CHƯƠNG 2

HỆ THỐNG QUẢN LÝ BẢO MẬT THÔNG TIN THEO

CHUẨN ISO 27001
2.1 Các lợi ích của chứng chỉ
• Có một số lý do trực tiếp, thực tế để thực hiện chính sách bảo mật
thông tin và hệ thống quản lý bảo mật thông tin (ISMS) có khả năng
được chứng nhận độc lập tuân thủ ISO/IEC 27001
• Nâng cao sự tin tưởng cho các khách hàng hiện có và khách hàng tiềm
năng
• Tập trung cải thiện tiếp các quy trình an toàn bảo mật thông tin
• Đảm bảo rằng tổ chức đặt hệ thống bảo mật thông tin của nó lên đầu
-> tiếp tục đảm bảo khả năng hoạt động của tổ chức
• ISO27001 cung cấp đặc tả hệ thống ISMS và các quy tắc thực hành
liên quan thể hiện ở ISO27002.
• Dựa trên kiến thức của một nhóm các chuyên gia bảo mật thông tin có
kinh nghiệm trong một loạt các tổ chức quan trọng trên hơn 40 quốc
gia đặt ra thực tiễn tốt nhất về bảo mật thông tin
• Cung cấp cách tiếp cận có hệ thống để xác định và chống lại tất cả rủi
ro tiềm ẩn đối với tài sản thông tin tổ chức
• Cho khách hàng, nhà cung cấp, đối tác và cơ quan chức năng thấy tổ
chức có một hệ thống quản lý thông tin an toàn
• Chứng nhận có giá trị trong vòng 3 năm
2.2 Lịch sử ra đời chuẩn ISO27001 và
ISO27002
• Bắt đầu 1992
• BS7799 tháng 2/1995, UK
• Bộ Thương mại và Công nghiệp + Các doanh nghiệp tư nhân hàng đầu
• Ban đầu chỉ là các quy tắc thực hành quản trị an toàn bảo mật -> phát
triển ISMS nhưng ban đầu không có UKAS (Cơ quan kiểm định UK)
• Giải pháp tạm thời c:cure đã được thông qua từ tháng 4 năm 1997
cung cấp một khung để hiện thực tiêu chuẩn
• Bỏ hoặc là một lựa chọn vào cuối năm 2000
• BS7799 được đánh giá lại 1998.
• Các phản hồi đã được đối chiếu -> một tiêu chuẩn sửa đổi đã được đưa
ra (04/1999): 2 phần.
• Quy tắc thực hành ban đầu đã được sửa đổi và giữ lại đáng kể: phần 1 của
BS7799 -> Quy tắc thực hành về bảo mật thông tin quản lý và cung cấp hướng
dẫn về thực hành tốt nhất trong quản lý an toàn thông tin.
• BS7799-1 -> ISO/IEC 17799 (12/2000)
• Phần 2 mới được thêm vào, có tiêu đề ‘Đặc điểm kỹ thuật các hệ thống quản
trị bảo mật thông tin”. Tiếp tục được đánh giá lại trong năm 2002 (có nhiều
sửa đổi quan trọng)
• BS7799-2 -> chuẩn hóa thế giới đầu tiên là ISO 27001:2005 năm 2005
• ISO/IEC 17799 sửa đổi -> ISO/IEC 17799:2005
• ISO/IEC 17799:2005 -> ISO/IEC 27002:2005 vào năm 2007
(ISO/IEC 17799:2005 và ISO/IEC 17799:2005/Cor.1:2007)
• Hiện nay:
• ISO/IEC 27001:2013
• ISO/IEC 27002:2013
2.3 Bộ tiêu chuẩn ISO/IEC 27000
• ISO/IEC 27000 là một loạt các chuẩn cho quản trị an toàn thông tin do
International Organization for Standardization (ISO) (Geneva) và
International Electrotechnical Commission
• Những chuẩn này cung cấp một khuôn khổ được công nhận trên toàn
cầu để quản lý bảo mật thông tin tốt.
• www.itgovernance.co.uk/standards.aspx
Bộ tiêu chuẩn ISO/IEC 27000
ISO/IEC 27001
• ISO/IEC 27001 tạo cơ sở cho việc đánh giá toàn bộ hoặc một phần an
toàn thông tin hệ thống quản lý (ISMS) của một tổ chức.
• Nó có thể được sử dụng làm cơ sở cho một kế hoạch chứng nhận
chính thức. Nói cách khác, đó là tài liệu cụ thể mà ISMS sẽ được đánh
giá.
• ISO/IEC 27001
• Các yêu cầu về Công nghệ thông tin – Các kỹ thuật an toàn – Các hệ thống
quản trị an toàn
• Phạm vi:
• Chỉ ra các yêu cầu về thiết lập, hiện thực, vận hành, kiểm soát, đánh giá, bảo trì và cải
thiện các hệ thống ISMS
• Chỉ ra các yêu cầu hiện thực các công cụ an toàn bảo mật phù hợp với nhu cầu của các
doanh nghiệp hoặc một phần
• Có thể sử dụng trong tất cả các tổ chức
• ISO/IEC 27001 (tt)
• Mục tiêu:
• ISO/IEC 27001 cung cấp các yêu cầu quy chuẩn cho sự phát triển và vận hành của ISMS,
bao gồm một bộ kiểm soát để kiểm soát và giảm thiểu rủi ro liên quan đến tài sản thông
tin mà tổ chức tìm cách bảo vệ bằng ISMS
• Tổ chức vận hành ISMS có thể được kiểm tra và chứng nhận sự phù hợp của nó.
• Các mục tiêu kiểm soát và kiểm soát từ ISO/IEC 27001:2013; Phụ lục A sẽ được chọn là
một phần của quy trình ISMS này để đề cập các yêu cầu đã xác định.
• Các mục tiêu và kiểm soát được liệt kê trong ISO/IEC 27001:2013, Bảng A.1
được lấy trực tiếp từ và liên kết với những thứ được liệt kê trong ISO/IEC 27002:2013,
điều khoản 5 đến 18
ISO/IEC 27002
• B7799 được sửa đổi lần đầu tiên 1998 -> B 7799 Phần 1 (loại bỏ các
tham khảo luật pháp UK)
• Được chỉnh sửa nhất quán với OECD hướng dẫn về thông tin cá nhân,
an toàn thông tin và phương pháp mã hóa
• Các kiểm soát tốt nhất trong thực tế có khả năng thực hiện trong nhiều
môi trường hợp pháp và văn hóa
• Năm 2000, BS7799-1:1999 đưa đề xuất trở thành chuẩn thế giới và
sửa chữa một ít -> ISO/IEC 17799:2000 và BS7799-1:2000
• BS7799-2:1999 được thay thế 2002, và trở thành ISO27001 (chuẩn mà các
ISMS có thể cần chứng nhận)
• Quy tắc thực hành ISO / IEC 27002: 2005 được dùng cung cấp một
khuôn khổ cho thông lệ quốc tế tốt nhất về bảo mật thông tin quản lý
và hệ thống tương tác
• Cung cấp hướng dẫn, mà một kiểm toán viên bên ngoài sẽ xem xét về
cách triển khai ISMS có thể chứng nhận.
• Phạm vi:
• Cung cấp một danh sách các mục tiêu kiểm soát thường được chấp nhận và
thực tiễn tốt nhất được sử dụng làm hướng dẫn thực hiện khi lựa chọn và thực
hiện các điều khiển để đạt được bảo mật thông tin
• Mục tiêu:
• Cung cấp các hướng dẫn hiện thực các kiểm soát an toàn thông tin
• Đặc biệt, điều khoản 5 đến 18 cung cấp lời khuyên và hướng dẫn cụ thể hiện
thực tốt nhất trong thực tế nhằm hổ trợ các kiểm soát đã chỉ ra ở ISO/IEC
27001:2013, A.5 đến A.18
• ISO/IEC 27000 là một tập các chuẩn có liên quan đến nhau, có chuẩn
đã được ấn hành, có chuẩn đang được nghiên cứu
• Chứa các thành phần cấu trúc quan trọng
• Các chuẩn mô tả yêu cầu của ISMS (ISO/IEC 27001)
• Chứng nhận các yêu cầu bên trong (ISO/IEC 27006) phù hợp với các yêu cầu
trong ISO/IEC 27001
• Các khung yêu cầu cho việc triển khai ISMS theo ngành cụ thể
• Các chuẩn cung cấp các hướng dẫn thực hiện ISMS ở các khía cạnh khác nhau
theo các ngành cụ thể
Các chuẩn ISO/IEC khác trong bộ chuẩn
ISO/IEC 27000
• Tham khảo thêm trong tài liệu mô tả ISO/IEC 27000:2018
2.4 Tiêu chuẩn quốc gia TCVN ISO/IEC
27001:2009
• Tham khảo
https://vanbanphapluat.co/tcvn-iso-iec-27001-2009-cong-nghe-
thong-tin-he-thong-quan-ly-an-toan