Dụng Dịch Vụ Điện Toán Đám Mây Dựa Trên IsoIec 27002”

BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAMTHUYẾT MINH TIÊU CHUẨN NGHIÊN CỨU XÂY DỰNG TIÊU CHUẨN VIỆT NAM VỀ “HƯỚNG DẪN CÁC BIỆN PHÁP AN TOÀN THÔNG TIN CHO

Trang 1

BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM

THUYẾT MINH TIÊU CHUẨN

NGHIÊN CỨU XÂY DỰNG TIÊU CHUẨN VIỆT NAM VỀ

“HƯỚNG DẪN CÁC BIỆN PHÁP AN TOÀN THÔNG TIN CHO SỬ DỤNG DỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY DỰA TRÊN ISO/IEC 27002”

Hà Nội, 11/2017

Trang 2

M C L C ỤC LỤC ỤC LỤC

Mở đầu 2

1 Tổng quan tình hình chuẩn hóa trong và ngoài nước về an toàn thông tin và các biện pháp an toàn thông tin cho dịch vụ điện toán đám mây 4

1.1.Khảo sát các tiêu chuẩn hóa về an toàn thông tin 4

1.1.1 Các tiêu chuẩn an toàn thông tin trên thế giới 4

1.1.2 Các tiêu chuẩn an toàn thông tin tại Việt Nam 11

1.2 Lý do xây dựng tiêu chuẩn Việt Nam về hướng dẫn các biện pháp an toàn thông tin cho sử dụng dịch vụ điện toán đám mây 16

1.3 Mục đích xây dựng tiêu chuẩn 18

2 Sở cứ xây dựng tiêu chuẩn 19

2.3 Phạm vi và khả năng áp dụng tiêu chuẩn tại Việt Nam 19

2.3.1 Phạm vi áp dụng 19

2.3.2 Khả năng áp dụng 20

3 Nội dung dự thảo tiêu chuẩn kỹ thuật 20

3.1 Giới thiệu ISO/IEC 27017:2015 20

3.2 Cấu trúc và nội dung dự thảo tiêu chuẩn 22

3.3 Bảng đối chiếu tiêu chuẩn viện dẫn 23

4 Kết luận 28

Trang 3

Mở đầu (1) Đặt vấn đề

Điện toán đám mây có thể được hiểu một cách đơn giản là mô hình sửdụng tài nguyên tính toán một cách “tập trung”, có khả năng thay đổi theo nhucầu, và tài nguyên như phần cứng, phần mềm, dữ liệu Thông qua kết nốiInternet, người dùng có thể truy cập tài nguyên như phần cứng, dữ liệu, phầnmềm của bất cứ nhà cung cấp nào trên “đám mây” tại mọi thời gian và địa điểm

Mô hình điện toán đám mây cung cấp khả năng truy cập hệ thống thông tin vớichi phí rẻ, tài nguyên theo nhu cầu, …

Hiện nay, Điện toán đám mây đang được coi là một trong những xuhướng chủ đạo đối với ngành công nghệ thông tin toàn cầu Các hoạt động liênquan đến điện toán đám mây đang diễn ra trong nhiều cơ quan chính phủ trênthế giới Tại nhiều nước, mô hình máy chủ ảo đã thực sự được quan tâm và ứngdụng hiệu quả Cộng đồng châu Âu, Uỷ ban châu Âu và một số nước thành viênđang triển khai các hoạt động để hướng tới việc xây dựng một cơ sở hạ tầngchung dựa trên mô hình điện toán đám mây cho các quốc gia thành viên Chínhphủ Nhật đang triển khai một sáng kiến lớn về điện toán đám mây, nhân rộng

“đám mây Kasumigaseki” Sáng kiến này nhằm phát triển một môi trường điệntoán đám mây riêng có thể host toàn bộ hệ thống tính toán của chính phủ NhậtBản Đám mây Kasumigaseki sẽ hỗ trợ sự chia sẻ thông tin và tài nguyên ở mức

độ cao hơn và khuyến khích hoạt động tiêu chuẩn hoá, tập trung hoá các tàinguyên CNTT của chính phủ

Điện toán đám mây đang có xu hướng phát triển nhanh, đây là được xem

là công nghệ, nền tảng quan trọng của Cuộc cách mạng công nghiệp 4.0 TạiViệt Nam, Điện toán đám mây đã xuất hiện từ năm 2009, và thị trường cung cấp

và sử dụng dịch vụ điện toán đám mây đang phát triển mạnh mẽ

Bên cạnh những lợi ích tiềm năng, đi kèm xu thế phát triển là không ítthách thức Các rào cản về kỹ thuật như chất lượng đường truyền kết nốiInternet, bảo mật thông tin, dữ liệu, tính riêng tư, quyền kiểm soát dữ liệu Sựthay đổi từ phương thức đầu tư sang chi thuê dịch vụ được xem là một trở ngại.Đặc biệt, vấn đề an toàn thông tin đối hoạt động cung cấp và sử dụng dịch vụ

Trang 4

điện toán đám mây là vấn đề quan trọng cần phải quan tâm nhằm giảm thiểu cácrủi ro, hiểm họa và nguy cơ mất an toàn thông tin.

Đồng thời, Việt Nam chưa có tiêu chuẩn nào về hướng dẫn các biệnpháp an toàn thông tin cho dịch vụ điện toán đám mây, cả về khía cạnh người sửdụng dịch vụ điện toán đám mây và nhà cung cấp dịch vụ điện toán đám mây

Do vậy, việc xây dựng tiêu chuẩn “hướng dẫn các biện pháp an toàn thông tincho dịch vụ điện toán đám mây dựa trên tiêu chuẩn ISO/IEC 27017:2015”nhằm hoàn thiện hệ thống các tiêu chuẩn về an toàn thông tin nói chung và antoàn cho dịch vụ điện toán đám mây tại Việt Nam là rất cần thiết; và là tiêuchuẩn, tài liệu quan trọng để các cơ quan, tổ chức và doanh nghiệp cung cấp và

sử dụng dịch vụ điện toán đám mây, cũng như các cơ quan, đơn vị quản lý nhànước về an toàn thông tin và ứng cứu sự cố tham khảo, áp dụng nhằm đảm bảohoạt động an toàn thông tin, ứng cứu sự cố

(2) Mục tiêu của việc xây dựng tiêu chuẩn:

Cung cấp các hướng dẫn để hỗ trợ thực hiện kiểm soát an toàn thông tin chocác đối tượng là cơ quan, tổ chức, doanh nghiệp và cá nhân cung cấp và sử dụngdịch vụ điện toán đám mây

Hoàn thiện Bộ tiêu chuẩn quốc gia (27xxx) về an toàn thông tin

(3) Tên dự thảo tiêu chuẩn quốc gia:

Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành cho các kiểm soát an toàn thông tin dựa trên ISO/IEC 27002 cho các dịch vụ đám mây

Information technology - Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services

Trang 5

1 Tổng quan tình hình chuẩn hóa trong và ngoài nước về an toàn thông tin và các biện pháp an toàn thông tin cho dịch vụ điện toán đám mây

1.1 Khảo sát các tiêu chuẩn hóa về an toàn thông tin

1.1.1 Các tiêu chuẩn an toàn thông tin trên thế giới

Trong những năm gần đây, các loại hình xâm nhập trái phép vào hệ thốngCNTT đã tăng cả về quy mô cũng như mức độ ảnh hưởng, tác động vào hệ thốngđích Hệ thống máy tính của các tổ chức thường xuyên phải đối phó với các cuộctấn công, xâm nhập trái phép, gây rò rỉ, mất mát thông tin, thậm chí dừng hoạtđộng, ảnh hưởng tiêu cực đến tiến độ, chất lượng công việc, kéo theo đó là các tổnthất về kinh tế, uy tín của tổ chức và thậm chí là ảnh hưởng tới an ninh quốc gia

Khi tổ chức có quy mô càng lớn, tính chất thông tin phức tạp, thì yêu cầu ápdụng các tiêu chuẩn, chính sách về an toàn thông tin một cách chi tiết, rõ ràng sẽ làmột trong những yếu tố quyết định đến việc đảm bảo ATTT được ổn định và bềnvững

Việc chuẩn hóa công tác đảm bảo an toàn thông tin là việc thực hiện đồngthời giữa chuẩn hóa các yếu tố liên quan đến con người; quy trình và công nghệ.Trong đó, yếu tố con người liên quan đến các vấn đề về nhận thức an toàn thôngtin, sự tuân thủ theo các văn bản pháp lý của tổ chức; chuẩn hóa về quy trình làviệc xây dựng, áp dụng và kiểm soát về hành lang pháp lý như hệ thống luật,chính sách, quy định về an toàn thông tin Còn chuẩn hóa về công nghệ là cácyêu cầu về thông số kỹ thuật, yêu cầu năng lực hệ thống hay các trang thiết bị kỹthuật

Một trong những giải pháp toàn diện mang lại hiệu quả cao, giảm thiểu rủi

ro gây mất an toàn thông tin được các quốc gia trên thế giới thực hiện đó là việcchuẩn hóa công tác đảm bảo an toàn thông tin theo các tiêu chuẩn quốc tế về Hệthống quản lý an toàn thông tin như tiêu chuẩn ISO 27xxx

Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựngmới các tiêu chuẩn về công nghệ thông tin - các kỹ thuật an toàn thông tin Trongcác tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có

bộ tiêu chuẩn ISO/IEC 27xxx Bộ tiêu chuẩn 27000 là một phần của hệ thống quản

lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong

Trang 6

hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiếnđảm bảo an toàn thông tin của tổ chức.

Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình để thiết lập, thựchiện, điều hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toànthông tin (ISMS) Bộ tiêu chuẩn ISO/IEC 27000 được soạn thảo bởi ủy ban kỹthuật chung ISO/IEC JTC 1, công nghệ thông tin, tiểu ban SC 27, các kỹ thuật

an toàn thông tin ISMS được thiết kế nhằm đảm bảo rằng sự lựa chọn cácphương pháp kiểm soát an toàn thỏa đáng và phù hợp nhằm bảo vệ các tài sảnthông tin và tạo niềm tin cho các bên quan tâm

Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá được cái rủi ro,xây dựng các biện pháp và tạo ý thức, trách nhiệm của nhân viên trong việc bảo

vệ thông tin của tổ chức

Bộ tiêu chuẩn này có thể áp dụng cho tất cả các loại hinh tổ chức (như cácdoanh nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận) Tiêu chuẩn nàyxác định các yêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét duy trì

và cải tiến ISMS dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việccủa tổ chức Xác định rõ các yêu cầu thực hiện kiểm soát an toàn tùy biến chophù hợp với từng tổ chức hay các bộ phận riêng rẽ

Bộ tiêu chuẩn ISO/IEC 27000 bao gồm các tiêu chuẩn sau :

(1) ISO/IEC 27000 – ISMS Tổng quát và từ vựng;

(2) ISO/IEC 27001 – ISMS yêu cầu;

(3) ISO/IEC 27002 –Chuẩn mực thực hiện ISM;

(4) ISO/IEC 27003 – Hướng dẫn triển khai ISMS;

(5) ISO/IEC 27004 – Đo lường ISM;

(6) ISO/IEC 27005 – Quản lý rủi ro IS;

(7) ISO/IEC 27006 – Yêu cầu về tổ chức đánh giá và chứng nhận ISMS;(8) ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông;

(9) ISO 27799 – ISM trong y tế sử dụng ISO/IEC 27002;

(10) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS;

Trang 7

(11) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá về ISMScontrols;

(12) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1

và ISO/IEC 27001;

(13) ISO/IEC 27014 – Khung quản lý IS;

(14) ISO/IEC 27015 – Hướng dẫn ISM cho tài chính và bảo hiểm;

(15) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM;(16) ISO/IEC 27032 – Hướng dẫn cybersecurity;

(17) ISO/IEC 27033 – IT network security;

(18) ISO/IEC 27034 – Hướng dẫn application security;

(19) ISO/IEC 27035 – Quản lý security incident;

(20) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng trong outsourcing;(21) ISO/IEC 27037 – Hướng dẫn xác định, thu thập hoặc thu nhận vàbảo quản các bằng chứng số

Lợi ích của việc áp dụng bộ tiêu chuẩn ISO/IEC 27xxx:

 Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ

 Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu

 Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng

 Giảm thiểu rủi ro gặp phải

 Nhanh chóng khắc phục các sự cố xảy ra

 Giảm giá thành và các chi phí bảo hiểm

 Nâng cao nhận thức và trách nhiệm của nhân viên về an toàn thôngtin

Cấu trúc của bộ tiêu chuẩn ISO 27000:

Hình 1 dưới đây mô tả mối quan hệ giữa các tiêu chuẩn trong họ ISO27000

Trang 8

Hình 1 Mối quan hệ giữa các tiêu chuẩn trong họ ISO/IEC 27000

Các tiêu chuẩn về an toàn thông tin thuộc họ 27000 dưới đây đã được công

bố hoặc đang dự thảo

Bảng 1 Bảng danh mục các tiêu chuẩn đã được công bố và đang dự thảo

ISO/IEC 27000 2016 Hệ thống quản lý an toàn thông tin (ISMS)

-Tổng quan và từ vựngISO/IEC 27001 2013 ISMS- Các yêu cầu

ISO/IEC 27002 2013 Quy tắc thực hành quản lý an toàn thông tinISO/IEC 27003 2017 ISMS- Hướng dẫn triển khai

ISO/IEC 27004 2016 Quản lý an toàn thông tin- Đo lường

ISO/IEC 27005 2011 Quản lý rủi ro an toàn thông tin

ISO/IEC 27006 2015 Yêu cầu các tổ chức

ISO/IEC 27007 2011 Hướng dẫn đánh giá hệ thống quản lý an toàn

thông tinISO/IEC TR 2011 Hướng dẫn chuyên gia đánh giá kiểm soát hệ

Trang 9

27008 thống an toàn thông tin

ISO/IEC 27009 2016 Ứng dụng ngành cụ thể của ISO/IEC

27001-Các yêu cầu

ISO/IEC 27010 2015 Quản lý an toàn thông tin cho truyền thông

liên ngành và liên tổ chức

ISO/IEC 27011 2016 Hướng dẫn quản lý an toàn thông tin cho các

tổ chức viễn thông dựa trên tiêu chuẩnISO/IEC 27002

ISO/IEC 27013 2015 Hướng dẫn thực hiện tích hợp ISO/IEC

27001 và ISO/IEC 20000-1ISO/IEC 27014 2013 Quản trị an toàn thông tin

ISO/IEC 27017 2015 Quy tắc thực hành kiểm soát an toàn thông

tin cho các dịch vụ điện toán đám mây dựatrên ISO 27002

ISO/IEC 27018 2014 Quy tắc thực hành để kiểm soát, bảo vệ thông

tin định danh cá nhân xử lý trong các dịch vụđiện toán đám mây

ISO/IEC TR

27019

2013 Hướng dẫn quản lý an toàn thông tin dựa trên

ISO/IEC 27002 cho các hệ thống kiểm soátquy trình đặc trưng trong ngành công nghiệpnăng lượng

ISO/IEC 27021 Draft Yêu cầu năng lực cho chuyên gia quản lý an

toàn thông tin

ISO/IEC 27023 2015 Ánh xạ các ấn bản đã sửa đổi cho ISO/IEC

27001 và ISO 27002ISO/IEC 27031 2011 Hướng dẫn công nghệ thông tin và truyền

Trang 10

thông cho tính liên tục nghiệp vụISO/IEC 27032 2012 Hướng dẫn về an toàn không gian mạng

ISO/IEC 27033

-1 2015 Khái niệm và tổng quan an toàn mạng

-2 2012 Hướng dẫn thiết kế và triển khai an toàn

mạng

-3 2010 Các kịch bản kết nối mạng tham chiếu- Nguy

cơ, kỹ thuật thiết kế và các vấn đề kiểm soát

-4 2014 Bảo mật truyền thông giữa các mạng sử dụng

cổng an toàn

-5 2013 Bảo mật truyền thông trên mạng sử dụng

VPN (mạng riêng ảo)-6 2016 Bảo vệ truy cập mạng không giây

-7 Dự thảo Khung dự báo đảm bảo an toàn ứng dụngISO/IEC 27035 -1 2016 ISMS- Quy tắc quản lý sự cố an toàn thông tin

-2 2016 Hướng dẫn lập kế hoạch và chuẩn bị ứng

cứu sự cố

-3 Hướng dẫn cho các hoạt động ứng cứu sự cố

ICT (công nghệ thông tin và truyền thông)

ISO/IEC 27036 -1 2014 An toàn thông tin cho mối quan hệ cung ứng

- Tổng quan và khái niệm

-2 2014 Yêu cầu chung

Trang 11

-3 2013 Hướng dẫn an toàn chuỗi cung ứng ICT

-4 2013 Hướng dẫn an toàn thông tin cho dịch vụ điện

toán đám mây

ISO/IEC 27037 2012 Hướng dẫn xác định, thu thập, sao chép và

bảo quản các bằng chứng sốISO/IEC 27038 2014 Chỉ dẫn kỹ thuật biên soạn kỹ thuật số

ISO/IEC 27039 2015 Lựa chọn, triển khai và vận hành IPDS

ISO/IEC 27040 2015 An toàn lưu trữ

ISO/IEC 27041 2015 Hướng dẫn đảm bảo tính phù hợp và đầy đủ

của phương pháp điều tra số

ISO/IEC 27042 2015 Hướng dẫn phân tích và diễn dịch bằng

chứng sốISO/IEC 27043 2015 Quy trình và nguyên tắc điều tra số

ISO/IEC 27050

-1 2016 Phát hiện điện tử- Tổng quan và khái niệm

-2 Dự thảo Hướng dẫn quản trị và quản lý phát hiện điện

tử-3 Dự thảo Quy tắc thực hành cho phát hiện điện tửISO/IEC 27103 Dự thảo An toàn không gian mạng

ISO/IEC 27799 2016 Thông tin sức khỏe- Quản lý an toàn thông

tin trong lĩnh vực y tế sử dụng ISO/IEC27002

Việc áp dụng bộ tiêu chuẩn ISO/IEC 27xxx, hiện nay có 4 nước dẫn đầu

về số lượng chứng chỉ ISO/IEC 27001 được cấp (trên 1000 chứng chỉ) là Nhật,Anh, Ấn độ, Trung Quốc Tuy nhiên việc áp dụng bộ tiêu chuẩn này trên thực tếgặp nhiều khó khăn, đặc biệt là chưa có quy định cụ thể về việc lựa chọn cácbiện pháp quản lý; các tiêu chuẩn hướng dẫn về biện pháp bảo vệ cũng cònmang tính phương pháp luận và chưa cụ thể Một số nước (như Mỹ, TrungQuốc) đã xây dựng các bộ tiêu chuẩn riêng để áp dụng cho quản lý an toàn hệthống thông tin Các tiêu chuẩn này có ưu điểm: cụ thể hóa và dễ triển khai, áp

Trang 12

dụng Tuy nhiên các hệ thống thông tin quan trọng (như các trung tâm dữ liệu)vẫn được triển khai trên cơ sở ISO/IEC 27xxx dưới dạng lấy chứng chỉ, trongquá trình triển khai có tham khảo các yêu cầu hay hướng dẫn cụ thể trong cáctiêu chuẩn riêng của nước này.

1.1.2 Các tiêu chuẩn an toàn thông tin tại Việt Nam

Hiện nay ở Việt Nam đã có nhiều cơ quan tổ chức thực hiện áp dụng cáctiêu chuẩn về an toàn thông tin (bộ tiêu chuẩn về quản lý an toàn thông tinISO/IEC 27000, tiêu chuẩn về đánh giá an toàn thông tin TCVN 8709:2011(ISO/IEC 15408) để xây dựng quy chế đảm bảo an toàn, an ninh thông tin tronghoạt động ứng dụng công nghệ thông tin

Tổ chức ISO thế giới có trên 100 chuẩn về an toàn thông tin, trong khi sốtiêu chuẩn của Việt Nam ban hành còn hạn chế Việc thiếu các tiêu chuẩn nàydẫn đến việc người sử dụng, nhà phát triển và các tổ chức kiểm định chưa có cơ

sở để thực hiện đánh giá về độ an toàn của sản phẩm và hệ thống công nghệthông tin Trước tình hình này, việc xây dựng các tiêu chí thống nhất để đánh giá

an toàn cho các sản phẩm và hệ thống công nghệ thông tin là rất cần thiết

Trong những năm gần đây Bộ Thông tin và Truyền thông đã có nhiềubiện pháp nhằm đẩy mạnh các hoạt động nghiên cứu xây dựng và ban hành cáctiêu chuẩn về an toàn thông tin như dự án xây dựng 31 tiêu chuẩn về an toànthông tin dưới dạng đề tài nghiên cứu khoa học năm 2014, hay hằng năm vẫngiao cho một số đơn vị trong Bộ thực hiện nghiên cứu xây dựng các tiêu chuẩnnhư: Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Cục An toàn thông tin,Học viện Công nghệ Bưu chính Viễn thông… Trong năm 2017, Bộ Thông tin vàTruyền thông cũng giao một số nhiệm vụ cho các đơn vị thực hiện xây dựng cáctiêu chuẩn về kỹ thuật an toàn thông tin trong dự án “Nâng cao năng suất chấtlượng sản phẩm hàng hóa nghành Thông tin và Truyền thông”

Bên cạnh đó Luật An toàn thông tin mạng 2015, có hiệu lực ngày01/7/2016 cũng quy định, định hướng tiêu chuẩn hóa về an toàn thông tin (thựchiện quản lý an toàn thông tin theo cấp độ, áp dụng các biện pháp quản lý và kỹthuật)

Trang 13

Hiện nay Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin theo tiêuchuẩn ISO/IEC 27xxx đã xây dựng, đã công bố 16 TCVN và đang hoàn thiện 02

dự thảo đang hoàn thiện TCVN trên tổng số 36 tiêu chuẩn trong họ này theobảng dưới đây:

Bảng 2 Bảng các tiêu chuẩn đã được công bố làm tiêu chuẩn quốc gia

STT Tên tiêu chuẩn Tài liệu tham

TCVN11238:2015

2 Công nghệ thông tin - Hệ

thống quản lý an toàn

thông tin - Các yêu cầu

ISO/IEC27001:2005

TCVNISO/IEC27001:2009

Chuẩn bịCập nhậtphiên bảnISO/IEC27001:2013

3 Công nghệ thông tin - Các

kỹ thuật an toàn - Yêu cầu

đối với tổ chức đánh giá

và chứng nhận hệ thống

quản lý an toàn thông tin

ISO/IEC27006:2015

(chờ côngbố)

kỹ thuật an toàn - Quy tắc

thực hành quản lý an toàn

thông tin

ISO/IEC27002:2005

Chuẩn bịcập nhậtphiên bảnISO/IEC27002:2013

kỹ thuật an toàn - Hướng

dẫn triển khai hệ thống

ISO/IEC27003:2010

TCVN10541:2014

6 Công nghệ thông tin - Các ISO/IEC TCVN

Trang 14

kỹ thuật an toàn - Quản lý

an toàn thông tin - Đo

lường

27004:2009 10542:2014

rủi ro an toàn thông tin

ISO/IEC27005:2011

TCVN10295:2014

dẫn kiểm toán hệ thống

ISO/IEC27007

TCVN11779:2017

Hoàn thiện

dự thảo chờcông bố

9 Hướng dẫn kiểm toán các

biện pháp kiểm soát ISMS

ISO/IEC TR

27008 :2011

Dự thảo Đang lấy ý

kiến góp ý

an toàn trao đổi thông tin

liên tổ chức, liên ngành

ISO/IEC27010:2012

TCVN10543:2014

dẫn quản lý an toàn thông

tin cho dịch vụ tài chính

ISO/IEC27015:2012

Chờ côngbố

12 Công nghệ thông tin –

Các kỹ thuật an toàn

-Quy tắc thực hành cho các

kiểm soát an toàn thông

tin dựa trên ISO/IEC

27002 cho các dịch vụ

đám mây

ISO/IEC27017:2015

Đang dựthảo

dẫn đảm bảo sự sẵn sàng

về công nghệ thông tin và

truyền thông cho tính liên

ISO/IEC27031:2011

Chờ côngbố

Định dạng
Số trang	29
Dung lượng	437 KB