ISO 27000, 27001

1. ISO 27000 là gì?

ISO 27000 là bộ sả n phẩ m an toà n đồ ng nhấ t do Tổ chứ c Tiêu chuẩ n hó a Quố c tế (ISO) phố i hợ p vớ i
Ủ y ban Kỹ thuậ t điện quố c tế (IEC) xâ y dự ng nhằm giú p cá c tổ chứ c có đượ c mộ t cô ng cụ cầ n thiết
á p dụ ng các quy phạ m an toà n thô ng tin tố t nhấ t và o hoạ t độ ng kinh doanh hà ng ngà y.

Trong bố i cả nh có sự phá t triển như vũ bã o củ a cô ng nghệ thô ng tin, ngà y cà ng nhiều cá c tổ chứ c,
đơn vị, doanh nghiệp hoạ t độ ng lệ thuộ c gầ n như hoà n toà n và o hệ thố ng mạ ng má y tính, má y tính,
và cơ sở dữ liệu. Nó i cách khá c, khi hệ thố ng cô ng nghệ thô ng tin hoặ c cơ sở dữ liệu gặ p cá c sự cố thì
hoạ t độ ng củ a các đơn vị nà y bị ả nh hưở ng nghiêm trọ ng và thậm chí có thể bị tê liệt hoà n toà n.

Mộ t trong các biện phá p phò ng ngừ a đượ c nhắc đến trong thờ i gian qua chính là triển khai á p dụ ng
Hệ thố ng Quả n lý An toà n Thô ng tin (ISMS: Information Security Management System) theo các
nguyên tắc củ a bộ tiêu chuẩ n quố c tế ISO 27000. Có thể nó i rằ ng, ISO 27000 là mộ t phầ n củ a hệ
thô ng quả n lý chung trong tổ chứ c, đượ c thự c hiện dự a trên nguyên tắ c tiếp cậ n cá c rủ i ro trong
hoạ t độ ng, để thiết lậ p, á p dụ ng, thự c hiện, theo dõ i, xem xét, duy trì và cả i tiến đảm bả o an toà n
thô ng tin củ a tổ chứ c.

Cho tớ i nay, việc á p dụ ng hệ thố ng quả n lý an toà n thô ng tin phù hợ p ISO 27000 đã đượ c triển khai
rộ ng khắ p ở hầ u hết các quố c gia trên thế giớ i đặ c biệt là trong lĩnh vự c tài chính ngâ n hà ng. Tại Việt
Nam, mộ t số ngâ n hà ng cũ ng đang triển khai á p dụ ng hệ thố ng nà y và bướ c đầ u đã có đượ c nhữ ng
kết quả nhấ t định.

Xét về lịch sự hình thà nh củ a bộ tiêu chuẩ n, ISO 27000 cũ ng có nguồ n gố c từ Anh quố c. Bắ t đầ u và o
nă m 1992, Phò ng Thương mạ i và Cô ng nghiệp Anh (UK Department Trade and Industrial) ban hà nh
ra qui phạ m thự c hà nh về hệ thố ng an toà n thô ng tin dự a trên cá c hệ thố ng đảm bả o an toà n thô ng
tin nộ i bộ củ a cá c cô ng ty dầ u khí. Tài liệunà y sau đó đượ c Viện tiêu chuẩ n hoá Anh chính thứ c ban
hà nh thà nh tiêu chuẩ n quố c gia vớ i mã hiệu BS 7799-1 và o năm 1995. Năm 2000, tiêu chuẩ n nà y
đượ c Tổ chứ c Tiêu chuẩ n hoá Quố c tế (ISO) chính thứ c chấ p nhậ n và ban hà nh vớ i mã hiệu ISO/IEC
17799:2000 – tiền thâ n củ a bộ tiêu chuẩ n ISO 27000 ngà y nay.

Bộ tiêu chuẩ n ISO 27000 đã và sẽ bao gồ m nhữ ng tiêu chuẩ n cụ thể sau:

- ISO 27000 quy định cá c vấ n đề về từ vự ng và định nghĩa (thuậ t ngữ )

- ISO 27001:2005 xác định các yêu cầ u đố i vớ i hệ thố ng quả n lý an toà n thô ng tin

- ISO 27002:2007 đưa ra qui phạ m thự c hà nh mô tả mụ c tiêu kiểm soá t an toà n thô ng tin mộ t các
toà n diện và bả ng lự a chọ n kiểm soá t thự c hà nh an toà n tố t nhấ t

- ISO 27003:2007 đưa ra cá c hướ ng dẫ n á p dụ ng

- ISO 27004:2007 đưa ra cá c tiêu chuẩ n về đo lườ ng và định lượ ng hệ thố ng quả n lý an toà n thô ng
tin để giú p cho việc đo lườ ng hiệu lự c củ a việc á p dụ ng ISMS

- ISO 27005 tiêu chuẩ n về quả n lý rủ i ro an toà n thô ng tin

- ISO 27006 tiêu chuẩ n về hướ ng dẫ n cho dịch vụ khô i phụ c thô ng tin sau thảm hoạ củ a cô ng nghệ
thô ng tin và viễn thô ng.

2. LỢI ÍCH CỦA ISO/IEC 27000

- Giú p nhậ n biết, đá nh giá đượ c các rủ i ro, xâ y dự ng các biện phá p và tạ o ý thứ c và trá ch nhiệm củ a
nhâ n viên trong việc bả o vệ thô ng tin củ a tổ chứ c.

- Thể hiện trá ch nhiệm củ a tổ chứ c trong việc quả n lý hệ thố ng thô ng tin, biểu hiện bả o mậ t thô ng
tin trên mọ i mứ c độ củ a tổ chứ c.

- Thể hiện tính tuâ n thủ luậ t phá p và quy tắc trong lĩnh vự c quả n lý thô ng tin.

- Quả n lý rủ i ro, dẫ n đến hiểu biết tố t hơn về hệ thố ng an toà n thô ng tin, điểm yếu củ a chú ng và cách
bả o vệ chú ng.

- Các đố i tác, cổ đô ng và khá ch hà ng yên tâm khi họ thấ y đượ c sự quan trọ ng trong bả o vệ thô ng tin
củ a tổ chứ c.

- Xác định các thô ng tin quan trọ ng, các rủ i ro có thể để giả m thiểu cá c rủ i ro đó , xá c định các mứ c
chi phí bả o hiểm tố t nhấ t cho cá c rủ i ro.

- Phá t triển nhậ n thứ c củ a nhâ n viên trong an toà n và trá ch nhiệm củ a họ đố i vớ i tổ chứ c.

https://www.slideshare.net/kimsach/iso-27000-37035669

https://www.slideshare.net/kvramana_hyd/all-you-wanted-to-know-about-iso-27000
https://iso-cert.vn/he-thong-an-toan-thong-tin-tieu-chuan-iso-27001.html

https://ictvietnam.vn/ap-dung-tieu-chuan-iso-iec-27000-trong-linh-vuc-an-toan-thong-tin-
12544.htm

https://itvc-global.com/tu-van-va-dao-tao-iso-27001-s215.htm

https://isocert.net/chung-nhan-iso-27000

3. Cấu trúc Tiêu chuẩn ISO 27001 Hệ thống quản lý an toàn thông tin

07 điều khoả n chính củ a ISO 27001:

Từ phầ n 4 đến phầ n 10 củ a tiêu chuẩ n ISO 27001; đưa ra yêu cầ u bắ t buộ c về các cô ng việc cầ n
thự c hiện trong việc; thiết lậ p, vậ n hà nh, giám sá t và nâ ng cấ p Hệ thố ng quả n lý an ninh thô ng tin
củ a cá c tổ chứ c. Bấ t kỳ vi phạ m nà o khác biệt so vớ i cá c quy định nằ m trong 07 điều khoả n nà y đều
đượ c coi là khô ng tuâ n thủ theo:

Điều khoả n 4 – Phạ m vi tổ chứ c: Điều khoả n nà y đưa ra cá c yêu cầ u cụ thể để tổ chứ c că n cứ trên
quy mô ; lĩnh vự c hoạ t độ ng và yêu cầ u, kỳ vọ ng củ a cá c bên liên quan thiết lậ p phạm vi Hệ thố ng
quả n lý an ninh thô ng tin phù hợ p.

Điều khoả n 5 – Lã nh đạ o: Điều khoả n nà y quy định cá c vấ n đề về trá ch nhiệm; củ a Ban lã nh đạ o mỗ i

tổ chứ c trong Hệ thố ng an ninh thô ng tin. Bao gồ m cá c yêu cầ u về sự cam kết, quyết tâ m củ a Ban
lã nh đạ o trong việc xâ y dự ng, duy trì hệ thố ng thô ng tin; cá c yêu cầ u về việc cung cấ p nguồ n lự c, tài
chính để vậ n hà nh hệ thố ng thô ng tin.

Điều khoả n 6 – Lậ p kế hoạch: Doanh nghiệp, tổ chứ c cầ n định nghĩa và áp dụ ng các quy trình đá nh
giá rủ i ro; đưa ra các quy trình xử lý. Điều khoả n nà y đưa ra các yêu cầu; về việc thiết lậ p mụ c tiêu
an toà n thô ng tin và kế hoạ ch để đạ t đượ c mụ c tiêu đó .

Điều khoả n 7 – Hỗ trợ : Yêu cầ u đố i vớ i việc tổ chứ c đà o tạ o; nâ ng cao nhậ n thứ c cho toà n thể cá n
bộ ; nhâ n viên củ a tổ chứ c về lĩnh vự c an toà n thô ng tin và ISMS, số hó a thô ng tin.

Điều khoả n 8 – Vậ n hà nh hệ thố ng: Doanh nghiệp, tổ chứ c cầ n có kế hoạ ch vậ n hà nh và quả n lý để

đạ t đượ c cá c mụ c tiêu. Đồ ng thờ i cầ n định kỳ thự c hiện đá nh giá rủ i ro an toà n thô ng tin và có kế
hoạ ch xử lý.

Điều khoả n 9 – Đá nh giá hiệu nă ng hệ thố ng: Quy định trá ch nhiệm củ a Ban lã nh đạ o trong việc định
kỳ xem xét; đá nh giá Hệ thố ng quả n lý an ninh thô ng tin củ a tổ chứ c. Phầ n nà y đưa ra yêu cầu đố i
vớ i mỗ i kỳ xem xét hệ thố ng; đả m bả o đá nh giá đượ c toà n bộ hoạ t độ ng củ a hệ thố ng; đo lườ ng hiệu
quả và có kế hoạ ch khắc phụ c; nâ ng cấ p hệ thố ng cho phù hợ p.

Điều khoả n 10 – Cải tiến hệ thố ng: Giữ vữ ng nguyên tắ c Kế hoạ ch – Thự c hiện – Kiểm tra – Hà nh
độ ng. Điều khoả n 10 trong tiêu chuẩ n ISO 27001; cũ ng đưa ra các yêu cầu đả m bả o Hệ thố ng quả n
lý an ninh thô ng tin khô ng ngừ ng đượ c cả i tiến trong quá trình hoạ t độ ng. Điều khoả n nà y bao gồ m
các quy định trong việc á p dụ ng các chính sá ch mớ i; các hoạ t độ ng khắc phụ c, phò ng ngừ a điểm yếu
đã xả y ra. Và để đả m bả o hiệu quả củ a Hệ thố ng quả n lý an ninh thô ng tin.

4. Lợi ích triển khai hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001

Hiện nay, ISO 27001 hệ thố ng quả n lý an ninh thô ng tin; trở nên rấ t hiệu quả đố i vớ i các cô ng ty, tổ
chứ c. Và có thể đá p ứ ng nhu cầu tương lai củ a các tổ chứ c nà y. Vì cô ng nghệ và cá c quy định luậ t
phá p thay đổ i liên tụ c. Nên cô ng ty, doanh nghiệp, tổ chứ c củ a bạ n rấ t cầ n mộ t đố i tá c chứ ng nhậ n
có thể cung cấ p về sự thay đổ i củ a cô ng nghệ; và quy định phá p luậ t để xâ y dự ng kế hoạch sao cho
phù hợ p nhấ t.

Sau đâ y là nhữ ng lợ i ích khi triển khai hệ thố ng quả n lý an ninh thô ng tin theo tiêu chuẩ n ISO
27001:

– Đả m bả o an toà n thô ng tin củ a tổ chứ c đố i tác và khá ch hà ng; giú p cho hoạ t độ ng củ a tổ chứ c luô n
thô ng suố t và an toà n.

– Giú p hoạ t độ ng đảm bả o an toà n thô ng tin luô n đượ c duy trì và cả i tiến. Cá c biện phá p kỹ thuậ t và
chính sá ch tuâ n thủ đượ c xem xét, đá nh giá hiệu quả và cập nhậ t định kỳ.

– Giú p nhâ n viên việc đả m bả o an toà n thô ng tin trong hoạ t độ ng nghiệp vụ thườ ng ngà y; Các sự cố
an toà n thô ng tin do ngườ i dù ng gâ y ra; sẽ đượ c hạ n chế tố i đa khi nhâ n viên đượ c đà o tạ o; nâ ng
cao nhậ n thứ c về an toà n thô ng tin.

– Đả m bả o hoạ t độ ng nghiệp vụ củ a tổ chứ c khô ng bị giá n đoạ n bở i cá c sự cố liên quan đến an toà n
thô ng tin.

– Nâ ng cao uy tín củ a tổ chứ c, tă ng sứ c cạ nh tranh; tạ o lò ng tin vớ i đố i tác, khá ch hà ng; thú c đẩ y quá
trình toà n cầu hó a và tă ng cơ hộ i hợ p tá c quố c tế.

5. Quy trình triển khai tiêu chuẩn ISO 27001

ISO-CERT là mộ t trong nhữ ng đơn vị chuyên tư vấ n. Triển khai Hệ thố ng ISMS cho cá c cô ng ty,
doanh nghiệp, tổ chứ c. Chú ng tô i đề xuấ t các tổ chứ c xâ y dự ng ISMS theo cá c bướ c dướ i đâ y để đá p
ứ ng cá c yêu cầ u củ a tiêu chuẩ n ISO 27001:

– Bướ c 1: Khả o sá t và lậ p kế hoạch.

– Bướ c 2: Xác định phương phá p quả n lý rủ i ro an toà n thô ng tin.

– Bướ c 3: Xâ y dự ng hệ thố ng đảm bả o an toà n thô ng tin tạ i đơn vị.

– Bướ c 4: Triển khai á p dụ ng: cá c biện phá p đã lự a chọ n, đá p ứ ng chính sách, quy định, quy trình
xâ y dự ng và yêu cầ u củ a tiêu chuẩ n ISO 27001.
– Bướ c 5: Đá nh giá nộ i bộ : khắc phụ c cá c điểm khô ng phù hợ p vớ i yêu cầ u củ a tiêu chuẩ n.

Sau khi thự c hiện xong bướ c 5. Cô ng ty/doanh nghiệp/tổ chứ c có thể mờ i các đơn vị độ c lậ p để
đá nh giá ; và cấ p Chứ ng nhậ n phù hợ p vớ i tiêu chuẩ n Hệ thố ng quả n lý an toà n thô ng tin ISO 27001
đã xâ y dự ng.

6. Tổng quan về tiêu chuẩn ISO/IEC 27002

ISO/IEC 27002 là mộ t tiêu chuẩ n quố c tế thuộ c bộ tiêu chuẩ n ISO/IEC 27000 về lĩnh vự c ATTT. Tiêu
chuẩ n nà y có nguồ n gố c xuấ t phá t từ mộ t tà i liệu có tên “PD 0003 A Code of Practice for Information
Security Management” đượ c Viện Tiêu chuẩ n Anh Quố c (British Standards Institute - BSI) xuấ t
bả n. Đến nă m 1995, Viện Tiêu chuẩ n Anh Quố c đã thô ng qua tài liệu nà y và ban hà nh thà nh tiêu
chuẩ n BS 7799-1 “IT - Security techniques - Code of practice for information security management”.
Tiêu chuẩ n nà y đượ c phá t triển thà nh Tiêu chuẩ n Quố c tế mã hiệu ISO/IEC 17799:2000 và phá t
triển và o thá ng 6/2005 thà nh tiêu chuẩ n ISO/IEC 17799:2005. Đến thá ng 11/2005, tiêu chuẩ n nà y
đượ c sử a đổ i thà nh ISO/IEC 27002: 2005 “Cô ng nghệ thô ng tin (CNTT) - Cá c kỹ thuậ t an ninh - Quy
tắ c thự c hà nh quả n lý ATTT” (Information technology - Security techniques - Code of practice for
infomation security management).
Nộ i dung ISO/IEC 17799:2005 đượ c phá t triển thà nh tiêu chuẩ n ISO 27002:2005 bao gồ m 134 biện
phá p cho an ninh thô ng tin và đượ c nhó m thà nh 39 phâ n loại, thuộ c 11 điều khoả n như sau:
      - Chính sá ch an ninh thô ng tin (Information security policy): chỉ thị và hướ ng dẫ n về an ninh
thô ng tin;
      - Tổ chứ c an ninh thô ng tin (Organization of information security): tổ chứ c biện phá p an ninh và
qui trình quả n lý;
      - Quả n lý tà i sả n (Asset management): trá ch nhiệm và phâ n loạ i giá trị thô ng tin;
      - An ninh nguồ n nhâ n lự c (Human resource security) : bả o đả m an toà n thô ng tin;
      - An ninh vậ t lý và mô i trườ ng (Physical and environmental security);
      - Quả n lý vậ n hà nh và trao đổ i thô ng tin (Communications and operations management);
      - Kiểm soá t truy cậ p (Access control);
      - Tiếp nhậ n, phá t triển và duy trì các hệ thố ng thô ng tin (Information systems acquisition,
development and maintenance);
      - Quả n lý sự cố mấ t an ninh thô ng tin (Information security incident management);
      - Quả n lý duy trì khả nă ng tồ n tạ i củ a doanh nghiệp (Business continuity management);
      - Tuâ n thủ các quy định (Compliance).
Đến thá ng 9.2013, tiêu chuẩ n ISO/IEC 27002 đượ c cậ p nhậ t lên phiên bả n mớ i ISO/IEC
27002:2013. Phiên bả n cậ p nhậ t năm 2013 nà y có nhiều thay đổ i so vớ i phiên bả n nă m 2005 để cậ p
nhậ t cá c yêu cầ u về ATTT đá p ứ ng vớ i sự phá t triển và bù ng nổ củ a ngà nh CNTT sau gầ n mộ t thậ p
kỷ. Tiêu chuẩ n ISO/IEC 27002:2013 giữ lại mộ t số phầ n nộ i dung chính về đề mụ c và biện phá p
kiểm soá t theo phiên bả n ISO/IEC 27002:2005, ngoà i ra cũ ng thay đổ i bổ sung cá c biện phá p kiểm
soá t mớ i và cậ p nhậ t lạ i các biện phá p kiểm soá t cho phù hợ p. Nộ i dung tiêu chuẩ n ISO/IEC
27002:2013 bao gồ m 114 biện phá p kiểm soá t nhó m lại trong 35 phâ n loại, thuộ c 14 điều khoả n
(nhó m mụ c tiêu) như sau: Chính sách ATTT; Tổ chứ c đả m bả o ATTT; Đảm bả o ATTT từ nguồ n
lự c; Quả n lý tà i sả n; Quả n lý truy cậ p; Mậ t mã hó a; Đảm bả o an toà n vậ t lý và mô i trườ ng; An toà n
vậ n hà nh; An toà n truyền thô ng; Tiếp nhậ n, phá t triển và duy trì cá c hệ thố ng thô ng tin; Quan hệ vớ i
nhà cung cấ p; Quả n lý sự cố ATTT; Các khía cạ nh ATTT trong quả n lý sự liên tụ c củ a hoạ t độ ng
nghiệp vụ ; Sự tuâ n thủ .

7. Mối quan hệ giữa tiêu chuẩn ISO/IEC 27000  và các tiêu chuẩn khác
Tiêu chuẩ n ISO/IEC 27002 có mố i quan hệ khă ng khít vớ i tiêu chuẩ n ISO/IEC 27001, do tiêu chuẩ n
ISO/IEC 27001 có tiền thâ n là tiêu chuẩ n BS 7799-2 (phầ n 2 củ a bộ tiêu chuẩ n BS 7799) đượ c Viện
Tiêu chuẩ n Anh Quố c ban hà nh cò n tiêu chuẩ n ISO/IEC 27002 có tiền thâ n là tiêu chuẩ n BS 7799-1
(phầ n 1 củ a bộ tiêu chuẩ n BS 7799). Tiêu chuẩ n ISO/ IEC 27001 (phiên bả n năm 2005 và hiện nay
phiên bả n mớ i nhấ t ban hà nh năm 2013) quy định các yêu cầu đố i vớ i mộ t hệ thố ng quả n lý ATTT,
có thể đượ c cấ p chứ ng nhậ n, vớ i phầ n Phụ lụ c đưa ra cá c biện phá p kiểm soá t cầ n thự c hiện. Cá c
biện phá p kiểm soá t nà y chính là các biện phá p kiểm soá t đưa ra trong tiêu chuẩ n ISO/IEC 27002.
Vì vậ y, cá c tổ chứ c muố n cấ p chứ ng nhậ n tiêu chuẩ n ISO/IEC 27001 cầ n phải đá p ứ ng các nộ i dung
về quy tắ c thự c hà nh quả n lý ATTT đưa ra trong tiêu chuẩ n ISO/IEC 27002.

Hình 1: Lịch sử hình thà nh và mố i quan hệ giữ a tiêu chuẩ n ISO/IEC 27000 và ISO/IEC 27001,
ISO/IEC 27002
 Hình 2 : Mố i quan hệ giữ a các tiêu chuẩ n trong bộ tiêu chuẩ n ISO/IEC 27000

8. Tình hình áp dụng tiêu chuẩn ISO/IEC 27002 trên thế giới
Tiêu chuẩ n ISO/IEC 27002 là bộ quy tắ c thự c hà nh quả n lý ATTT, đưa ra cá c biện phá p kiểm soá t
phù hợ p vớ i cá c tổ chứ c thuộ c nhiều lĩnh vự c khá c nhau. Vì vậ y, tiêu chuẩ n ISO/IEC từ phiên bả n
nă m 2005 đượ c rấ t nhiều nướ c trên thế giớ i á p dụ ng theo hình thứ c dịch sang bả n ngữ và chấ p
thuậ n nguyên vẹn. Tính đến thờ i điểm phiên bả n mớ i năm 2013 đượ c ban hà nh, đã có gầ n 18000 tổ
chứ c trên thế giớ i đượ c cấ p chứ ng nhậ n/chứ ng chỉ ISO/IEC 27001:2005, trong đó đá p ứ ng cá c yêu
cầu về quy tắ c thự c hà nh ATTT theo tiêu chuẩ n ISO/IEC 27002:2005. Sau khi phiên bả n mớ i
ISO/IEC 27001:2013 và ISO/IEC 27002:2013 đượ c ban hà nh, nhiều nướ c cũ ng đã và đang cậ p nhậ t
tiêu chuẩ n quố c gia củ a mình lên phiên bả n mớ i tương ứ ng vớ i tiêu chuẩ n quố c tế.
Tiêu chuẩ n ISO/IEC 27001:2013 và ISO/IEC 27002:2013 ban hà nh giú p các tổ chứ c cả i thiện hiệu
quả khi triển khai và quả n lý hệ thố ng ISMS củ a mình. Các tổ chứ c đã có chứ ng chỉ/ chứ ng nhậ n
theo phiên bả n ISO/IEC 27001:2005 đượ c cho phép thờ i gian gia hạ n 2 nă m để đá p ứ ng cá c yêu cầ u
theo phiên bả n ISO/IEC 27001:2013.
Danh sá ch mộ t số nướ c đã cậ p nhậ t tiêu chuẩ n phiên bả n ISO/IEC 27002:2013 như Bả ng 1:
Bả ng 1: Danh sách mộ t số nướ c đã cậ p nhậ t tiêu chuẩ n quố c gia phù hợ p vớ i phiên bả n tiêu chuẩ n
quố c tế ISO/IEC 27002:2013
Tên Tên mã tiêu Ngày ban Tên chi tiết Tiêu chuẩn quốc gia
TT
 nước  chuẩn  hành  ban hành

Standard: BSI - BS ISO/IEC 27002

BSI - BS ISO/IEC Information Technology - Security
1 Anh 01/10/2013
27002 Techniques - Code Of Practice For
Information Security Controls

AS ISO/IEC AS ISO/IEC 27002:2015

2 Úc 1/1/2015
27002:2015 Information technology - Security
 techniques - Code of practice for
information security controls
KS X ISO/IEC 27002:2014
Hà n KS X ISO/IEC Information technology — Security
3 12/12/2014
Quố c 27002:2014 techniques — Code of practice for
information security management
JSA - JIS Q 27002
Information Technology - Security
4 Nhậ t JSA - JIS Q 27002 3/20/2014
Techniques - Code Of Practice For
Information Security Controls
DS/ISO/IEC 27002
Đan Information Technology - Security
5 DS/ISO/IEC 27002 1/9/2014
Mạ ch Techniques - Code Of Practice For
Information Security Controls

SN NS-ISO/IEC 27002
NS-ISO/IEC Information Technology - Security
6 Na Uy 11/1/2013
27002:2013 Techniques - Code Of Practice For
Information Security Controls
SVENSK STANDARD SS-ISO/IEC
Thụ y SS-ISO/IEC 27002:2014 Informationsteknik –
7 2/26/2014
Điển 27002:2014 Sä kerhetstekniker – Riktlinjer fö r
informationssä kerhetså tgä rder
SANS 27002 (2014) Information
SANS
technology - Security techniques - Code
8 Nam Phi 27002:2014/ISO/I 3/20/2014
of practice for information security
EC 27002:2013
controls
NF ISO/IEC 27002:2014
NF ISO/IEC Information Technology - Security
9 Phá p 1/1/2014
27002:2014 Techniques - Code Of Practice For
Information Security Controls
NBR ISO/IEC 27002:2013
NBR ISO/IEC Information Technology - Security
10 Braxin 11/8/2013
27002:2013 Techniques - Code Of Practice For
Information Security Controls
SN ISO/IEC 27002:2013
SN ISO/IEC Information Technology - Security
11 Thụ y Sĩ 11/1/2013
27002:2013 Techniques - Code Of Practice For
Information Security Controls
CAN/CSA-ISO/IEC 27002:15 -
Information technology - Security
CAN/CSA-ISO/IEC techniques - Code of practice for
12 Canada 10/1/2013
27002:15 information security controls (Adopted
ISO/IEC 27002:2013, second edition,
2013-10-01)

9. Tình hình áp dụng tiêu chuẩn ISO/IEC 27002 tại Việt Nam
Tạ i Việt Nam, phiên bả n ISO/IEC 27002:2005 đã đượ c chuyển đổ i thà nh TCVN ISO/IEC 27002:2011
dướ i dạ ng chấ p thuậ n nguyên vẹn tiêu chuẩ n ISO/IEC 27002:2005.
Tiêu chuẩ n quố c gia TCVN ISO/IEC 27002:2011 là cơ sơ để cá c tổ chứ c trong nướ c tham khả o và
tuâ n theo cá c quy tắc thự c hà nh quả n lý ATTT. Tiêu chuẩ n nà y là mộ t phầ n bổ trợ cho tiêu chuẩ n
TCVN ISO/IEC 27001:2009 để các tổ chứ c trong nướ c đá p ứ ng cá c yêu cầ u, quy tắ c thự c hà nh quả n
lý ATTT. Vì vậ y, các tổ chứ c khi đượ c cấ p chứ ng nhậ n ISO/IEC 27001 sẽ dự a và o các hướ ng dẫ n chi
tiết trong ISO/IEC 27002 để triển khai hệ thố ng ATTT củ a mình theo cá c tình huố ng và bố i cả nh cụ
thể.
Kể từ khi phiên bả n ISO/IEC 27001 và ISO/IEC 27002 ban hà nh đầ u tiên năm 2005, có rấ t nhiều
thay đổ i củ a thế giớ i an ninh thô ng tin về cá c mố i đe dọ a, điểm yếu kỹ thuậ t và rủ i ro liên quan đến
điện toá n đá m mâ y, dữ liệu lớ n và nhấ t là an ninh mạ ng đã hơn 8 năm. Tổ chứ c tiêu chuẩ n quố c tế
đã tổ chứ c cuộ c họ p vớ i cá c chuyên gia chuyên ngà nh tìm kiếm cá c điểm cả i tiến cho tiêu chuẩ n
ISO/IEC 27001:2013 và ISO/IEC 27002:2013. Kết quả rấ t tích cự c và đã tinh giả n các biện phá p
kiểm soá t cũ ng như á p dụ ng bổ sung mộ t số biện phá p an toà n trướ c đâ y chưa có .

Hình 3 : Số lượ ng chứ ng chỉ ISO 27001 tạ i Việt Nam qua cá c năm
Nhậ n thứ c đượ c tầm quan trọ ng trong việc á p dụ ng ISO 27001, đặc biệt là đố i vớ i cá c nướ c đang
phá t triển - nơi trình độ ứ ng dụ ng CNTT chưa cao, phả i thườ ng xuyên đố i mặ t vớ i nhiều nguy cơ bị
thấ t thoá t thô ng tin, các doanh nghiệp Việt Nam cũ ng đã có nhữ ng cô ng ty tham gia thự c hiện Hệ
thố ng quả n lý bả o mậ t thô ng tin ISO 27001.
Thá ng 1/2007: Cô ng ty CSC Việt Nam (Computer Sciences Corporation) đã trở thà nh đơn vị đầ u
tiên có đượ c chứ ng nhậ n ISO 27001. Đến thá ng 7/2013 ở Việt Nam có 5 đơn vị (CSC Vietnam, FPT
IS, FPT Soft, GHP FarEast, ISB Corporation Vietnam…) đã đạ t chứ ng nhậ n ISO 27001 và hơn 10 đơn
vị (HPT Soft, VietUnion, Quantic…) đang trong quá trình triển khai ứ ng dụ ng tiêu chuẩ n nà y. Đến
hết năm 2012, Việt Nam đã có 249 chứ ng chỉ ISO 27001. Cũ ng qua số liệu nà y, chú ng ta có thể thấ y
số đơn vị đạ t chứ ng nhậ n ISO 27001 tại Việt Nam khá khiêm tố n so vớ i Nhậ t Bả n (53290 chứ ng
nhậ n), Trung Quố c (8294 chứ ng nhậ n), Malaysia (759 chứ ng nhậ n). Mộ t trong nhữ ng nguyên nhâ n
củ a tình trạ ng nà y là chi phí để đạ t chứ ng nhậ n ISO 27001 khá cao, bao gồ m cá c chi phí về tư vấ n,
cấ p chứ ng nhậ n và đặ c biệt là chi phí doanh nghiệp phải bỏ ra để thự c hiện cá c biện phá p kiểm soá t
rủ i ro.
Số lượ ng cá c doanh nghiệp thự c hiện và đượ c cấ p chứ ng chỉ về ISO 27001 tạ i Việt Nam tă ng hà ng
nă m. Năm 2014, Việt Nam đượ c cấ p 94 chứ ng chỉ ISO 27001, nhiều hơn so vớ i nă m 2013 và 2012
lầ n lượ t là 55 và 50 chứ ng chỉ.
Bộ Thô ng tin và Truyền thô ng cũ ng tổ chứ c các hộ i thả o và các khó a đà o tạ o hướ ng dẫ n doanh
nghiệp hiểu rõ về cá c biện phá p kiểm soá t chi tiết đưa ra trong tiêu chuẩ n ISO/IEC 27002 (các biện
phá p kiểm soá t nà y đượ c nêu tổ ng thể tạ i Phụ lụ c củ a tiêu chuẩ n ISO/IEC 27001). Cá c biện phá p
kiểm soá t nà y đượ c đưa ra dướ i hình thứ c các tình huố ng, kịch bả n về ATTT khá c nhau để các tổ
chứ c cũ ng như ngườ i tham gia hiểu đượ c và á p dụ ng đú ng đắ n trong trườ ng hợ p củ a mình.

Tiêu chuẩ n ISO/IEC 27002 đượ c ban hà nh như mộ t bả n hướ ng dẫ n chi tiết thự c hiện cá c biện phá p
kiểm soá t cho quy trình quả n lý hệ thố ng ATTT đưa ra trong tiêu chuẩ n ISO/IEC 27002 từ việc khở i
đầ u, thiết lậ p, quả n lý và duy trì ATTT trong tổ chứ c. Phiên bả n ISO/IEC 27001:2013 và ISO/IEC
27002:2013 ban hà nh để cậ p nhậ t các nộ i dung để phù hợ p vớ i tình hình ATTT hiện nay trên thế
giớ i. Các tổ chứ c trên thế giớ i và tạ i Việt Nam cũ ng đã nhậ n thứ c đượ c tâm quan trọ ng củ a ATTT,
bằ ng chứ ng là số chứ ng chỉ ATTT 27001 và số tổ chứ c chuyển đổ i cập nhậ t lên phiên bả n mớ i nă m
2013 liên tụ c tă ng qua các năm. Việc rà soá t lại tiêu chuẩ n Việt Nam TCVN ISO/IEC 27002 đã ban
hà nh và cậ p nhậ t phiên bả n mớ i nhấ t là cấ n thiết để tạ o điều kiện thuậ n lợ i cho cá c doanh nghiệp
trong nướ c á p dụ ng.