Tải bản đầy đủ (.doc) (26 trang)

Tiêu chuẩn ISO 27001

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (250.16 KB, 26 trang )

Mục lục
I Nhu cầu thực tiễn 4
II Tiêu chuẩn ISO 27001:2005 5
II.1 Giới thiệu chung 5
II.2 Tóm tắt nội dung tiêu chuẩn 6
III Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt nam 7
III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 tại Việt Nam 7
III.2 Các lợi ích của việc áp dụng tiêu chuẩn ISO 27001 8
IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT 8
IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005 8
IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005 9
IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005 12
IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005 14
V Tiêu chuẩn kỹ thuật “Hệ thống quản lý ATTT” 15
V.1 Các yêu cầu chung 15
V.2 Yêu cầu đối với quá trình thiết lập hệ thống ISMS 18
1) bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và
nguyên tắc cho việc đảm bảo an toàn thông tin, 18
2) chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản
bắt buộc về bảo mật, 18
3) đưa vào các đến các yêu cầu kinh doanh, các yêu cầu và chế tài về
pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp đồng, 18
4) thực hiện sự thiết lập và duy trì hệ thống ISMS như một phần trong
chiến lược quản lý rủi ro của tổ chức, 18
5) thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra, 18
6) được ban quản lý phê duyệt 18
7) Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS,
và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định 18
8) Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức
rủi ro có thể chấp nhận được 19
9) Xác định các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý


các tài sản này 19
10) Xác định các mối đe doạ có thể xảy ra đối với tài sản 19
11) Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên 19
12) Xác định những tác động xấu tới các tính chất quan trọng của tài sản
cần bảo đảm: bí mật, toàn vẹn và sẵn sàng 19
13) Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn
thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn
sàng của các tài sản 19
14) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin
bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá
các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện 19
15) Ước lượng các mức độ của rủi ro 19
16) Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên
các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục 4.2.1.c.2 20
17) Áp dụng các biện pháp quản lý thích hợp 20
18) Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính
sách và tiêu chuẩn chấp nhận rủi ro của tổ chức 20
19) Tránh các rủi ro 20
20) Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp
v.v 20
21) Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong
mục 4.2.1g) và các cơ sở tiến hành lựa chọn; 21
22) Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện; 21
23) Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A
cũng như giải trình cho việc này 21
V.3 Yêu cầu đối với quá trình điều hành hoạt động hệ thống ISMS 21
V.4 Yêu cầu đối với quá trình giám sát và đánh giá hệ thống ISMS 22
24) Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý 22
25) Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông
tin 22

26) Cho phép ban quản lý xác định kết quả các các công nghệ cũng như
con người đã đem lại có đạt mục tiêu đề ra hay không 22
27) Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm
các sự cố an toàn thông tin bằng các chỉ thị cần thiết 22
28) Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông
tin 22
29) Tổ chức; 23
30) Công nghệ; 23
31) Mục tiêu và các quá trình nghiệp vụ; 23
32) Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định; 23
33) Tính hiệu quả của các biện pháp quản lý đã thực hiện; 23
34) Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp
lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội 23
V.5 Yêu cầu đối với quá trình duy trì và mở rộng hệ thống ISMS 23
V.6 Sự phù hợp của ISO 27001:2005 và tiêu chuẩn quản lý khác 24
VI Bản dự thảo TCVN “Hệ thống quản lý an toàn thông tin” 26
I Nhu cầu thực tiễn
Trong nền kinh tế tri thức, thông tin là tài sản quan trọng, đóng vai trò
quyết định sự thành bại của một cơ quan, một tổ chức, một doanh nghiệp. Các
thông tin nhạy cảm luôn cần được bảo vệ chặt chẽ trước những đe dọa ở tầm
rộng, đảm bảo sự liền mạch, giảm thiểu rủi ro và tăng cường năng lực quản lý,
kinh doanh, nghiệp vụ. Áp dụng các tiêu chuẩn đảm bảo an toàn thông tin cho
các cơ quan, tổ chức và doanh nghiệp là biện pháp rất cần thiết để bảo vệ các
tài sản thông tin của mình đồng thời chắc chắn sẽ tạo thêm sự tin tưởng của
khách hàng và các đối tác.
Xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin là một
trong những nhiệm vụ trọng tâm để đảm bảo thành công trong việc ứng dụng
công nghệ thông tin trong các cơ quan nhà nước, nghị định số 64/2007/NĐ-CP
do Chính phủ ban hành ngày 10/4/2007 đã quy định rõ cơ quan nhà nước phải
xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an

toàn thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện
pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy
chuẩn kỹ thuật về an toàn thông tin.
Trên thực tế các hầu hết các cơ quan/tổ chức/doanh nghiệp đều nhận thức
được rất rõ sự cần thiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn
thông tin, tuy nhiên việc áp dụng trong thực tiễn còn rất hạn chế và gặp nhiều
vướng mắc do: hệ thống tiêu chuẩn kỹ thuật quốc gia về ATTT hiện không đầy
đủ; lúng túng trong lựa chọn các tiêu chuẩn áp dụng. Do đó năm 2007, Bộ Bưu
chính Viễn thông ban hành chỉ thị số 03/2007/CT-BBCVT khuyến cáo các cơ
quan, tổ chức và doanh nghiệp tham gia hoạt động Internet ba tiêu chuẩn cần
thiết nhất cần nghiên cứu áp dụng trong công tác đảm bảo an toàn thông tin là:
TCVN 7562; ISO 17799 và ISO 27001.
Hai tiêu chuẩn ISO 17799 và ISO 27001 là bộ tiêu chuẩn đảm bảo an toàn
thông tin được áp dụng rộng rãi nhất trên thế giới. Nội dụng bộ tiêu chuẩn này
giúp các cơ quan/ tổ chức đưa ra mô hình cho hệ thống quản lý an toàn thông
tin cùng với các quy tắc cần thiết phải áp dụng trong công tác đảm bảo an toàn
cho hệ thống thông tin. Nội dung bộ tiêu chuẩn này rất đầy đủ, sát với thực
tiễn cho phép giảm thiểu được nhiều rủi ro an toàn thông tin có thể xảy ra nên
đã được nhiều nước tham khảo và xây dựng các tiêu chuẩn quốc gia.
Tiêu chuẩn ISO 17799 phiên bản 2000 cũng đã được Tổng Cục đo lường và
Chất lượng sử dụng như tài liệu cơ bản để biên soạn TCKT Việt Nam tương
đương là TCVN 7562:2005, tuy nhiên Việt nam hiện chưa có TCKT Việt Nam
tương đương với ISO 27001. Việc áp dụng các tiêu chuẩn quốc tế ISO 27001 ở
Việt Nam hiện chỉ phù hợp với một số ít các tổ chức có trình độ nhân lực cao
thường nằm ở các thành phố lớn, còn lại phần lớn cần thiết phải có tiêu chuẩn
Việt Nam tương đương để thuận tiện cho việc áp dụng. Do đó việc nhanh
chóng xây dựng tiêu chuẩn kỹ thuật Việt Nam tương đương ISO 27001:2005
là rất cần thiết. Trung tâm VNCERT xác định như một trong các nhiệm vụ
trọng tâm trong năm 2007 nhằm đẩy mạnh tiêu chuẩn hóa công tác đảm bảo an
toàn cho hệ thống thông tin, giảm thiểu các rủi ro có thể xảy ra cho các cơ qua,

tổ chức tham gia sử dụng mạng internet.
II Tiêu chuẩn ISO 27001:2005
II.1 Giới thiệu chung
Tiêu chuẩn quốc tế “Information security management system” có mã số
ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công nghệ
thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC
27 thuộc tổ chức ISO. Tiêu chuẩn này được ban hành vào tháng 10 năm 2005
để thay thế tiêu chuẩn cùng tên có mã số BS 7799-2:2002 do tổ chức Britist
Standard ban hành năm 2002.
Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc
thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống
quản lý an toàn thông tin (ISMS). Phê chuẩn việc triển khai một hệ thống
ISMS sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ
thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và
mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang
được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống
hỗ trợ sẽ cần luôn được cập nhật và thay đổi. Đầu tư và triển khai một hệ thống
ISMS cần phải phù hợp với nhu cầu thực tiễn của tổ chức.
Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên
trong tổ chức cũng như các bộ phận bên ngoài liên quan đến tổ chức.
II.2 Tóm tắt nội dung tiêu chuẩn
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình cơ
quan/tổ chức khác nhau. Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá
trình: thiết lập; triển khai; điều hành; giám sát; bảo trì và nâng cấp một hệ
thống quản lý an toàn thông tin (ISMS) để bảo vệ hệ thống thông tin và chủ
động chuẩn bị các phương án xử lý trước những rủi ro có thể xảy ra. Tiêu
chuẩn này chỉ rõ các yêu cầu khi thực hiện các biện pháp cần thiết đã được
chọn lọc phù hợp cho tổ chức hoặc các bộ phận.
Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù
hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các

bên liên quan như đối tác, khách hàng v.v…
Các yêu cầu được trình bày trong tiêu chuẩn này là mang tính tổng quát và
nhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan / tổ chức khác nhau.
Nội dung tiêu chuẩn bao gồm các phần chính :
- Hệ thống quản lý an toàn thông tin
- Trách nhiệm của Ban quản lý
- Kiểm tra nội bộ hệ thống ISMS
- Soát xét hệ thống ISMS
- Nâng cấp hệ thóng ISMS
Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như
ISO 9001:2000, TCVN ISO 9001:2000 và ISO 14001:2004 nhằm đảm bảo sự
thống nhất và thành công khi triển khai cùng lúc các tiêu chuẩn quản lý khác
nhau.
III Ứng dụng thực tiễn của TC ISO 27001:2005 tại Việt
nam
III.1 Tình hình áp dụng tiêu chuẩn ISO 27001 tại Việt Nam
Tại Việt Nam, tiêu chuẩn kỹ thuật quốc tế ISO 27001 đã được nhiều cơ
quan và đơn vị có ứng dụng các hệ thống thông tin nghiên cứu và quan tâm
nghiên cứu áp dụng. Tuy nhiên do việc chuẩn hóa công tác quản lý nói chung
và quản lý công nghệ thông tin nói riêng là chưa tốt nên phát sinh khá nhiều
vướng mắc. Mặc dù vậy hiện nay đã có một số công ty mạnh dạn áp dụng và
được công nhận phù hợp tiêu chuẩn:
Tháng 1/2007 công ty đầu tiên của Việt Nam là FCG Việt Nam đã được
chấp thuận sau đợt kiểm định của tổ chức TUV SUD tiến hành vào giữa tháng
12/2006.
Tháng 3/2007 công ty Hệ thống thông tin FPT thông báo đã được công
nhận phù hợp tiêu chuẩn này sau 8 tháng triển khai. Tiêu chuẩn này đã giúp
các công ty giảm thiểu rủi ro an toàn thông tin có thể xảy ra cũng như nâng cao
uy tín của công ty đặc biệt đối với các khách hàng nước ngoài.
Việc công ty FCG Việt Nam và công ty hệ thống thông tin FPT ứng dụng

thành công tiêu chuẩn ISO 27001:2005 cho thấy sự phù hợp hoàn toàn khi áp
dụng tiêu chuẩn này cùng với các tiêu chuẩn quản lý khác như ISO 9001 TL
4000 hay CMMI cấp 5 mà các công ty này đã triển khai trước đó.
III.2 Các lợi ích của việc áp dụng tiêu chuẩn ISO 27001
Tiêu chuẩn ISO 27001:2005 đã được đưa vào sử dụng rộng rãi trên thế giới
nhiều năm, nội dung tiêu chuẩn đã được sửa đổi nhiều lần để hoàn thiện và đáp
ứng được nhiều loại mô hình tổ chức hơn. Dưới đây là một số lợi ích cho các
cơ quan và tổ chức khi áp dụng tiêu chuẩn ISO 27001:
- Cho phép các cơ quan, tổ chức xác định được đúng mục tiêu, phạm vi
và vai trò của hệ thống quản lý an toàn thông tin;
- Xây dựng một giải pháp tổng thể đảm bảo an toàn cho hệ thống thông
tin, tránh ảnh hưởng tới các hoạt động khác;
- Giảm thiểu các rủi ro và có biện pháp chủ động phòng chống các nguy
cơ có thể xảy ra;
- Đảm bảo hiệu quả đầu tư của hệ thống CNTT nói chung và hệ thống
ISMS nói riêng;
- Nâng cao uy tín và sự tin cậy đối với đối tác và khách hàng, nâng cao
năng lực cạnh tranh của các doanh nghiệp;
- Nâng cao nhận thức an toàn thông tin cho toàn bộ nhân viên trong tổ
chức.
IV Một số tiêu chuẩn quốc tế trong lĩnh vực ATTT
IV.1 Tiêu chuẩn kỹ thuật TCVN 7562:2005
Tiêu chuẩn việt nam Mã thực hành quản lý an ninh thông tin – TCVN 7562
do Ban kỹ thuật tiêu chuẩn TCVN/TC 154 “Quá trình, các yếu tố dữ liệu và tài
liệu trong thương mại, công nghiệp và hành chính” biên soạn, Tổng cục Đo
lường chất lượng đề nghị, Bộ Khoa học và Công nghệ ban hành năm 2005.
Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC
17799:2000 có tên “code of practice for information security management”và
hoàn toàn tương đương với tiêu chuẩn quốc tế này.
Nội dung tiêu chuẩn này gồm có mười hai phần, đưa ra các khuyến nghị về

công tác quản lý an ninh thông tin cho những người có trách nhiệm cài đặt,
thực thi hoặc duy trì an ninh trong tổ chức của họ. Tiêu chuẩn này nhằm cung
cấp một cơ sở chung để xây dựng các tiêu chuẩn an ninh trong tổ chức và thực
hành quản lý an toàn thông tin một cách hiệu quả và tạo sự tin cậy trong các
giao dịch liên tổ chức. Các khuyến nghị rút ra từ tiêu chuẩn này được lựa chọn
và sử dụng phù hợp với các luật và quy định liên quan.
Tiêu chuẩn TCVN 7562 được trình bày trong mười hai phần bao gồm:
1. Phạm vi áp dụng;
2. Thuật ngữ và định nghĩa;
3. Chính sách an ninh;
4. An ninh tổ chức;
5. Phân loại và kiểm soát tài sản;
6. An ninh cá nhân;
7. An ninh môi trường vật lý;
8. Quản lý truyền thông và hoạt động;
9. Kiểm soát truy cập;
10. Phát triển và duy trì hệ thống;
11. Quản lý liên tục trong kinh doanh;
12. Sự tuân thủ.
Tiêu chuẩn đã đưa ra 127 hướng dẫn đảm bảo an toàn thông tin được phân
thành 10 vấn đề chính
IV.2 Tiêu chuẩn kỹ thuật ISO 17799:2005
Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC
thay thế chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và sau này
đổi tên thành tiêu chuẩn ISO/IEC 27002 để áp dụng cùng với các tiêu chuẩn
ISO/IEC 27001 (information security management system) và ISO/IEC 27004
(Information security management metrics) thành bộ tiêu chuẩn ISO 27000
(tên tiêu chuẩn ISO/IEC 17799 được giữ lại thêm một thời gian là để cho thấy
sự liên hệ với các tiêu chuẩn gốc BS 7799 và ISO/IEC 17799:2000).
Sự phát triển công nghệ, dịch vụ cũng như sự thay đổi khác trong xã hội đã

bộc lộ những vấn đề mà tiêu chuẩn ISO/IEC 17799 phiên bản năm 2000 chưa
đáp ứng được. Do đó nội dung phiên bản mới ISO/IEC 17799:2005 đã được
cập nhật để bổ sung, điều chỉnh một số vấn đề so với phiên bản năm 2000 để
đáp ứng được các yêu cầu thực tiễn hiện nay đang đặt ra.
Nội dung phiên bản 2005 của tiêu chuẩn ISO/IEC 17799:2005 đưa ra 133
quy tắc đảm bảo an toàn được chia làm 11 vấn đề. Dựa trên việc phân tích các
ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên bản mới có khá nhiều
thay đổi so với phiên bản năm 2000. Nội dung mới được cập nhật đã làm rõ
hơn các vấn đề trong việc bảo đảm an toàn thông tin trong thương mại điện tử,
các dịch vụ do các đối tác bên ngoài cung cấp, quản lý nhân sự, sử dụng mạng
không dây v.v….
Về mặt cấu trúc, tiêu chuẩn ISO/IEC 17799:2005 đã có một số thay đổi phù
hợp hơn với thực tế so với tiêu chuẩn ISO/IEC 17799:2000 cũng như tiêu
chuẩn TCVN 7562:2005.
Bảng so sánh dưới đây thể hiện so sánh giữa các tiêu chuẩn TCVN
7562:2005; ISO 17799:2000 và ISO:17799:2005.
TCVN 7562:2000 ISO 17799:2000 ISO 17799:2005
Risk assessment &
treatment
Chính sách an ninh Security policy Security policy
An ninh tổ chức Security organisation Organisation of
information security
Phân loại và kiểm soát tài sản Asset classification & control Asset management
An ninh cá nhân Personnel security Human resource security
An ninh môi trường vật lý Physical and environmental
security
Physical and environmental
security
Quản lý truyền thông và hoạt
động

Communication and operation
management
Communications and
operations management
Kiểm soát truy cập Access control Access control
Phát triển và duy trì hệ thống System development &
maintenance
Information systems
acquisition development
and maintenance.
Information security
incident management
Quản lý liên tục trong kinh
doanh
Business continuity Business continuity
management
Sự tuân thủ Compliance Compliance
Trên thế giới, tiêu chuẩn quốc tế ISO/IEC 17799 được sử dụng rất rộng
rãi với hai phiên bản tiếng Anh và tiếng Pháp. Tuy nhiên một số quốc gia
khác đã sử dụng như tài liệu tham khảo quan trọng để tiến hành xây dựng
các tiêu chuẩn tương thích cho quốc gia như:
Nhật bản
Tiêu chẩn ISO/IEC 17799:2000 đã được dịch tại Nhật Bản vào năm
2002 với được xuất bản với tên gọi JIS X.5080. Nội dung tiêu chuẩn JIS
X.5080 hoàn toàn giống với tiêu chuẩn ISO/IEC 17799:2000.
Sau khi tiêu chuẩn ISO/IEC 17799:2000 được thay thế bằng tiêu chuẩn
ISO/IEC 17799:2005, Nhật Bản cũng đã dịch và xây dựng tiêu chuẩn
quốc gia JIS Q 27002:2006 và xuất bản vào năm 2006. Nội dung tiêu
chuẩn này được dịch hoàn toàn từ tiêu chuẩn ISO/IEC 17799:2005.
Newzealand và Autralia

Tại Australia và NewZealand, tiêu chuẩn AS/NZS ISO/IEC 17799:2006
được xây dựng năm 2006 được xây dựng dựa trên các tiêu chuẩn
ISO/IEC 17799:2005 và tiêu chuẩn AS/NZS ISO/IEC 17799:2001. Tiêu
chuẩn này hoàn toàn tương thích với tiêu chuẩn ISO/IEC 17799:2005.
Về nội dung tiêu chuẩn NZS ISO/IEC 17799:2005 hoàn toàn giống với
tiêu chuẩn ISO 17799:2005 tuy nhiên chỉ thay đổi cho phù hợp với các
quy định riêng về cách trình bày tiêu chuẩn của các quốc gia này như
tiêu đề, tên tiêu chuẩn, trang bìa, một số ký hiệu v.v….
Ngoài ra tại NewZealand, chính phủ đã ban hành tài liệu hướng dẫn
“đảm bảo an toàn thông tin trong lĩnh vực chính phủ” (Security in
government sector) năm 2002. Tài liệu đưa ra các hướng dẫn đảm bảo
an toàn thông tin và bắt buộc áp dụng trong các cơ quan chính phủ. Tài
liệu này được xây dựng bởi các thành viên đến từ nhiều bộ nghành khác
nhau trong chính phủ và sử dụng tài liệu tham khảo chính là tiêu chuẩn
AS/NZS ISO/IEC 17799:2001. Ngoài ra nội dung tiêu chuẩn cũng được
cơ quan tình báo quốc gia và văn phòng an toàn truyền thông của chính
phủ cũng cung cấp thêm một số các quy trình đảm bảo an toàn thông tin.
Một số nước khác
Một số nước khác cũng đã dịch và xây dựng các tiêu chuẩn quốc gia dựa
trên các phiên bản khác nhau của tiêu chuẩn ISO/IEC 17799 như
Tiêu chuẩn NEN-ISO/IEC 17799:2002 của Hà lan được xây dựng từ
ISO/IEC 17799:2000, bản dịch từ ISO/IEC 17799:2005 đang được thực
hiện
Tiêu chuẩn DS484:2005 của Đan mạch, UNE 71501 của Tây ban nha,
UNIT/ISO 17799:2005 của Uruguay và EVS-ISO/IEC 17799:2003 của
Estonia đều được xây dựng từ phiên bản ISO/IEC 17799:2000.
IV.3 Tiêu chuẩn kỹ thuật ISO 15408:2005
ISO/IEC 15408-1 được chuẩn bị bởi Ủy ban kỹ thuật chung ISO/IEC JTC
1, Công nghệ thông tin, Tiểu ban SC 2, Các kỹ thuật an ninh CNTT. Tài liệu
của ISO/IEC 15408 được xuất bản bởi Các tổ chức tài trợ dự án về tiêu chuẩn

thông thường như Tiêu chuẩn thông thường trong đánh giá An ninh CNTT.
Phiên bản thứ 2 đã được sửa đổi từ phiên bản thứ nhất (ISO/IEC 15408-
1:1999) được sử dụng thay thế cho phiên bản thứ nhất.
ISO/IEC 15408 bao gồm ba phần, dưới tiêu đề chung là - CNTT - Kỹ thuật
An ninh - Tiêu chuẩn đánh giá an ninh CNTT.
Phần 1: Giới thiệu và mô hình tổng thể (Part 1: Introduction and general
model )
Phần 2: Các yêu cầu về chức năng an ninh (Part 2: Security functional
requirements)
Phần 3: Các yêu cầu đảm bảo an ninh (Part 3: Security assurance
requirements)
ISO/IEC 15408 cho phép thực hiện so sánh các kết quả của các đánh giá
An ninh độc lập. Nó cung cấp một tập các nhu cầu thông thường về chức năng
An ninh của sản phẩm và hệ thống CNTT và đảm bảo các tiêu chuẩn để đánh
giá này được cung cấp trong suốt thời gian đánh giá An ninh. Tiến trình đánh
giá thiết lập một mức độ tin cậy cho các chức năng An ninh của các sản phẩm
và hệ thống và đảm bảo các tiêu chuẩn để đánh giá đáp ứng các nhu cầu. Các
kết quả đánh giá sẽ giúp khách hàng quyết định các sản phẩm và hệ thống
CNTT có đáp ứng đủ các yêu cầu về An ninh cho các ứng dụng dự định của
mình và khả năng chịu lỗi với các nguy cơ về An ninh tiềm ẩn trong quá trình
sử dụng.
ISO/IEC 15408 được sử dụng như một hướng dẫn cho việc phát triển các
sản phẩm và hệ thống có các chức năng An ninh CNTT và phục vụ cho việc
tìm kiếm các sản phẩm hoặc hệ thống thương mại có chức năng như thế. Trong
thời gian đánh giá, các sản phẩm hoặc hệ thống CNTT được xem là mục tiêu
đánh giá (TOE- Target of Evaluation). Các Mục tiêu đánh giá bao gồm, các hệ
điều hành, các mạng máy tính, các hệ thống phân tán và các ứng dụng.
ISO/IEC 15408 đề cập đến việc bảo vệ thông tin chống các truy nhập
không có quyền, thay đổi hoặc mất mát trong sử dụng. Việc phân nhóm bảo vệ
liên quan đến 3 kiểu lỗi về An ninh: sự tin cậy, toàn vẹn và sẵn sàng. ISO/IEC

15408 cũng có thể được sử dụng cho các đánh giá ngoài ba nhóm trên.
ISO/IEC 15408 tập trung vào các nguy cơ với thông tin được tạo ra bởi hoạt
động của con người, các đoạn mã độc hại và một số nguy cơ không liên quan
đến con người. Thêm vào đó, ISO/IEC 15408 có thể áp dụng cho các lĩnh vực
khác của CNTT mà không đòi hỏi các khả năng ngoài vùng hạn chế của An
ninh CNTT.
ISO/IEC 15408 có thể sử dụng cho các tiêu chuẩn để đánh giá An ninh
CNTT cho phần cứng, phần mềm và firmware. Tại đó các phần đặc trưng của
đánh giá được sử dụng để cung cấp các phương pháp thực hiện riêng, điều này
sẽ được đề cập đến trong các tài liệu tiêu chuẩn liên quan.
IV.4 Tiêu chuẩn kỹ thuật ISO 18045:2005
ISO/IEC 18045:2005 được chuẩn bị bởi Tiểu ban SC 27 thuộc Ủy ban kỹ
thuật chung ISO/IEC JTC 1 năm 2005 có tên đầy đủ là Methodology for IT
security evaluation. Việc xây dựng tiêu chuẩn này có sự đóng góp và tham
khảo ý kiến của cơ quan chính phủ thuộc nhiều nước: Pháp, Úc, Anh, Mỹ,
Nhật, NewZealand, Đức, Tây ban nha và Hà lan.
Tiêu chuẩn này đưa ra hệ thống các phương pháp đánh giá an toàn thông tin
theo các chỉ tiêu mà tiêu chuẩn quốc tế ISO 15408:2005 đưa ra. Nội dung của
tiêu chuẩn chỉ bao gồm hệ thống các phương pháp đánh giá cho phép đánh giá
theo các cấp độ từ EAL 1 tới EAL 4 được quy định trong ISO 15408.
Nội dung tiêu chuẩn ISO 18045 bao gồm các phần chính sau:
1. Giới thiệu
2. Phạm vi áp dụng
3. Thuật ngữ và định nghĩa
4. Ký hiệu và từ viết tắt
5. Tổng quan
6. Các quy ước
7. Các nhiệm vụ đánh giá chung
8. Đánh giá hồ sơ bảo vệ
9. Đánh giá mục tiêu bảo mật

10. Đánh giá an toàn thông tin theo cấp độ một
11. Đánh giá an toàn thông tin theo cấp độ hai
12. Đánh giá an toàn thông tin theo cấp độ ba
13. Đánh giá an toàn thông tin theo cấp độ bốn
14. Điều chỉnh sai sót
V Tiêu chuẩn kỹ thuật “Hệ thống quản lý ATTT”
V.1Các yêu cầu chung
Tiêu chuẩn này khuyến khích việc áp dụng cách tiếp cận theo quy trình khi
thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống
ISMS của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một
cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc
tiếp nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy trình,
Thông thường đầu ra của một quy trình này là đầu vào của một quy trình tiếp
theo.
Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận
biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như
“cách tiếp cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày
trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm
quan trọng:
- Hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải
thiết lập chính sách và mục tiêu cho an toàn thông tin,
- Triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin
của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức,
- Giám sát và soát xét lợi ích và hiệu quả của hệ thống ISMS và
- Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
Tiêu chuẩn này thông qua mô hình “Lập kế hoạch – Thực hiện – Kiểm tra
và Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống
ISMS. Hình 1 dưới đây mô tả cách hệ thống ISMS lấy đầu vào là các yêu cầu

và kỳ vọng về bảo mật thông tin của các bên thứ ba,sau khi tiến hành các quy
trình xử lý cần thiết sẽ đáp ứng an toàn thông tin theo như các yêu cầu và kỳ
vọng đã đặt ra.
Hình 1: Áp dụng mô hình PDCA cho các quy trình hệ thống ISMS
P (Lập kế hoạch) - Thiết lập ISMS Thiết lập các chính sách, mục tiêu, quy trình và thủ tục
Triển khai và
điều hành hệ
thống ISMS
Triển khai và
điều hành hệ
thống ISMS
Giám sát và
đánh giá hệ
thống ISMS
Giám sát và
đánh giá hệ
thống ISMS
P
D
C
A
Thiết lập hệ
thống ISMS
Thiết lập hệ
thống ISMS
Duy trì và nâng
cấp hệ thống
ISMS
Duy trì và nâng
cấp hệ thống

ISMS
Các bộ
phận liên
quan
Các yêu
cầu và kỳ
vọng về an
toàn thông
tin
Các bộ
phận liên
quan
Các yêu
cầu và kỳ
vọng về an
toàn thông
tin
Các bộ
phận liên
quan
Kết quả
quản lý an
toàn thông
tin
Các bộ
phận liên
quan
Kết quả
quản lý an
toàn thông

tin
liên quan đến việc quản lý các rủi ro và nâng cao an
toàn thông tin nhằm đem lại các kết quả phù hợp với các
chính sách và mục tiêu chung của tổ chức.
D (Thực hiện) - Triển khai và điều
hành ISMS
Cài đặt và vận hành các chính sách, biện pháp quản lý,
quy trình và thủ tục của hệ thống ISMS.
C (Kiểm tra) - giám sát và đánh giá
ISMS
Xác định hiệu quả việc thực hiện quy trình dựa trên
chính sách, mục tiêu mà hệ thống ISMS đã đặt ra; kinh
nghiệm thực tiễn và báo cáo kết quả cho việc đánh giá
của ban quản lý.
A (Hành động) - Duy trì và nâng
cấp ISMS
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên
các kết quả của việc kiểm toán nội bộ hệ thống ISMS,
đánh giá của ban quản lý hoặc các thông tin liên quan
khác nhằm liên tục hoàn thiện hệ thống ISMS.
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức
khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi
nhuận v.v… ). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập;
triển khai; điều hành; giám sát; bảo trì và nâng cấp một hệ thống ISMS để đảm
bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra với tổ chức.
Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an
toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của
tổ chức.
Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù
hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các

bên liên quan như đối tác, khách hàng v.v…
Các yêu cầu được trình bày trong tiêu chuẩn này là mang tính tổng quát và
nhằm ứng dụng rộng rãi cho nhiều loại hình tổ chức khác nhau.
Do đó tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và
nâng cấp một hệ thống quản lý an toàn thông tin (ISMS) đã được tài liệu hóa
trong bối cảnh toàn bộ hoạt động của tổ chức và những rủi ro đang phải đối
mặt.
V.2Yêu cầu đối với quá trình thiết lập hệ thống ISMS
Để thiết lập hệ thống ISMA, tổ chức cần thực hiện các yêu cầu sau:
- Định nghĩa phạm vi và các giới hạn của hệ thống ISMS theo các mặt:
đặc thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ, đồng
thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu …
trong tiêu chuẩn khỏi phạm vi áp dụng.
- Vạch rõ chính sách triển khai hệ thống ISMS theo các mặt: đặc thù công
việc; sự tổ chức; địa điểm; các tài sản và công nghệ mà trong đó:
1) bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng
và nguyên tắc cho việc đảm bảo an toàn thông tin,
2) chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều
khoản bắt buộc về bảo mật,
3) đưa vào các đến các yêu cầu kinh doanh, các yêu cầu và chế tài
về pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong hợp
đồng,
4) thực hiện sự thiết lập và duy trì hệ thống ISMS như một phần
trong chiến lược quản lý rủi ro của tổ chức,
5) thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra,
6) được ban quản lý phê duyệt.
Chú ý: Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai hệ
thống ISMS được xem xét như là một danh mục đầy đủ các chính sách an toàn
thông tin. Các chính sách này có thể được mô tả trong cùng một tài liệu.
- Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức

7) Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống
ISMS, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định.
8) Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các
mức rủi ro có thể chấp nhận được.
Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá
rủi ro đưa ra các kết quả có thể so sánh và tái tạo được.
Chú ý: Có nhiều hệ phương pháp đánh giá rủi ro khác nhau. Ví dụ về
các hệ phương pháp đánh giá rủi ro được nêu ra trong tài liệu ISO/IEC
TR 13335-3 “Information technology- Guidelines for the management
of IT Security – Techniques for the management of IT Security”.
- Xác định các rủi ro
9) Xác định các tài sản trong phạm vi hệ thống ISMS và đối tượng
quản lý
1
các tài sản này.
10) Xác định các mối đe doạ có thể xảy ra đối với tài sản.
11) Xác định các yếu điểm có thể bị khai thác bởi các mối đe
doạ trên.
12) Xác định những tác động xấu tới các tính chất quan trọng
của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng
- Phân tích và đánh giá các rủi ro
13) Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về
an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn
vẹn hay sẵn sàng của các tài sản.
14) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn
thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng
thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang
thực hiện.
15) Ước lượng các mức độ của rủi ro.
1

Thuật ngữ “đối tượng quản lý” trong ngữ cảnh này dùng để chỉ một cá nhân hay thực thể đã phê chuẩn
trách nhiệm quản lý trong việc điều khiển sản xuất, phát triển, bảo trì, sử dụng và đảm bảo an toàn của tài
sản. Thuật ngữ này không dùng để chỉ những người có quyền sở hữu tài sản.
16) Xác định rủi ro được chấp nhận hay phải có biện pháp xử
lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập trong mục
4.2.1.c.2.
- Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro
Các hoạt động có thể thực hiện :
17) Áp dụng các biện pháp quản lý thích hợp.
18) Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn
các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức.
19) Tránh các rủi ro.
20) Chuyển giao các rủi ro các bộ phận khác như bảo hiểm,
nhà cung cấp v.v
- Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro
Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực
hiện để đáp ứng các yêu cầu được xác định bởi quá trình xử lý rủi ro và
đánh giá rủi ro. Sự lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận
rủi ro cũng như các yêu cầu về pháp lý, quy định và cam kết phải tuân
thủ.
Các mục tiêu quản lý và biện pháp quản lý trong phụ lục A (của tiêu
chuẩn) có thể được lựa chọn như là một phần thích hợp để bảo đảm các
yêu cầu đã xác định.
Các yêu cầu quản lý và biện pháp quản lý trong phụ lục A là chưa thực
sự đầy đủ. Tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý
và biện pháp quản lý cần thiết khác.
Chú ý: Phụ lục A bao gồm một danh sách bao gồm nhiều mục tiêu quản
lý và biện pháp quả lý một cách toàn diện có khả năng thích hợp đối với
nhiều tổ chức. Người sử dụng tiêu chuẩn quốc tế này có thể sử dụng
phụ lục A như là điểm khởi đầu trong việc lựa chọn biện pháp quản lý

để không các biện pháp quan trọng.
- Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.
- Đạt ban quản lý cho phép cài đặt và vận hành hệ thống ISMS.
- Chuẩn bị thông báo áp dụng
Thông báo áp dụng hệ thống ISMS bao gồm :
21) Các mục tiêu quản lý và biện pháp quản lý đã được lựa
chọn trong mục 4.2.1g) và các cơ sở tiến hành lựa chọn;
22) Các mục tiêu quản lý và biện pháp quản lý đang được thực
hiện;
23) Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong
phụ lục A cũng như giải trình cho việc này.
Chú ý: Thông báo này cung cấp thông tin tóm tắt cho các quyết định
liên quan đến việc xử lý rủi ro. Việc giải trình các biện pháp và mục
tiêu quản lý trong phụ lục A không được sử dụng nhằm tránh khả năng
bỏ sót.
V.3Yêu cầu đối với quá trình điều hành hoạt động hệ thống ISMS
Quá trình triển khai và điều hành hệ thống ISMS cần thực hiện như sau:
- Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích
hợp, tài nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an
toàn thông tin.
- Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác
định trong đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ
vai trò, trách nhiệm.
- Triển khai các biện pháp quản lý được lựa chọn trong 4.2.1g) để thỏa
mãn các mục tiêu quản lý.
- Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý
hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này
sẽ được sử dụng như thế nào trong việc đánh giá tính hiệu quả quản lý
nhằm tạo ra những kết quả có thể so sánh được và tái tạo được.
- Triển khai các chương trình đào tạo nâng cao nhận thức.

- Quản lý hoạt động hệ thống ISMS.
- Quản lý các tài nguyên dành cho hệ thống ISMS.
- Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát
hiện các sự kiện an toàn thông tin cũng như phản ứng với các sự cố an
toàn thông tin.
V.4Yêu cầu đối với quá trình giám sát và đánh giá hệ thống ISMS
Để thực hiện tốt việc giám sát và đánh giá hệ thống ISMS, tổ chức cần
thực hiện các biện pháp sau đây:
- Tiến hành giám sát, đánh giá và biện pháp quản lý an toàn thông tin
khác nhằm:
24) Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.
25) Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an
toàn thông tin.
26) Cho phép ban quản lý xác định kết quả các các công nghệ
cũng như con người đã đem lại có đạt mục tiêu đề ra hay không.
27) Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn
chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết.
28) Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an
toàn thông tin.
- Thường xuyên kiểm tra, đánh giá hiệu quả của hệ thống ISMS (bao gồm
việc xem xét tính phù hợp giữa chính sách, các mục tiêu quản lý và đánh
giá của việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó
xem xét đến các kết quả kiểm tra an toàn bảo mật, các sự cố đã xảy ra,
kết quả tính toán hiệu quả, các đề xuất, kiến nghị cũng như các thông tin
phản hồi thu thập được.
- Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu
về bảo đảm ATTT.
- Soát xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro
được bỏ qua cũng như mức độ rủi ro có thể chấp nhận được. Trong đó
lưu ý các thay đổi trong:

29) Tổ chức;
30) Công nghệ;
31) Mục tiêu và các quá trình nghiệp vụ;
32) Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định;
33) Tính hiệu quả của các biện pháp quản lý đã thực hiện;
34) Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi
trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội.
- Thực hiện việc kiểm tra nội bộ hệ thống ISMS một cách định kỳ.
Chú ý: Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự
thực hiện.
- Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh
giá mục tiêu đặt ra có còn phù hợp cũng như nâng cấp các và đã xác
định các nâng cấp cần thiết cho hệ thống ISMS.
- Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình
hình thực tế thu được qua các hoạt động giám sát và đánh giá.
- Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng hưởng
đến tính hiệu quả hoặc hiệu lực của hệ thống ISMS.
V.5Yêu cầu đối với quá trình duy trì và mở rộng hệ thống ISMS
Tổ chức cần thường xuyên thực hiện:
- Triển khai các nâng cấp cho hệ thống ISMS đã xác định.
- Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp. Chú ý
vận dụng kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác.
- Thông báo và thống nhất với các thành phần liên quan về các hoạt động
và sự nâng cấp của hệ thống ISMS.
- Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt
ra.
V.6Sự phù hợp của ISO 27001:2005 và tiêu chuẩn quản lý khác
Tiêu chuẩn hệ thống quản lý an toàn thông tin hoàn toàn phù hợp với các
tiêu chuẩn quản lý thông dụng ISO 9001:2000 và ISO 14001:2004, bảng dưới
đây sẽ đưa ra các thông tin so sánh để chứng minh sự phù hợp giữa các tiêu

chuẩn trên.
ISO 27001:2005 ISO 9001:2000 ISO 14001:2004
0. Giới thiệu
0.1 Tổng quan
0.2 Cách thức tiếp cận
0.3 Sự tương thích với các hệ
thống quản lý khác
0. Giới thiệu
0.1 Tổng quan
0.2 Cách thức tiếp cận
0.3 Quan hệ với chuẩn ISO 9004
0.4 Sự tương thích với các hệ
thống quản lý khác
0. Giới thiệu
1. Phạm vi
1.1 Tổng quan
1.2 Ứng dụng
1. Phạm vi
1.1 Tổng quan
1.2 Ứng dụng
1. Phạm vi
2. Tài liệu viện dẫn 2. Tài liệu viện dẫn 2. Tài liệu viện dẫn
3.Thuật ngữ và định nghĩa 3. Thuật ngữ và định nghĩa 3. Thuật ngữ và định
nghĩa
4. Hệ thống quản lý an toàn
thông tin
4.1 Các yêu cầu chung
4.2 Thiết lập và quản lý hệ
thống ISMS
4.2.1 Thiết lập ISMS

4.2.2 Triển khai và điều điều
hành hệ thống ISMS
4.2.3 Giám sát và đánh giá hệ
thống ISMS
4.2.4 Duy trì và nâng cấp hệ
thống ISMS
4. Hệ thống quản lý chất lượng
4.1 Các yêu cầu chung
8.2.3 Giám sát và đo lường các
quá trình
8.2.4 Giám sát và đo lường sản
phẩm
4. Các yêu cầu của IMS
4.1 Các yêu cầu chung
4.1 Thực thi và điều
khiển4
4.5.1 Giám sát và đo đạc
4.3 Các yêu cầu về tài liệu hóa 4.2 Các yêu cầu về tài liệu hóa 4.4.5 Quản lý tài liệu
4.3.1 Tổng quan
4.3.2 Quản lý tài liệu
4.3.3 Quản lý hồ sơ
4.2.1 Tổng quan
4.2.2 Hướng dẫn về chất lượng
4.2.3 Quản lý tài liệu
4.2.4 Quản lý các bản ghi
4.5.4 Quản lý các bản
ghi
5. Trách nhiệm quản lý
5.1 Cam kết quản lý
5. Trách nhiệm quản lý

5.1 Cam kết quản lý
5.2 Tập trung vào khách hàng
5.3 Chính sách về chất lượng
5.4 Lên kế hoạch
5.5 Trách nhiêm, thẩm quyền,
truyền thông
4.2 Chính sách về môi
trườn
4.3 Lên kế hoạch
5.2 Quản lý tài nguyên
5.2.1 Dự phòng tài nguyên
5.2.2 Đào tạo, nhận thức, trình
độ
6. Quản lý tài nguyên
6.1 Dự phòng tài nguyên
6.2 Tài nguyên con người
6.2.2 Đào tạo, nhận thức, trình độ
6.3 Cơ sở hạ tâng
6.4 Môi trường làm việc
4.4.2 Đào tạo, nhận
thức, trình độ
6. Kiểm tra nội bộ hệ thống
ISMS
8.2.2. Kiểm tra nội bộ 4.5.5. Kiểm tra nội bộ
7. Ban quản lý soát lại hệ
thống ISMS
7.1 Tổng quan
7.2 Thông tin đầu vào cho
việc soát xét
7.3 Kết quả soát xét

5.6. Đánh giá công tác quản lý
5.6.1 Tổng quan
5.6.2 Đánh giá đầu vào
5.6.3 Đánh giá đầu ra
4.6 Đánh giá công tác
quản lý
8 Nâng cấp hệ thống ISMS
8.1 Nâng cấp thường xuyên
8.2 Hoạt động khắc phục
8.3 Hoạt động bảo vệ và ngăn
ngừa
8.5 Nâng cấp ISMS
8.5.1 Liên tục nâng cấp
8.5.2 Hoạt động sửa chữa
8.5.3 Hoạt động ngăn ngừa
4.5.3 Sự bất tuân, hoạt
động sửa chữa, hoạt
động ngăn ngừa
Phụ lục A: Các mục tiêu quản
lý và biện pháp quản lý
Phụ lục B: Các nguyên tắc
OECD và các tiêu chuẩn
Phụ lục C: Sự phù hợp giữa
các chuẩn ISO 9001:2000,
ISO 14001:2004 và tiêu chuẩn
quốc tế này
Phụ lục A: Sự phù hợp giữa các
chuẩn ISO 9001:2000 và chuẩn
ISO 14001:2004
Phụ lục A: Hướng dẫn

sử dụng tiêu chuẩn quốc
tế này
Phụ lục B: Sự phù hợp
giữa các chuẩn ISO
9001:2000 và chuẩn ISO
14001:2004

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×