THUYẾT MINH DỰ THẢO TIÊU CHUẨN VIỆT NAM CÔNG NGHỆ THÔNG TIN – KỸ THUẬT AN TOÀN – HƯỚNG DẪN THỰC HIỆN BẢO ĐẢM AN TOÀN HỆ THỐNG THÔNG TIN

TÊN GỌI VÀ KÝ HIỆU TIÊU CHUẨN

Tên tiêu chuẩn: “Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn thực hiện bảo đảm an toàn hệ thống thông tin”

Ký hiệu tiêu chuẩn: TCVN xxx:2018

NGHIÊN CỨU TỔNG QUAN

Nguyên tắc xây dựng tiêu chuẩn

Xây dựng tiêu chuẩn là một quá trình đầu tư quan trọng về thời gian và kinh phí Do đó, việc lựa chọn và xây dựng các tiêu chuẩn cần thiết cần được cân nhắc kỹ lưỡng, nhằm đảm bảo nội dung đáp ứng rộng rãi các yêu cầu sử dụng trong từng lĩnh vực hoặc nhóm đối tượng tiêu chuẩn hóa.

Nội dung tiêu chuẩn cần thúc đẩy ý tưởng và sự phát triển, khuyến khích sáng kiến và cải tiến mà không cản trở hoạt động thiết kế và sáng tạo Do đó, các tiêu chuẩn chỉ nên quy định những đặc điểm cơ bản và yêu cầu thiết yếu, trong khi các yêu cầu chi tiết sẽ được thể hiện qua tính năng kỹ thuật và đặc điểm riêng biệt cho từng đối tượng, sản phẩm hoặc khía cạnh cụ thể mà tiêu chuẩn đề cập.

Tiêu chuẩn cần được xây dựng dựa trên nhu cầu sử dụng thực tế và phải có tính lặp đi lặp lại ở nhiều địa điểm khác nhau Do một tiêu chuẩn có thể liên quan đến nhiều đối tác khác nhau, việc bàn bạc và thỏa thuận giữa các bên là rất quan trọng Đặc biệt, nội dung của các tiêu chuẩn kỹ thuật cần được xem xét cẩn thận để đảm bảo tính khả thi và khả năng áp dụng đồng bộ trong thực tế.

Tiêu chuẩn cần được cập nhật định kỳ để phản ánh những thành tựu và kinh nghiệm mới nhất, đồng thời đảm bảo tính khả thi trong thực tiễn Việc xem xét lại các tiêu chuẩn sau một khoảng thời gian nhất định là rất quan trọng để duy trì sự phù hợp và hiệu quả.

Các văn bản Luật và Nghị định

Điều 21 của Luật an toàn thông tin mạng quy định hệ thống thông tin được phân loại theo cấp độ an toàn như sau: a) Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp pháp của tổ chức, cá nhân nhưng không làm tổn hại tới lợi ích công cộng, trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; b) Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền và lợi ích hợp pháp của tổ chức, các nhân hoặc làm tổn hại tới lợi ích công cộng nhưng không làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia; c) Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản xuất, lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an ninh quốc gia; d) Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội hoặc làm tổn hịa nghiêm trọng tới quốc phòng, an ninh quốc gia; e) Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng tới quốc phòng, an ninh quốc gia.

Nghị định 85 quy định chi tiết các tiêu chí, thẩm quyền, trình tự và thủ tục xác định cấp độ an toàn hệ thống thông tin Nghị định này cũng nêu rõ trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ, áp dụng cho các cơ quan, tổ chức và cá nhân có liên quan đến việc xây dựng, thiết lập, quản lý, vận hành, nâng cấp và mở rộng hệ thống thông tin tại Việt Nam.

Nghị định 85 quy định tiêu chí xác định cấp độ cho từng hệ thống thông tin Đơn vị vận hành hoặc chủ đầu tư dự án phải lập hồ sơ đề xuất cấp độ Thẩm quyền thẩm định và phê duyệt cấp độ thuộc về đơn vị chuyên trách về an toàn thông tin, chủ quản hệ thống thông tin, Bộ Thông tin và Truyền thông, Bộ Quốc phòng, Bộ Công An, hoặc Thủ tướng Chính phủ, tùy thuộc vào cấp độ của hệ thống thông tin.

Nghị định quy định rõ vai trò và trách nhiệm của các bên liên quan trong việc đảm bảo an toàn cho hệ thống thông tin Điều này bao gồm chủ quản hệ thống thông tin, đơn vị chuyên trách về an toàn thông tin của chủ quản, đơn vị vận hành hệ thống và các cơ quan quản lý nhà nước.

Tiêu chuẩn quốc tế

An toàn thông tin đang trở thành vấn đề cấp bách toàn cầu, với sự gia tăng đáng kể các sự cố mạng và tấn công vào hệ thống công nghệ thông tin trong các lĩnh vực như ngân hàng, tài chính, thương mại và cơ quan chính phủ Để đối phó với tình hình này, các quốc gia trên thế giới không chỉ liên tục cải tiến công nghệ bảo mật mà còn đặc biệt chú trọng đến việc áp dụng các hệ thống tiêu chuẩn an toàn thông tin.

Hàng năm, các tổ chức tiêu chuẩn quốc tế liên tục cập nhật và phát triển các tiêu chuẩn an toàn thông tin, trong đó nổi bật là bộ tiêu chuẩn ISO/IEC 2700x liên quan đến quản lý an toàn thông tin Ngoài các tiêu chuẩn quản lý, việc đánh giá an toàn thông tin cũng nhận được sự quan tâm lớn từ các tổ chức tiêu chuẩn toàn cầu.

Tiêu chuẩn ISO/IEC 2700x về quản lý an toàn thông tin cung cấp hướng dẫn chi tiết và giải quyết các vấn đề liên quan đến hệ thống quản lý an toàn thông tin.

• ISO/IEC 27000:2009 - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng

• ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu

• ISO/IEC 27002:2005 - Quy tắc thực hành quản lý an toàn thông tin

• ISO/IEC 27003:2010 - Hướng dẫn thực thi hệ thống quản lý an toàn thông tin

• ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lường

• ISO/IEC 27005:2011 - Quản lý rủi ro an toàn thông tin

Tiêu chuẩn liên quan về đánh giá an toàn thông tin có:

Bộ tiêu chuẩn ISO/IEC 15408:2009 thiết lập các yêu cầu an toàn cho sản phẩm và hệ thống công nghệ thông tin, đồng thời đưa ra các biện pháp đảm bảo việc áp dụng các yêu cầu này trong quá trình đánh giá an toàn Tiêu chuẩn này được chia thành 3 phần.

 ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung

ISO/IEC 15408-2:2009 là tiêu chuẩn quan trọng trong lĩnh vực công nghệ thông tin, tập trung vào các kỹ thuật an toàn và tiêu chí đánh giá cho an toàn công nghệ thông tin Phần 2 của tiêu chuẩn này đề cập đến các thành phần chức năng an toàn, cung cấp hướng dẫn chi tiết để đảm bảo rằng các sản phẩm và hệ thống công nghệ thông tin đáp ứng các yêu cầu an ninh cần thiết Tiêu chuẩn này đóng vai trò thiết yếu trong việc đánh giá và cải thiện tính an toàn của các giải pháp công nghệ hiện nay.

ISO/IEC 15408-3:2008 là tiêu chuẩn quốc tế trong lĩnh vực công nghệ thông tin, tập trung vào các kỹ thuật an toàn và tiêu chí đánh giá cho an toàn công nghệ thông tin Phần 3 của tiêu chuẩn này đề cập đến các thành phần đảm bảo an toàn, cung cấp hướng dẫn chi tiết về cách đánh giá và xác thực tính an toàn của hệ thống công nghệ thông tin Tiêu chuẩn này đóng vai trò quan trọng trong việc thiết lập các tiêu chí đáng tin cậy cho việc bảo mật thông tin trong môi trường công nghệ ngày nay.

Tiêu chuẩn ISO/IEC 18045:2008 quy định các kỹ thuật an toàn trong công nghệ thông tin, đặc biệt là phương pháp ước lượng an toàn Tiêu chuẩn này được áp dụng kết hợp với các tiêu chí đánh giá an toàn trong bộ tiêu chuẩn ISO/IEC 15408, nhằm đảm bảo tính bảo mật và an toàn cho các hệ thống công nghệ thông tin.

Bộ tiêu chuẩn ISO/IEC TR 19791:2010 cung cấp hướng dẫn và tiêu chí để ước lượng an toàn cho các hệ thống hoạt động trong lĩnh vực công nghệ thông tin Tiêu chuẩn này mở rộng từ ISO/IEC 15408 và đề cập đến các khía cạnh quan trọng trong hệ thống hoạt động mà tiêu chuẩn ISO/IEC 15408 chưa đề cập.

Bộ tiêu chuẩn ISO/IEC TR 15443:2012 quy định các khái niệm và tiêu chí để so sánh và phân tích các phương pháp đánh giá sự phù hợp nhằm đảm bảo an toàn Tiêu chuẩn này được chia thành hai phần.

 ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung đảm bảo an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm

 ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung đảm bảo an toàn công nghệ thông tin - Phần 2: Các phân tích

Ngoài ra còn rất nhiều các tiêu chuẩn khác, tham khảo tại website:http://www.iso.org/

Tiêu chuẩn Mỹ

Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ ban hành hệ thống tiêu chuẩn SP

800 về an toàn máy tính [6].

SP 800-30 cung cấp hướng dẫn chi tiết về việc đánh giá rủi ro của hệ thống thông tin thông qua 9 bước Quy trình này bao gồm việc phân tích hiện trạng của hệ thống, trong đó có mô tả hệ thống, lịch sử tấn công, các lỗ hổng bảo mật hiện có và các biện pháp an toàn đang được áp dụng Từ những thông tin này, người đánh giá có thể xác định và đánh giá mức độ rủi ro, cũng như tác động của chúng đến hệ thống, đồng thời đề xuất các giải pháp hiệu quả để giảm thiểu rủi ro.

SP 800-53 cung cấp các giải pháp an toàn và bảo mật cho hệ thống thông tin của chính phủ và các tổ chức khác, đồng thời hướng dẫn quy trình lựa chọn các biện pháp bảo vệ phù hợp Tiêu chuẩn này đáp ứng yêu cầu an toàn và bảo mật đa dạng của các tổ chức, đồng thời mô tả cách phát triển nhóm giải pháp (overlays) theo yêu cầu cụ thể Các giải pháp được trình bày từ cả góc độ chức năng (các cơ chế và chức năng an toàn) lẫn góc độ đảm bảo an toàn (đánh giá và kiểm tra mức độ an toàn).

Tiêu chuẩn Việt Nam

Trong những năm gần đây, Việt Nam đã chú trọng phát triển hệ thống tiêu chuẩn an toàn thông tin, bắt đầu từ việc xây dựng các tiêu chuẩn về từ vựng, khái niệm và kỹ thuật mật mã Gần đây, trọng tâm đã chuyển sang hệ thống quản lý và đánh giá an toàn thông tin Đặc biệt, bộ tiêu chuẩn ISO/IEC 27000 đã được dịch sang tiếng Việt, trong đó tiêu chuẩn TCVN 10541:2014 là bản dịch của tiêu chuẩn ISO/IEC 27003-2010, hướng dẫn triển khai hệ thống quản lý an toàn thông tin.

Sau khi Nghị định 85 có hiệu lực từ ngày 01/07/2016, Bộ Thông tin và Truyền thông đang tiến hành xây dựng các tiêu chuẩn liên quan, đặc biệt là tiêu chuẩn về “Yêu cầu an toàn cơ bản cho các cấp độ an toàn hệ thống thông tin”.

Tài liệu này mô tả các yêu cầu cơ bản để bảo vệ hệ thống thông tin theo từng cấp độ an toàn Nó phân chia các yêu cầu thành hai nhóm chính: yêu cầu kỹ thuật và yêu cầu quản lý Hiện tại, tài liệu đang trong quá trình xây dựng và rà soát để trở thành dự thảo tiêu chuẩn quốc gia.

Tài liệu này trình bày các biện pháp bảo đảm an toàn cho hệ thống thông tin theo cấp độ, phù hợp với các yêu cầu trong Tài liệu mô tả yêu cầu bảo vệ hệ thống thông tin Hiện tại, tài liệu đang trong quá trình xây dựng và rà soát nhằm trở thành dự thảo tiêu chuẩn quốc gia.

Tài liệu này mô tả các yêu cầu kiểm tra và đánh giá cấp độ, nhằm xác định các biện pháp bảo đảm an toàn thông tin tương ứng với các yêu cầu trong tài liệu về bảo vệ hệ thống thông tin Hiện tại, tài liệu vẫn đang trong quá trình xây dựng và rà soát để trở thành dự thảo tiêu chuẩn quốc gia.

Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo) cung cấp chỉ dẫn chi tiết về cách thực hiện kiểm tra đánh giá cấp độ Hiện tại, tài liệu này đang trong quá trình xây dựng và rà soát để trở thành dự thảo tiêu chuẩn quốc gia.

Các tiêu chuẩn an toàn thông tin mà nhóm thực hiện đề tài đang phát triển có mối liên hệ chặt chẽ với nhau Mặc dù các tiêu chuẩn này vẫn đang trong quá trình xây dựng, nhóm chúng tôi thường xuyên trao đổi thông tin với nhóm phát triển để đảm bảo sự đồng nhất và cập nhật.

Một số tiêu chuẩn Việt Nam đã được ban hành (sắp xếp thứ tự theo năm ban hành):

• TCVN 7326-1:2003 Thiết bị công nghệ thông tin An toàn Phần 1: Yêu cầu chung (IEC 60950-1:2001)

• TCVN 7563-8:2005 Công nghệ thông tin Từ vựng Phần 8: An toàn (ISO/IEC

• TCVN 7562:2005 Công nghệ thông tin Mã thực hành quản lý an toàn thông tin (ISO/IEC 17799:2000)

• TCVN 7635:2007 Kỹ thuật mã hoá, Chữ ký số

TCVN 7816:2007 quy định về công nghệ thông tin và kỹ thuật mật mã cho thuật toán mã dữ liệu AES, trong khi TCVN 7818-2:2007 đề cập đến kỹ thuật mật mã dịch vụ tem thời gian, cụ thể là cơ chế token độc lập theo tiêu chuẩn ISO/IEC 18014-2:2002.

• TCVN 7817-3:2007 Công nghệ thông tin Kỹ thuật mật mã quản lý khoá Phần

3: Các cơ chế sử dụng kỹ thuật không đối xứng (ISO/IEC 11770-3:1999)

• TCVN 7817-1:2007 Công nghệ thông tin Kỹ thuật mật mã quản lý khoá Phần

1: Khung tổng quát (ISO/IEC 11770-1:1996)

• TCVN 7818-1:2007 Công nghệ thông tin Kỹ thuật mật mã dịch vụ tem thời gian Phần 1: Khung tổng quát (ISO/IEC 18014-1:2002)

• TCVN 7563-14:2009 Công nghệ thông tin Từ vựng Phần 14: Độ tin cậy, khả năng duy trì, tính sẵn có (ISO/IEC 2382-14:1997)

• TCVN 8051-1:2009 Công nghệ thông tin Kỹ thuật an toàn An toàn mạng công nghệ thông tin Phần 1: Quản lý an toàn mạng (ISO/IEC 18028-1:2008)

• TCVN ISO/IEC 27001:2009 Công nghệ thông tin Hệ thống quản lý an toàn thông tin Các yêu cầu (ISO/IEC 27001:2005)

• TCVN 8051-2:2009 Công nghệ thông tin Kỹ thuật an toàn An toàn mạng công nghệ thông tin Phần 2: Kiến trúc an toàn mạng (ISO/IEC 18028-2:2006)

• TCVN 7818-3:2010 Công nghệ thông tin Kỹ thuật an toàn Dịch vụ tem thời gian Phần 3: Cơ chế tạo thẻ liên kết (ISO/IEC 18014-3:2009)

• TCVN 7817-4:2010 Công nghệ thông tin Kỹ thuật an toàn quản lý khoá Phần

4: Cơ chế dựa trên bí mật yếu (ISO/IEC 11770-4:2006)

• TCVN 7817-2:2010 Công nghệ thông tin Kỹ thuật an toàn quản lý khoá Phần

2: Cơ chế sử dụng kỹ thuật đối xứng (ISO/IEC 11770-2:2008)

• TCVN ISO/IEC 27002:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002:2005)

• TCVN 8709-1:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình tổng quát

TCVN 8709-2:2011 quy định các tiêu chí đánh giá an toàn trong công nghệ thông tin, tập trung vào các thành phần chức năng an toàn Tiêu chuẩn này, tương đương với ISO/IEC 15408-2:2008, cung cấp hướng dẫn chi tiết về các kỹ thuật an toàn cần thiết để bảo vệ hệ thống thông tin Việc áp dụng các tiêu chuẩn này giúp nâng cao mức độ bảo mật và độ tin cậy của các sản phẩm công nghệ thông tin.

• TCVN 8709-3:2011 Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn

• TCVN 9801-1:2013 Công nghệ thông tin Kỹ thuật an toàn an toàn mạng Phần

1: tổng quan và khái niệm

• TCVN 9965:2013 Công nghệ thông tin Kỹ thuật an toàn Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1

• TCVN 9801-1:2013 Công nghệ thông tin - Các kỹ thuật an toàn - An toàn mạng - Phần 1: Tổng quan và khái niệm (ISO/IEC 27033-1:2009)

• TCVN Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu

• TCVN Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Quy tắc thực hành quản lý an toàn thông tin (ISO-IEC 27002-2005)

• TCVN 10541:2014 Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an toàn thông tin (ISO-IEC 27003-2010)

• TCVN 10542:2014 Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý an toàn thông tin – Đo lường (ISO-IEC 27004-2009)

• TCVN 10295:2014 Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin (ISO-IEC 27005-2011)

GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO/IEC 27000

Bộ tiêu chuẩn ISO/IEC 27000

Bộ tiêu chuẩn an toàn thông tin ISO/IEC 27000 được xây dựng bởi Tổ chức tiêu chuẩn hóa quốc tế (ISO) và Ủy ban kỹ thuật điện quốc tế (IEC) Hệ thống tiêu chuẩn này bao gồm nhiều tiêu chuẩn, hiện tại đã hoàn thành 14 tiêu chuẩn, trong đó có những tiêu chuẩn liên quan trực tiếp đến nội dung nghiên cứu của đề tài.

ISO/IEC 27000:2016 cung cấp cái nhìn tổng quan về hệ thống quản lý an toàn thông tin (ISMS) cùng với các khái niệm và định nghĩa quan trọng liên quan Tiêu chuẩn này phù hợp với mọi loại hình và quy mô tổ chức, bao gồm doanh nghiệp, cơ quan chính phủ và tổ chức phi chính phủ.

ISO/IEC 27001 là tiêu chuẩn quốc tế quy định các yêu cầu cho Hệ thống quản lý an toàn thông tin (ISMS) Mục tiêu chính của tiêu chuẩn này là thiết lập các tiêu chuẩn nhằm xây dựng, triển khai, duy trì và cải tiến liên tục ISMS Phiên bản ISO/IEC 27001:2013 bao gồm các nội dung quan trọng như giới thiệu về tổ chức, lãnh đạo an toàn thông tin, lập kế hoạch, hỗ trợ, vận hành, đánh giá và cải tiến.

ISO/IEC 27002 là tiêu chuẩn quan trọng cung cấp hàng trăm biện pháp kỹ thuật và cơ chế an toàn, nhằm hỗ trợ việc thực hiện các yêu cầu trong ISO/IEC 27001 Phiên bản ISO/IEC 27002:2013 bao gồm nhiều nội dung thiết yếu như chính sách an toàn thông tin, tổ chức an toàn thông tin, an toàn người dùng, quản lý tài nguyên, kiểm soát truy cập, mã hóa, an toàn vật lý, an toàn vận hành, an toàn truyền thông và an toàn hệ thống.

ISO/IEC 27003 cung cấp hướng dẫn thực hiện hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO/IEC 27001 Tiêu chuẩn này bao gồm các bước quan trọng như phê duyệt chủ trương dự án ISMS, xác định phạm vi và chính sách ISMS, phân tích yêu cầu, đánh giá rủi ro, và thiết kế ISMS Mục tiêu chính là giúp tổ chức xây dựng và triển khai ISMS hiệu quả, đảm bảo an toàn thông tin.

ISO/IEC 27004 cung cấp hướng dẫn chi tiết về việc xây dựng và triển khai quy trình kiểm tra đánh giá nhằm đảm bảo hệ thống ISMS đáp ứng các yêu cầu của ISO/IEC 27001 Tiêu chuẩn này bao gồm tổng quan về kiểm tra đánh giá, trách nhiệm quản lý của các bên liên quan, lập kế hoạch kiểm tra đánh giá, tiến hành đánh giá, phân tích dữ liệu và báo cáo, cùng với các bước đánh giá và cải tiến hệ thống.

ISO/IEC 27005 là tiêu chuẩn hướng dẫn quản lý rủi ro cho hệ thống thông tin trong tổ chức, hỗ trợ cho hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001 Tiêu chuẩn này bao gồm các nội dung quan trọng như đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro, truyền thông rủi ro, giám sát và xem xét rủi ro.

Phân tích khả năng áp dụng ISO/IEC 27000 trong bảo vệ hệ thống thông tin theo cấp độ

Theo tiêu chuẩn ISO/IEC 27000-2016, các tổ chức, bất kể loại hình hay quy mô, đều có trách nhiệm quan trọng trong việc thu thập, xử lý, lưu trữ và trao đổi thông tin Họ cần nhận thức rằng thông tin cùng với các quy trình, hệ thống, mạng lưới và con người liên quan là tài sản quý giá giúp đạt được mục tiêu tổ chức Đồng thời, các tổ chức phải đối mặt với nhiều rủi ro có thể ảnh hưởng đến hoạt động của các tài sản này Để bảo vệ mình, họ cần giải quyết các rủi ro đã được xác định thông qua việc triển khai các biện pháp kiểm soát an toàn thông tin.

Hệ thống quản lý an toàn thông tin (ISMS) bao gồm các chính sách, thủ tục, hướng dẫn và nguồn lực cần thiết để bảo vệ tài sản thông tin của tổ chức ISMS cung cấp một cách tiếp cận có hệ thống nhằm thiết lập, thực hiện, vận hành, giám sát, soát xét, duy trì và cải thiện an toàn thông tin, từ đó giúp tổ chức đạt được các mục tiêu nghiệp vụ hiệu quả.

4.2.2 Khái niệm Bảo đảm an toàn hệ thống thông tin theo cấp độ

Theo Điều 3, khoản 3 của Luật An toàn thông tin mạng, hệ thống thông tin được định nghĩa là tập hợp các phần cứng, phần mềm và cơ sở dữ liệu Hệ thống này được thiết lập nhằm mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng.

Theo Điều 21 mục 1 Luật An toàn thông tin mạng, phân loại cấp độ an toàn hệ thống thông tin được thực hiện bằng cách xác định mức độ an toàn từ 1 đến 5 Việc phân loại này nhằm áp dụng các biện pháp quản lý và kỹ thuật phù hợp để bảo vệ hệ thống thông tin một cách hiệu quả theo từng cấp độ.

Theo [Điều 22 Luật ATTT mạng], Nhiệm vụ bảo vệ hệ thống thông tin

1 Xác định cấp độ an toàn thông tin của hệ thống thông tin

2 Đánh giá và quản lý rủi ro an toàn hệ thống thông tin

3 Đôn đốc, giám sát, kiểm tra công tác bảo vệ hệ thống thông tin.

4 Tổ chức triển khai các biện pháp bảo vệ hệ thống thông tin.

5 Thực hiện chế độ báo cáo theo quy định.

6 Tổ chức tuyên truyền, nâng cao nhận thức về an toàn thông tin mạng.

Theo [Điều 23 Luật ATTT mạng], biện pháp bảo vệ hệ thống thông tin

1 Ban hành quy định về bảo đảm an toàn thông tin mạng trong thiết kế, xây dựng, quản lý, vận hành, sử dụng, nâng cấp, hủy bỏ hệ thống thông tin.

2 Áp dụng biện pháp quản lý, kỹ thuật theo tiêu chuẩn, quy chuẩn kỹ thuật an toàn thông tin mạng để phòng, chống nguy cơ, khắc phục sự cố an toàn thông tin mạng.

3 Kiểm tra, giám sát việc tuân thủ quy định và đánh giá hiệu quả của các biện pháp quản lý và kỹ thuật được áp dụng.

4 Giám sát an toàn hệ thống thông tin.

Mục 1 của Luật An toàn thông tin mạng đề cập đến việc bảo vệ thông tin mạng, trong khi Mục 3 tập trung vào bảo vệ hệ thống thông tin Điều này cho thấy rằng bảo vệ hệ thống thông tin và bảo vệ thông tin là hai khái niệm khác nhau Hệ thống quản lý an toàn thông tin (ISMS) đóng vai trò quan trọng trong việc bảo vệ thông tin.

4.2.3 Khả năng áp dụng ISO/IEC 27000 để bảo vệ hệ thống thông tin theo cấp độ

Từ các phân tích trên có thể đưa ra một số luận điểm sau:

1 Hệ thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu dùng để lưu trữ, xử lý và trao đổi thông tin [Luật ATTT mạng, Điều 3, 3.]

2 Bảo vệ hệ thống thông tin là một phần của bảo vệ thông tin Nếu hệ thống thông tin không an toàn thì thông tin cũng sẽ không an toàn.

3 ISMS là bảo vệ thông tin [ISO/IEC 27000-2016, 3.1].

4 Như vậy bảo vệ hệ thống thông tin là một phần của ISMS.

5 Có thể dùng ISMS để bảo vệ hệ thống thông tin.

ISO/IEC 27000 có thể được áp dụng để bảo vệ hệ thống thông tin theo từng cấp độ Hiện nay, Tổ công tác xây dựng tiêu chuẩn an toàn thông tin của Bộ Thông tin và Truyền thông đang dựa vào bộ tiêu chuẩn ISO/IEC 27000 để phát triển bộ tiêu chuẩn an toàn thông tin.

Bảng 1 Dự kiến các tiêu chuẩn tham chiếu cho bộ tiêu tiêu chuẩn bảo vệ hệ thống thông tin theo cấp độ

Bảo vệ hệ thống thông tin theo cấp độ Dự kiến tiêu chuẩn tham chiếu

Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo)

Tài liệu mô tả các biện pháp bảo đảm an toàn hệ thống thông tin theo cấp độ (dự thảo)

Tài liệu hướng dẫn thực hiện bảo vệ hệ thống thông tin theo cấp độ (dự thảo)

Tài liệu mô tả các yêu cầu kiểm tra đánh giá cấp độ (dự thảo)

Tiêu chuẩn ISO/IEC 27004 (Nội dung xây dựng phép đo)

Tài liệu hướng dẫn quy trình kiểm tra đánh giá cấp độ (dự thảo)

Tiêu chuẩn ISO/IEC 27004 (Nội dung quy trình kiểm tra đánh giá)

GIỚI THIỆU VỀ TIÊU CHUẨN THAM CHIẾU TCVN 10541:2014 (ISO/IEC 27003:2010)

Mục tiêu của tiêu chuẩn

Tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) tập trung vào việc thiết kế và triển khai hệ thống quản lý an toàn thông tin (ISMS) theo TCVN ISO/IEC 27001:2009 Tiêu chuẩn này mô tả quy trình từ khởi đầu đến khi hoàn thiện kế hoạch triển khai ISMS, bao gồm việc xin phê duyệt từ ban quản lý Bên cạnh đó, tiêu chuẩn cũng xác định dự án triển khai ISMS và cung cấp hướng dẫn lập kế hoạch để đảm bảo có một kế hoạch triển khai chính thức cho dự án ISMS.

Phạm vi tiêu chuẩn

Tiêu chuẩn này áp dụng cho tất cả các tổ chức triển khai Hệ thống Quản lý An ninh Thông tin (ISMS), bao gồm doanh nghiệp thương mại, cơ quan chính phủ và tổ chức phi lợi nhuận với mọi quy mô Mỗi tổ chức có tính phức tạp và rủi ro riêng, do đó yêu cầu cụ thể sẽ ảnh hưởng đến việc triển khai ISMS Các tổ chức nhỏ có thể áp dụng các hoạt động trong tiêu chuẩn một cách đơn giản, trong khi các tổ chức lớn hơn có thể cần hệ thống quản lý phân cấp để thực hiện hiệu quả Dù quy mô khác nhau, cả hai loại tổ chức đều có thể sử dụng tiêu chuẩn này để lập kế hoạch cho các hoạt động phù hợp.

Cấu trúc tiêu chuẩn

Tiêu chuẩn này bao gồm 9 điều và 5 phụ lục, với các nội dung chính như sau: Điều 1 xác định phạm vi áp dụng, Điều 2 liệt kê tài liệu viện dẫn, Điều 3 cung cấp thuật ngữ và định nghĩa, và Điều 4 nêu các thuật ngữ viết tắt Điều 5 yêu cầu phê chuẩn khởi động dự án ISMS nhằm xác định tình huống nghiệp vụ và kế hoạch dự án Điều 6 tập trung vào việc xác định phạm vi và chính sách ISMS, với mục tiêu được ban quản lý phê chuẩn Điều 7 yêu cầu phân tích các yêu cầu an toàn thông tin, xác định tài sản thông tin và trạng thái an toàn thông tin hiện tại Điều 8 hướng dẫn tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro, nhằm xác định phương pháp đánh giá và biện pháp quản lý phù hợp Cuối cùng, Điều 9 yêu cầu thiết kế ISMS, hoàn thiện kế hoạch triển khai thông qua việc xây dựng an toàn tổ chức, các biện pháp quản lý phối hợp và yêu cầu cụ thể về ISMS.

Phụ lục A – Tóm tắt các hoạt động có tham chiếu TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005)

Phụ lục B – Các vai trò và trách nhiệm về an toàn thông tin

Phụ lục C – Thông tin về lập kế hoạch đánh giá nội bộ

Phụ lục D – Cấu trúc các chính sách

Phụ lục E – Thông tin về lập kế hoạch giám sát và đo lường.

DỰ THẢO TIÊU CHUẨN QUỐC GIA TCVN XXX-2018

Lý do xây dựng tiêu chuẩn

Luật an toàn thông tin mạng quy định việc bảo vệ hệ thống thông tin theo các cấp độ an toàn từ 1 đến 5 Việc phân loại cấp độ an toàn giúp xác định các biện pháp quản lý và kỹ thuật phù hợp nhằm bảo vệ hệ thống thông tin một cách hiệu quả Để thực hiện việc bảo vệ an toàn hệ thống thông tin theo quy định của Luật, cần áp dụng các biện pháp tương ứng với từng cấp độ an toàn đã được xác định.

Nghị định số 85/2016/NĐ-CP quy định chi tiết về tiêu chí, thẩm quyền, trình tự và thủ tục xác định cấp độ an toàn của hệ thống thông tin Nghị định này cũng nêu rõ trách nhiệm đảm bảo an toàn cho hệ thống thông tin tương ứng với từng cấp độ.

Hiện nay, Việt Nam vẫn chưa có hướng dẫn cụ thể cho việc thực hiện Nghị định số 85/2016/NĐ-CP Tiêu chuẩn này nhằm hướng dẫn bảo vệ hệ thống thông tin theo các cấp độ được quy định bởi Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP.

Nhu cầu thực tế và khả năng áp dụng

Việc bảo vệ hệ thống thông tin theo các yêu cầu an toàn cơ bản là cần thiết để đảm bảo an toàn cho các cơ quan, tổ chức và cá nhân tại Việt Nam Tiêu chuẩn này hỗ trợ trong việc xây dựng, quản lý, vận hành và nâng cấp hệ thống thông tin, đồng thời phục vụ cho ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước và cung cấp dịch vụ trực tuyến cho người dân và doanh nghiệp.

Mục đích xây dựng tiêu chuẩn

Xây dựng tiêu chuẩn nhằm hướng dẫn thực hiện Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ.

Sở cứ xây dựng tiêu chuẩn

Tiêu chuẩn này được phát triển dựa trên TCVN 10541:2014, tương đương với tiêu chuẩn ISO/IEC 27003:2010 Đây là tài liệu được nhiều quốc gia áp dụng làm cơ sở để xây dựng các tiêu chuẩn quốc gia tương ứng.

Các phân tích liên quan đến việc sử dụng tiêu chuẩn ISO/IEC 27003:2010 làm tiêu chuẩn tham chiếu cho tiêu chuẩn này đã được trình bày chi tiết ở mục 4.2.

Phương pháp xây dựng tiêu chuẩn

Dựa trên quy định về an toàn hệ thống thông tin theo Luật An toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP, tiêu chuẩn này được xây dựng dựa trên các phương pháp và nguyên tắc chung nhằm đảm bảo an toàn và bảo mật thông tin.

1) Theo phân tích ở mục 4.2.3, bảo vệ hệ thống thông tin là một phần của hệ thống quản lý an toàn thông tin ISMS, vì vậy có thể dùng tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn triển khai hệ thống quản lý an toàn thông tin làm cơ sở để xây dựng hướng dẫn thực hiện bảo vệ hệ thống thông tin.

2) Bổ sung, chỉnh sửa thêm các hướng dẫn vào tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) để thực hiện bảo vệ hệ thống thông tin theo cấp độ theo quy định của Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP.

6.5.2 Các nội dung chỉnh sửa, bổ sung

Hệ thống quản lý an toàn thông tin ISMS đã bao trùm bảo vệ hệ thống thông tin, và việc thực hiện theo tiêu chuẩn TCVN 10541:2014 (ISO/IEC 27003:2010) cũng đồng nghĩa với việc bảo vệ hệ thống thông tin Tuy nhiên, vẫn tồn tại hai vấn đề chính: Thứ nhất, phạm vi rộng của ISMS khiến người sử dụng khó xác định nội dung nào trực tiếp liên quan đến bảo vệ hệ thống thông tin Thứ hai, các nội dung cụ thể cho bảo vệ hệ thống thông tin vẫn chưa được quy định đầy đủ theo Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP.

Vì vậy, các nội dung chỉnh sửa bổ sung cũng thuộc hai nhóm chính, lần lượt giải quyết hai vấn đề trên:

Nhóm 1: Hướng dẫn bổ sung giúp người sử dụng xác định nội dung nào là trực tiếp dùng cho bảo vệ hệ thống thông tin, giúp người dùng thực hiện bảo vệ hệ thống thông tin.

Nhóm 2: Hướng dẫn bổ sung đưa thêm những nội dung về bảo vệ hệ thống thông tin theo cấp độ theo quy định của Luật an toàn thông tin mạng và Nghị định số 85/2016/NĐ-CP, giúp người dùng thực hiện bảo vệ hệ thống thông tin theo cấp độ. Đối với nội dung thuộc nhóm 2, một số nội dung phải viện dẫn nội dung từ các tiêu chuẩn khác bao gồm: a) Nội dung Xác định các yêu cầu cơ bản về bảo vệ hệ thống thông tin theo cấp độ đã được xác định (nằm trong hoạt động 7.2 - Xác định yêu cầu) cần viện dẫn Tài liệu mô tả các yêu cầu cơ bản bảo vệ hệ thống thông tin theo cấp độ (dự thảo); b) Nội dung Đánh giá an toàn đối với hệ thống thông tin (nằm trong hoạt động 7.4

Để đảm bảo an toàn hệ thống thông tin, cần viện dẫn các tài liệu dự thảo mô tả yêu cầu bảo vệ và kiểm tra đánh giá theo cấp độ Nội dung liên quan đến việc lựa chọn mục tiêu và biện pháp bảo đảm an toàn hệ thống thông tin trong hoạt động 8.3 cũng cần tham khảo tài liệu mô tả biện pháp bảo đảm an toàn theo cấp độ Đối với thiết kế bảo vệ hệ thống thông tin trong hoạt động 9, cần viện dẫn tài liệu mô tả các biện pháp an toàn theo cấp độ Cuối cùng, các nội dung liên quan đến bảo trì và chấm dứt hệ thống thông tin sẽ được bổ sung trong hoạt động 10 - Vận hành.

Nội dung hiện tại được xây dựng dựa trên giả thuyết rằng các tài liệu viện dẫn sẽ tương đương với các tài liệu trong bộ ISO/IEC 27000, như thể hiện trong Bảng 1 Nếu các tài liệu viện dẫn này được công bố trong tương lai, tiêu chuẩn này sẽ cần được điều chỉnh để phù hợp với thực tế.

Các nội dung dự thảo tiêu chuẩn quốc gia

6.6.1 Các nội dung trong từng hoạt động cụ thể

Các nội dung trong từng hoạt động cụ thể được tổng hợp trong Bảng 2.

Bảng 2 Các nội dung trong từng hoạt động cụ thể Giai đoạn / Hoạt động Đầu vào Đầu ra

5.2 Xác định mục Mục tiêu chiến lược của tổ Mục tiêu của tổ chức đối với tiêu của tổ chức đối với

Tổng quan về các các biện pháp bảo đảm an toàn hệ thống thông tin hiện có

5.3 Xác định phạm vi BVHTTT sơ bộ

5.3.1 Xác định phạm vi sơ bộ của hệ thống thông tin

Mục tiêu của tổ chức đối với BVHTTT

Phạm vi sơ bộ của hệ thống thông tin

5.3.2 Xác định vai trò và trách nhiệm đối với

Phạm vi sơ bộ của hệ thống thông tin;

Danh sách các bên liên quan đến BVHTTT

Vai trò và trách nhiệm đối với BVHTTT

Mục tiêu của tổ chức đối với BVHTTT;

Phạm vi sơ bộ của hệ thống thông tin;

Vai trò và trách nhiệm đối với BVHTTT

Bản đề xuất dự án BVHTTT ban đầu

6 Xác định phạm vi, cấp độ

6.2 Xác định phạm vi và giới hạn về tổ chức

Bản đề xuất dự án BVHTTT ban đầu

Phạm vi và giới hạn về tổ chức đối với hệ thống thông tin;

Các biện pháp bảo đảm an toàn về tổ chức đối với hệ thống thông tin hiện đang được sử dụng

6.3 Xác định phạm vi và giới hạn về công nghệ thông tin và truyền

Bản đề xuất dự án BVHTTT ban đầu;

Phạm vi và giới hạn về tổ

Phạm vi và giới hạn về ICT đối với hệ thống thông tin;

Các biện pháp bảo đảm an toàn về chức đối với hệ thống thông tin

ICT đối với hệ thống thông tin hiện đang được sử dụng

6.4 Xác định phạm vi và giới hạn vật lý

Phạm vi và giới hạn về ICT đối với hệ thống thông tin

Phạm vi và giới hạn về vật lý đối với hệ thống thông tin;

Các biện pháp bảo đảm an toàn về vật lý đối với hệ thống thông tin hiện đang được sử dụng

6.5 Tổng hợp phạm vi và giới hạn của hệ thống thông tin

Các biện pháp bảo đảm an toàn về tổ chức đối với hệ thống thông tin hiện đang được sử dụng;

Phạm vi và giới hạn về ICT đối với hệ thống thông tin;

Các biện pháp bảo đảm an toàn về ICT đối với hệ thống thông tin hiện đang được sử dụng;

Phạm vi và giới hạn về vật lý đối với hệ thống thông

Phạm vi và giới hạn của hệ thống thông tin;

Các biện pháp bảo đảm an toàn đối với hệ thống thông tin hiện đang được sử dụng tin;

Các biện pháp bảo đảm an toàn về vật lý đối với hệ thống thông tin hiện đang được sử dụng

6.6 Xác định cấp độ của hệ thống thông tin

Phạm vi và giới hạn của hệ thống thông tin

Cấp độ của hệ thống thông tin

6.7 Xây dựng chính sách tổng thể BVHTTT

Phạm vi và giới hạn của hệ thống thông tin;

Cấp độ của hệ thống thông tin

Chính sách tổng thể BVHTTT

7.2 Xác định yêu cầu Chính sách tổng thể

Yêu cầu đối với BVHTTT

7.3 Xác định tài sản thông tin

Chính sách tổng thể BVHTTT

Yêu cầu đối với BVHTTT

Danh mục tài sản thông tin

Chính sách tổng thể BVHTTT;

Các biện pháp bảo đảm an toàn đối với hệ thống thông tin hiện đang được sử dụng;

Yêu cầu đối với BVHTTT;

Kết quả kiểm tra đánh giá

Danh mục tài sản thông tin

8.2 Tiến hành đánh giá rủi ro

Kết quả kiểm tra đánh giá

Tài liệu mô tả phương pháp đánh giá rủi ro;

Kết quả từ đánh giá rủi ro

8.3 Chọn lựa biện pháp BVHTTT

Kết quả đánh giá rủi ro Các biện pháp BVHTTT;

Kế hoạch xử lý rủi ro

8.4 Lập kế hoạch triển khai BVHTTT

Tài liệu mô tả phương pháp đánh giá rủi ro;

Kết quả đánh giá rủi ro;

Kế hoạch xử lý rủi ro

Kế hoạch triển khai BVHTTT

9 Thiết kế và thực thi

9.2 Thiết kế về tổ chức

9.2.1 Thiết kế cơ cấu tổ chức cho BVHTTT

Kết quả kiểm tra đánh giá;

Cơ cấu tổ chức cho BVHTTT

9.2.2 Thiết kế cấu trúc khung hệ thống tài liệu cho BVHTTT

Kế hoạch triển khai BVHTTT;

Cơ cấu tổ chức cho BVHTTT

Cấu trúc khung hệ thống tài liệu cho BVHTTT

9.2.3 Thiết kế chính sách BVHTTT

Cơ cấu tổ chức cho BVHTTT;

9.2.4 Xây dựng các quy trình và thủ tục

Cơ cấu tổ chức cho BVHTTT;

Tài liệu thiết kế về tổ chức cho BVHTTT

9.3 Thiết kế về vật lý và ICT

Tài liệu thiết kế về vật lý và ICT cho BVHTTT

9.4 Tổng hợp tài liệu thiết kế

Tài liệu thiết kế về tổ chức cho BVHTTT;

Tài liệu thiết kế về vật lý và ICT cho BVHTTT

Thiết kế chi tiết BVHTTT

9.5 Thực thi Thiết kế chi tiết BVHTTT Các biện pháp bảo đảm an toàn hệ thống thông tin được thực thi.

10.2 Soát xét Chính sách BVHTTT;

Yêu cầu đối với BVHTTT;

Kế hoạch xử lý rủi ro;

Tài liệu thiết kế về tổ chức cho BVHTTT;

Tài liệu giáo dục và đào tạo về an toàn thông tin đóng vai trò quan trọng trong việc nâng cao nhận thức của người dùng Đội ngũ thực hiện các chương trình này cần được xác định rõ ràng với các vai trò và trách nhiệm cụ thể, nhằm đảm bảo hiệu quả trong việc truyền đạt kiến thức và kỹ năng bảo mật thông tin.

Các kế hoạch giáo dục, đào tạo và nâng cao nhận thức về an toàn thông tin;

Hồ sơ thực tế cho thấy kết quả rõ rệt từ công tác giáo dục, đào tạo và nâng cao nhận thức về an toàn thông tin cho nhân viên.

10.4 Hủy bỏ Danh mục tài sản thông tin;

Danh mục thiết bị phần cứng, phần mềm;

Danh mục thiết bị lưu trữ

Tài liệu, hồ sơ xử lý dữ liệu và thiết bị

6.6.2 Đối chiếu với tiêu chuẩn tham chiếu

Kết quả đối chiếu tiêu chuẩn tham chiếu được trình bày trong Bảng 3.

Bảng 3 Kết quả đối chiếu tiêu chuẩn tham chiếu

STT Nội dung tiêu chuẩn Tài liệu tham chiếu

1 Phạm vi áp dụng Phạm vi áp dụng Có sửa đổi, bổ sung

2 Tài liệu viện dẫn Tài liệu viện dẫn Có sửa đổi, bổ sung

3 Thuật ngữ và định nghĩa Thuật ngữ và định nghĩa Có sửa đổi, bổ sung

4 Cấu trúc tiêu chuẩn Cấu trúc tiêu chuẩn Có sửa đổi, bổ sung

4.1 Cấu trúc chung của các điều Cấu trúc chung của các điều

Có sửa đổi, bổ sung

4.2 Cấu trúc chung của từng điều Cấu trúc chung của từng điều

4.3 Biểu đồ Biểu đồ Có sửa đổi, bổ sung

5 Khởi động Phê chuẩn cho khởi động dự án ISMS

5.1 Tổng quan về giai đoạn khởi động Tổng quan về cách thức để được phê chuẩn cho khởi động dự án ISMS

5.2 Xác định mục tiêu của tổ chức đối với BVHTTT Làm rõ các ưu tiên của tổ chức cho phát triển ISMS

5.3 Xác định phạm vi BVHTTT sơ bộ Xác định phạm vi ISMS sơ bộ

5.3.1 Xác định phạm vi sơ bộ của hệ thống thông tin Phát triển phạm vi ISMS sơ bộ

5.3.2 Xác định vai trò và trách nhiệm đối với BVHTTT Xác định vai trò và trách nhiệm đối với phạm vi ISMS sơ bộ

5.4 Đề xuất dự án BVHTTT ban đầu Xây dựng tình huống nghiệp vụ và kế hoạch dự án trình ban quản lý phê chuẩn

6 Xác định phạm vi, cấp độ Xác định phạm vi, các giới hạn và chính sách ISMS

6.1 Tổng quan về giai đoạn xác định phạm vi, cấp độ Tổng quan về xác định phạm vi, các giới hạn và chính sách ISMS

6.2 Xác định phạm vi và giới hạn về tổ chức Xác định phạm vi và các giới hạn về tổ chức

6.3 Xác định phạm vi và giới hạn về công nghệ thông tin và truyền thông (ICT)

Xác định phạm vi và các giới hạn về công nghệ thông tin và truyền thông (ICT)

6.4 Xác định phạm vi và giới hạn vật lý Xác định phạm vi và các Có sửa đổi, bổ sung

Sửa đổi, bổ sung giới hạn vật lý

6.5 Tổng hợp phạm vi và giới hạn của hệ thống thông tin Phối hợp phạm vi và các giới hạn để nhận được phạm vi và các giới hạn ISMS

6.6 Xác định cấp độ của hệ thống thông tin Có bổ sung

6.7 Xây dựng chính sách tổng thể

BVHTTT Phát triển chính sách

ISMS và được ban quản lý phê chuẩn

7 Phân tích yêu cầu Tiến hành phân tích các yêu cầu an toàn thông tin

7.1 Tổng quan về giai đoạn phân tích yêu cầu Tổng quan về tiến hành phân tích các yêu cầu an toàn thông tin

7.2 Xác định yêu cầu Xác định các yêu cầu an toàn thông tin cho quy trình ISMS

7.3 Xác định tài sản thông tin Xác định các tài sản thuộc phạm vi ISMS

7.4 Kiểm tra đánh giá Tiến hành đánh giá an toàn thông tin

8 Quản lý rủi ro Tiến hành đánh giá rủi ro và lập kế hoạch xử lý rủi ro

8.1 Tổng quan về giai đoạn quản lý rủi ro Tổng quan về tiến hành đánh giá rủi ro và lập kế

8.2 Tiến hành đánh giá rủi ro Tiến hành đánh giá rủi ro Có sửa đổi, bổ sung 8.3 Chọn lựa biện pháp BVHTTT Chọn lựa mục tiêu và biện pháp quản lý

8.4 Lập kế hoạch triển khai

BVHTTT Phê chuẩn cho triển khai và vận hành ISMS

9 Thiết kế và thực thi Thiết kế ISMS Có sửa đổi, bổ sung

9.1 Tổng quan về giai đoạn thiết kế và thực thi Tổng quan về thiết kế

9.2 Thiết kế về tổ chức Thiết kế an toàn thông tin về tổ chức

9.2.1 Thiết kế cơ cấu tổ chức cho

BVHTTT Thiết kế cơ cấu tổ chức chính thức cho an toàn thông tin

9.2.2 Thiết kế cấu trúc khung hệ thống tài liệu cho BVHTTT Thiết kế cấu trúc khung hệ thống tài liệu về ISMS

9.2.3 Thiết kế chính sách BVHTTT Thiết kế chính sách an toàn thông tin

9.2.4 Xây dựng các quy trình và thủ tục Phát triển các tiêu chuẩn và thủ tục an toàn thông tin

9.3 Thiết kế về vật lý và ICT Thiết kế an toàn thông tin vật lý và ICT

9.4 Tổng hợp tài liệu thiết kế Đưa ra kế hoạch dự án

9.5 Thực thi Có bổ sung

10 Vận hành Có bổ sung

10.2 Soát xét Lập kế hoạch soát xét của ban quản lý

10.3 Chương trình tập huấn Thiết kế chương trình giáo dục, đào tạo và nâng cao nhận thức về an toàn thông tin

10.4 Hủy bỏ Có sửa đổi, bổ sung

Danh sách các hoạt động Danh sách các hoạt động Có sửa đổi, bổ sung

Các vai trò và trách nhiệm về

Các vai trò và trách nhiệm về an toàn thông tin

Thư mục tài liệu tham khảo Thư mục tài liệu tham khảo

6.6.3 Kết quả đối chiếu với nội dung trong đề cương

Kết quả đối chiếu những nội dung đã thực hiện đối với đề cương nghiên cứu được trình bày trong Bảng 4.

Bảng 4 Đối chiếu với nội dung trong đề cương

TT Nội dung trong đề cương Nội dung trong tiêu chuẩn

Nội dung trong thuyết minh tiêu chuẩn

1 Rà soát hệ thống tiêu chuẩn quốc gia về an toàn thông tin

5 Giới thiệu về tiêu chuẩn tham chiếu TCVN

2 Nghiên cứu một số tài liệu 3.3 Tiêu chuẩn quốc tế quan 3.4 Tiêu chuẩn Mỹ

4 Giới thiệu về bộ tiêu chuẩn ISO/IEC 27000

3 Nguyên tắc chung thực hiện bảo vệ hệ thống thông tin

3 Thuật ngữ và định nghĩa

Phụ lục B: Các vai trò và trách nhiệm

4 Thực hiện phân cấp độ hệ thống thông tin

6.6 Xác định cấp độ của hệ thống thông tin

5 Kế hoạch bảo vệ hệ thống thông tin

6 Xác định phạm vi, cấp độ

6 Thiết kế tổng thể hệ thống bảo vệ hệ thống thông tin

9 Thiết kế và thực thi

7 Thực hiện bảo vệ hệ thống thông tin

8 Bảo trì hệ thống thông tin 10 Vận hành

9 Chấm dứt hệ thống thông tin

Tiêu đề	Thuyết Minh Dự Thảo Tiêu Chuẩn Việt Nam Công Nghệ Thông Tin – Kỹ Thuật An Toàn – Hướng Dẫn Thực Hiện Bảo Đảm An Toàn Hệ Thống Thông Tin
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Năm xuất bản	2018
Thành phố	Hà Nội

Định dạng
Số trang	31
Dung lượng	272,5 KB