BỘ THÔNG TIN VÀ TRUYỀN THÔNG

---------

THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA

TCVN xxxx:xxxx

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN

TOÀN – QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN
THÔNG TIN
Information technology – Security techniques – Code of practice for infomation
security management

HÀ NỘI - 9/2010
 MỤC LỤC

1 HIỆN TRẠNG QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM.................................3

1.1 Hiện trạng quản lý an toàn thông tin ở Việt Nam........................................................3
1.2 Chủ trương chính sách của nhà nước về an toàn thông tin..........................................3
1.3 Kết luận........................................................................................................................4
2 GIỚI THIỆU VỀ TÀI LIỆU THAM CHIẾU, TIÊU CHUẨN VIỆN DẪN..................5
2.1 ISO/IEC 27002 - Quy tắc thực hành quản lý an toàn thông tin...................................6
2.2 TCVN 7562:2005 ISO/IEC 17799:2000- Công nghệ thông tin - Mã thực hành quản
lý an ninh thông tin...................................................................................................8
2.3 So sánh TCVN 7562:2005 ISO/IEC 17799:2000 và ISO/IEC 27002: 2005...............9
3 DỰ THẢO TIÊU CHUẨN QUỐC GIA VỀ QUY TẮC QUẢN LÝ AN TOÀN
THÔNG TIN...................................................................................................................13
3.1 Lý do xây dựng tiêu chuẩn:........................................................................................13
3.2 Nhu cầu thực tế và khả năng áp dụng:.......................................................................14
3.3 Mục đích:....................................................................................................................14
3.4 Sở cứ xây dựng tiêu chuẩn.........................................................................................14
3.5 Phương pháp xây dựng tiêu chuẩn.............................................................................14
3.6 Các nội dung dự thảo..................................................................................................14
1 HIỆN TRẠNG QUẢN LÝ AN TOÀN THÔNG TIN Ở VIỆT NAM
1.1 Hiện trạng quản lý an toàn thông tin ở Việt Nam
- Sự bùng nổ của Internet và thương mại điện tử bên cạnh việc tạo ra những cơ hội lớn
là những nguy cơ rủi ro mất an toàn thông tin, ảnh hưởng trực tiếp đến nền kinh tế và
xã hội hiện đại. Trong giai đoạn đầu của quá trình phát triển thương mại điện tử ở Việt
Nam, vấn đề mất an toàn thông tin được đánh giá là trở ngại lớn nhất.
- Hiện trạng an toàn thông tin ở Việt Nam vẫn còn rất yếu, trong đó nhận thức về tầm
quan trọng của an toàn thông tin của các tổ chức, doanh nghiệp vẫn chưa cao và đa số
không chú trọng đến lĩnh vực này.
- Kiến thức về an toàn thông tin của các tổ chức, doanh nghiệp còn thấp (nhiều nơi
không rõ động cơ của tội phạm tin học và định lượng được thiệt hại tài chính khi bị tấn
công).
- Việc kiểm soát an toàn thông tin hiện nay chủ yếu lệ thuộc vào các giải pháp kỹ thuật
mà chưa chú trọng đến yếu tố con người. Con người ở đây không phải chỉ những
người làm về CNTT trong tổ chức, doanh nghiệp, mà là tất cả mọi người ở tất cả các
bộ phận. Phải làm sao để tất cả những người đó họ nhận thức được rằng an toàn thông
tin là rất quan trọng và nó nắm vai trò quyết định sự thành công cũng như sự phát triển
của tổ chức, doanh nghiệp mình.
- Hầu hết tổ chức, doanh nghiệp không có quy chế về an toàn thông tin và quy trình
phản ứng khi có sự cố.
1.2 Chủ trương chính sách của nhà nước về an toàn thông tin

- Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ
thông tin trong hoạt động của cơ quan nhà nước đã quy định cơ quan nhà nước phải
xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn
thông tin; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo
đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về
an toàn thông tin.
- Năm 2007, Bộ Bưu chính Viễn thông (nay là Bộ Thông tin và Truyền thông) đã có
Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 về việc tăng cường đảm bảo an ninh
thông tin trên mạng Internet đã yêu cầu các cơ quan, tổ chức, doanh nghiệp viễn thông,
internet tham gia hoạt động trên mạng Internet phải xây dựng quy trình và quy chế
đảm bảo an ninh thông tin cho các hệ thống thông tin, tham khảo các chuẩn quản lý an
toàn TCVN 7562, ISO 27001, đảm bảo khả năng truy vết và khôi phục thông tin trong
trường hợp có sự cố.
- Ngày 13/1/2010, Thủ tướng Chính phủ đã ký Quyết định số 63/QĐ-TTg phê duyệt
Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020.

3
Quy hoạch đặt ra 4 mục tiêu tổng quát đến năm 2020, hệ thống thông tin trọng yếu
quốc gia được đảm bảo ATTT bởi các hệ thống bảo mật chuyên dùng có độ tin cậy
cao; hình thành mạng lưới điều phối ứng cứu sự cố về an toàn mạng và hạ tầng thông
tin quốc gia với sự tham gia của các thành phần kinh tế; Nhân lực công nghệ thông tin
của Việt nam được đào tạo về ATTT với trình độ tương đương với các nước dẫn đầu
trong khu vực ASEAN; nhận thức xã hội về ATTT được phổ cập và ngày một nâng
cao; 100% cán bộ quản trị hệ thống trong hệ thống thông tin trọng yếu quốc gia được
đào tạo và cấp chứng chỉ quốc gia về ATTT.

Năm 2010, ban hành hệ thống các tiêu chuẩn và tiêu chí đánh giá ATTT cho các hệ
thống thông tin, để từ năm 2015 các tiêu chuẩn này được áp dụng rộng rãi trong toàn
bộ các hệ thống thông tin trọng yếu của quốc gia.

Cục An toàn thông tin quốc gia sẽ được thành lập để quản lý, điều phối và hướng dẫn
cho các hoạt động đảm bảo ATTT trên phạm vi cả nước. Đồng thời, thành lập các
Nhóm ứng cứu sự cố máy tính (CSIRT) tại các cơ quan đơn vị và liên kết các CSIRT
thành một mạng lưới trên toàn quốc nhằm ứng phó kịp thời khi xảy ra các sự cố mất
ATTT.

1.3 Kết luận

Cùng với việc ứng dụng rộng rãi của Internet, đặc biệt Internet băng thông rộng, số vụ
xâm phạm an toàn bảo mật ở Việt Nam đã ngày càng tăng, đặt ra mối quan tâm ngày
càng lớn đối với vấn đề an toàn thông tin ở Việt Nam.

ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người. Tuy
nhiên, con người lại là khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông
tin. Việc nhận thức kém, thiếu cẩn thận và lơ là bảo mật là nguyên nhân chính gây ra
làm cho tình trạng mất an toàn thông tin ngày càng nghiêm trọng. Hầu hết tổ chức,
doanh nghiệp không có quy chế về an toàn thông tin và quy trình phản ứng khi có sự
cố.

Do vậy, cần có các chính sách và hệ thống tiêu chuẩn, quy chuẩn kỹ thuật về an toàn
thông tin làm căn cứ cho các tổ chức xây dựng quy chế an toàn thông tin của tổ chức
để bảo vệ thông tin trước các mối đe dọa và đảm bảo sự liên tục của hoạt động, giảm
thiểu rủi ro, đạt được tối đa lợi nhuận đầu tư và các cơ hội kinh doanh.

4
2 GIỚI THIỆU VỀ TÀI LIỆU THAM CHIẾU, TIÊU CHUẨN VIỆN DẪN
Bảng 1: Các tiêu chuẩn về hệ thống quản lý an toàn thông tin trên thế giới
và ở Việt Nam

STT Tiêu chuẩn ISO/IEC Tiêu chuẩn quốc gia

ISO/IEC 27000

1 Information security
management systems —
Overview and vocabulary

ISO/IEC 27001 TCVN ISO/IEC 27001:2009 ISO/IEC

27001:2005
2 Information security
management systems — Công nghệ thông tin - Hệ thống quản
Requirements lý an toàn thông tin – Các yêu cầu
TCVN 7562:2005
ISO/IEC 27002
ISO/IEC 17799:2000
3 Công nghệ thông tin - Mã thực hành
Code of practice for information
quản lý an ninh thông tin
security management

ISO/IEC 27003

4 Information security
management system
implementation guidance

ISO/IEC 27004
5
Information security risk
management

ISO/IEC 27005

6 Information security risk

management management
systems
7 ISO/IEC 27006

Requirements for bodies

providing audit and certification
of information security

5
 management systems

ISO/IEC 27011

Information security
8 management guidelines for
telecommunications
organizations based on ISO/IEC
27002

ISO 27799

9 Information security
management in health using
ISO/IEC 27002

2.1 ISO/IEC 27002 — Công nghệ thông tin - Quy tắc thực hành quản lý an toàn
thông tin
Phiên bản hiện tại: ISO/IEC 27002: 2005
Từ năm 2005, tiêu chuẩn quốc tế ISO 17799:2000 được tổ chức ISO/IEC thay thế
chính thức bằng tiêu chuẩn quốc tế ISO/IEC 17799:2005 và năm 2007 được đổi tên
thành tiêu chuẩn ISO/IEC 27002:2005 để áp dụng cùng với các tiêu chuẩn khác về
quản lý an toàn thông tin trong bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin
ISO/IEC 27000.
Mục tiêu
Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai,
duy trì và cải thiện công tác quản lý an toàn thông tin trong một tổ chức. Mục tiêu đặt
ra của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đích chung
đã được công nhận về quản lý an toàn thông tin.
Các mục tiêu và biện pháp kiểm soát của tiêu chuẩn này được triển khai đáp ứng các
yêu cầu được xác định bởi quá trình đánh giá rủi ro. Tiêu chuẩn này có thể đóng vai
trò như một định hướng thực hành trong việc xây dựng các tiêu chuẩn an toàn cho tổ
chức và thực hành quản lý an toàn hiệu quả và giúp tạo dựng sự tin cậy trong các hoạt
động liên tổ chức.
Nội dung
Sự phát triển công nghệ, dịch vụ cũng như sự thay đổi khác trong xã hội đã bộc lộ
những vấn đề mà tiêu chuẩn ISO/IEC 17799: 2000 chưa đáp ứng được. Nội dung của

6
ISO/IEC 27002: 2005 đã được cập nhật để bổ sung, điều chỉnh một số vấn đề so với
ISO/IEC 17799: 2000 để đáp ứng được các yêu cầu thực tiễn.
Nội dung của ISO/IEC 27002: 2005 bao gồm 134 biện pháp cho an toàn thông tin và
được chia thành 11 nhóm. Dựa trên việc phân tích các ý kiến thu thập từ việc triển khai
thực tế cấu trúc phiên bản mới này có khá nhiều thay đổi so với phiên bản năm 2000.
Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việc bảo đảm an toàn
thông tin trong thương mại điện tử, các dịch vụ do các đối tác bên ngoài cung cấp,
quản lý nhân sự, sử dụng mạng không dây…
Cấu trúc
Về mặt cấu trúc, tiêu chuẩn ISO/IEC 27002: 2005 đã có một số thay đổi phù hợp hơn
với thực tế so với tiêu chuẩn ISO/IEC 17799.
Tiêu chuẩn này gồm 11 điều về kiểm soát an toàn thông tin với tất cả 39 danh mục an
toàn chính và một điều giới thiệu về đánh giá và xử lý rủi ro. Mỗi điều gồm một số
danh mục an toàn chính:
 Chính sách an toàn (1)
 Tổ chức thực hiện an toàn thông tin (2)
 Quản lý tài sản (2)
 An toàn nguồn nhân lực (3)
 An toàn vật lý và môi trường (2)
 Quản lý khai thác và truyền thông (10)
 Kiểm soát truy cập (7)
 Thu thập, phát triển và duy trì hệ thống thông tin (6)
 Quản lý sự cố an toàn thông tin (2)
 Quản lý tính liên tục về nghiệp vụ (1)
 Sự tuân thủ (3)
Trong tiêu chuẩn này nội dung của các điều không đề cập đến tầm quan trọng của
chúng. Tùy thuộc vào từng trường hợp cụ thể, tất cả các điều này có thể rất quan trọng,
vì vậy mỗi tổ chức áp dụng tiêu chuẩn này cần xác định các điều khoản thích hợp, tầm
quan trọng của chúng và áp dụng chúng cho các quá trình nghiệp vụ cụ thể. Các danh
mục trong tiêu chuẩn này không được đặt theo thứ tự ưu tiên (trừ khi được chú thích).
ISO/IEC 27002 đã có các tiêu chuẩn hoàn toàn tương đương ở một số quốc gia.

7
 Bảng 2: Các tiêu chuẩn quốc gia tương đương ISO/IEC 27002

Quốc gia Tiêu chuẩn tương đương

Australia
AS/NZS ISO/IEC 27002:2006
New Zealand

Brazil ISO/IEC NBR 17799/2007 - 27002

Czech Republic ČSN ISO/IEC 27002:2006

Denmark DS484:2005

Estonia EVS-ISO/IEC 17799:2003, đang dịch phiên bản năm 2005

Japan JIS Q 27002

Lithuania LST ISO/IEC 17799:2005

Netherlands NEN-ISO/IEC 17799:2002 nl, đang dịch phiên bản năm 2005

Poland PN-ISO/IEC 17799:2007

Peru NTP-ISO/IEC 17799:2007

South Africa SANS 17799:2005

Spain UNE 71501

Sweden SS 627799

Turkey TS ISO/IEC 27002

United Kingdom BS ISO/IEC 27002:2005

Uruguay UNIT/ISO 17799:2005

Russia ГОСТ/Р ИСО МЭК 17799-2005

China GB/T 22081-2008

2.2 TCVN 7562:2005 ISO/IEC 17799:2000- Công nghệ thông tin - Mã thực hành
quản lý an ninh thông tin
Tiêu chuẩn này được xây dựng dựa trên tiêu chuẩn quốc tế ISO/IEC 17799:2000 và
hoàn toàn tương đương với tiêu chuẩn quốc tế này. Đây chính là phiên bản cũ của
ISO/IEC 27002.

8
Tiêu chuẩn này đưa ra các khuyến nghị về công tác quản lý an ninh thông tin cho
những người có trách nhiệm cài đặt, thực thi hoặc duy trì an ninh trong tổ chức của họ.
Tiêu chuẩn này nhằm cung cấp một cơ sở chung để xây dựng các tiêu chuẩn an ninh
trong tổ chức và thực hành quản lý an toàn thông tin một cách hiệu quả và tạo sự tin
cậy trong các giao dịch liên tổ chức.
Cũng như ISO/IEC 17799:2000, TCVN 7562:2005 ISO/IEC 17799:2000 đã đưa ra 127
biện pháp nhằm đảm bảo an toàn thông tin được phân thành 10 nhóm, bao gồm:
 Chính sách an ninh
 An ninh tổ chức
 Phân loại và kiểm soát tài sản
 An ninh cá nhân
 An ninh môi trường và vật lý
 Quản lý truyền thông và hoạt động
 Kiểm soát truy cập
 Phát triển và duy trì hệ thống
 Quản lý liên tục trong kinh doanh
 Sự tuân thủ
2.3 So sánh TCVN 7562:2005 ISO/IEC 17799:2000 và ISO/IEC 27002: 2005
Phần này so sánh 2 tiêu chuẩn TCVN 7562:2005 ISO/IEC 17799:2000 (ISO/IEC
17799:2000) và ISO/IEC 27002: 2005 để thấy được sự cải tiến của ISO/IEC 27002:
2005 so với phiên bản cũ đồng thời đánh giá sự phù hợp và khả năng đáp ứng yêu cầu
thực tiễn của TCVN 7562:2005 ISO/IEC 17799:2000.
Về nội dung:
Nội dung của ISO/IEC 27002: 2005 đã được cập nhật, bổ sung, điều chỉnh một số vấn
đề so với ISO/IEC 17799: 2000. Cụ thể:
- Bổ sung, điều chỉnh một số thuật ngữ:
o Bổ sung 14 thuật ngữ
o Thuật ngữ “đánh giá rủi ro” trong ISO/IEC 27002: 2005 được định nghĩa
là “toàn bộ quá trình phân tích rủi ro và ước lượng rủi ro”, còn trong
TCVN 7562 là “đánh giá các mối đe dọa, những ảnh hưởng và điểm yếu
của thông tin và các phương tiện xử lý thông tin cũng như khả năng có
thể xảy ra”.

9
 o Thuật ngữ “quản lý rủi ro” trong ISO/IEC 27002: 2005 được định nghĩa
là “các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước
các rủi ro có thể xảy ra” với lưu ý rằng “Quản lý rủi ro thường gồm đánh
giá rủi ro, xử lý rủi ro, thừa nhận rủi ro và thông báo rủi ro”.
- Bổ sung các 2 điều về đánh giá và xử lý rủi ro, và quản lý sự cố an toàn thông
tin
- Nội dung trong các điều đã có ở ISO/IEC 17799: 2000 khi được đưa vào
ISO/IEC 27002: 2005 cũng có sự bổ sung, điều chỉnh phù hợp. Ví dụ, điều 10-
quản lý khai thác và truyền thông, có bổ sung nội dung về trao đổi thông tin khi
làm việc với tổ chức bên ngoài, và nội dung về các dịch vụ thương mại điện tử.
Ngoài ra, TCVN 7562:2005 ISO/IEC 17799:2000 có một số lỗi dịch thuật chưa chính
xác:
- Thuật ngữ “an ninh” và “an ninh thông tin” được sử dụng trong tiêu chuẩn
TCVN 7562:2005 ISO/IEC 17799:2000 phải được dịch là “an toàn” và “an toàn
thông tin” theo đúng định nghĩa về an toàn thông tin là “Sự duy trì tính bảo mật,
tính toàn vẹn và tính sẵn sàng của thông tin”.
- Điều 6 của TCVN 7562:2005 ISO/IEC 17799:2000 có tên là “an ninh cá nhân”
xuất phát từ cụm từ “personnel security”. Cụm từ “personnel security” trong
tiêu chuẩn này có ý nghĩa là việc đảm bảo an toàn thông tin từ nguồn nhân lực.

Bảng 3: So sánh TCVN 7562:2005 ISO/IEC 17799:2000 và ISO/IEC 27002: 2005

10
 TCVN 7562:2005
ISO/IEC 17799:2005
ISO/IEC 17799:2000
Thuật ngữ và định nghĩa (Terms and Terms and definitions: 17 thuật ngữ
definitions): 3 thuật ngữ
Risk assessment & treatment
Chính sách an ninh (Security policy) Security policy
Chính sách an ninh thông tin Information security policy
An ninh tổ chức Organisation of information security
(Security organization)
Hạ tầng an ninh thông tin Internal Organization
An ninh đối với sự truy cập của bên thứ ba External parties
Cung ứng bên ngoài
Phân loại và kiểm soát tài sản (Asset Asset management
classification and control)
Trách nhiệm giải trình các tài sản Responsibility for Assets
Phân loại thông tin Information classification
An ninh cá nhân (Personnel security) Human resource security
An ninh theo đĩnh nghĩa và nguồn công Prior to employment
việc
Đào tạo người sử dụng During employment
Đối phó với các sự cố và sự cố an ninh Termination or change employment
An ninh môi trường vật lý Physical and environmental security
(Physical and environmental security)
Phạm vi an ninh Secure areas
An ninh thiết bị Equipment security
Kiểm soát chung
Quản lý truyền thông và hoạt động Communications and operations
management
(Communication and operation management)
Trách nhiệm và thủ tục hoạt động Operational procedures and
responsibilities
Lập kế hoạch hệ thống và sự công nhận Thirt party service delivery management
Bảo vệ chống lại phần mềm cố ý gây hại System planning and acceptance
Công việc cai quản Protection agains malicious and mobilde
code
Quản lý mạng Back-up
Trình điều khiển và an ninh môi trường Network security management
truyền thông

11
 Các trao đổi thông tin và phần mềm
Kiểm soát truy cập (Access control)
Yêu cầu kinh doanh đối với kiểm soát truy
cập
Quản lý truy cập người sử dụng
Trách nhiệm của người sử dụng
Kiểm soát truy cập mạng
Kiểm soát truy cập hệ điều hành
Kiểm soát truy cập của ứng dụng
Kiểm tra sự truy cập và sử dụng hệ thống
Công tác từ xa và tính toán lưu động
Phát triển và duy trì hệ thống
(System development & maintenance)
Các yêu cầu an ninh của hệ thống
An ninh trong các hệ thống ứng dụng
Các kiểm soát mật mã hóa
An ninh các tệp hệ thống
An ninh quá trình hỗ trợ và phát triển
Quản lý liên tục trong kinh doanh
(Business continuity)
Các khía cạnh về quản lý liên tục trong
kinh doanh
Sự tuân thủ
(Compliance)
Tuân thủ các yêu cầu pháp lý
Soát xét của chính sách an ninh và yêu cầu
kỹ thuật
Sự xem xét kiểm tra hệ thống
Cấu trúc
Media handling
Exchange of information
Electronic commerce services
Monitoring
Access control
Business requirement for access control
User access management
User responsibilities
Network access control
Operating system access control
Application and information access
control
Mobile computing and teleworking
Information systems acquisition
development and maintenance.
Security requirements of information
systems
Correct processing in applications
Cryptographic controls
Security of system files
Sucurity in development and support
process
Technical vulnerability management
Information security incident management
Business continuity management
Information secrity aspects of business
continuity management
Compliance
Compliance with legal requirements
Compliance with security policies and
standard, and technical compliance
Information systems audit consideration
12
Về mặt cấu trúc, tiêu chuẩn ISO/IEC 27002: 2005 cũng có nhiều thay đổi so với phiên
bản cũ ISO/IEC 17799:2000.
Cấu trúc của các danh mục chính trong ISO/IEC 27002: 2005: Mỗi danh mục chính
bao gồm:
 Mục tiêu kiểm soát cần đạt được; và
 Một hoặc nhiều biện pháp kiểm soát có thể được áp dụng để đạt được mục tiêu
kiểm soát.
Phần mô tả biện pháp kiểm soát được cấu trúc như sau:
 Biện pháp kiểm soát: Đưa ra biện pháp kiểm soát cụ thể để thỏa mãn mục tiêu
kiểm soát.
 Hướng dẫn triển khai: Cung cấp nhiều thông tin chi tiết hơn để hỗ trợ triển khai
biện pháp kiểm soát và phù hợp với mục tiêu kiểm soát. Một vài trong số các
hướng dẫn này có thể không phù hợp với mọi trường hợp và vì vậy cần lựa
chọn phương thức triển khai biện pháp kiểm soát phù hợp.
 Thông tin khác: Cung cấp thông tin sâu hơn có thể cần phải quan tâm, ví dụ các
vấn đề về pháp lý và tham chiếu đến các tiêu chuẩn khác.
Như vậy có thể thấy rằng:
o Nội dung của TCVN 7562:2005 ISO/IEC 17799:2000 chưa phù hợp với
sự phát triển của công nghệ và dịch vụ trong giai đoạn bùng nổ thông tin
như hiện nay.
o ISO/IEC 27002:2005 đã có nhiều điểm cải tiến cả về cấu trúc và nội
dung. Hơn nữa, khi phiên bản này ra đời, rất nhiều quốc gia cũng đã sử
dụng phiên bản này để thay thế tiêu chuẩn cũ đã được xây dựng dựa trên
phiên bản năm 2000.
3 DỰ THẢO TIÊU CHUẨN QUỐC GIA VỀ QUY TẮC QUẢN LÝ AN TOÀN
THÔNG TIN
3.1 Lý do xây dựng tiêu chuẩn:

- Xây dựng tiêu chuẩn về quy tắc quản lý an toàn thông tin để hoàn chỉnh hệ thống tiêu
chuẩn về an toàn thông tin của Việt Nam, làm sở cứ để xây dựng các chính sách quản
lý an toàn thông tin và tăng cường áp dụng các biện pháp an toàn thông tin tại Việt
Nam.

- Tiêu chuẩn quốc gia TCVN 7562:2005 ISO/IEC 17799:2000 “Công nghệ thông tin –
Mã thực hành quản lý an ninh thông tin” được xây dựng chấp thuận nguyên vẹn

13
ISO/IEC 17799:2000 là phiên bản cũ của ISO/IEC 27002:2005 nên nội dung chưa
được cập nhật và phù hợp với thực tiễn. Phiên bản mới ISO/IEC 27002 đã cập nhật, bổ
sung, điều chỉnh một số vấn đề so với phiên bản năm 2000, với nhiều thay đổi về nội
dung và cấu trúc phù hợp với việc áp dụng thực tế.

Chính vì vậy cần thiết phải rà soát TCVN 7562:2005 ISO/IEC 17799:2000, xây dựng
tiêu chuẩn quốc gia mới thay thế dựa trên tiêu chuẩn quốc tế ISO/IEC 27002:2005.

3.2 Nhu cầu thực tế và khả năng áp dụng:

Tiêu chuẩn TCVN về quy tắc thực hành quản lý an toàn thông tin cần thiết để khuyến
khích các cơ quan, tổ chức và doanh nghiệp áp dụng nhằm bảo vệ các tài sản thông tin
của họ, đồng thời đồng thời tạo thêm sự tin tưởng của khách hàng và các đối tác.

3.3 Mục đích:

Xây dựng, ban hành tiêu chuẩn để khuyến nghị áp dụng, làm sở cứ cho các cơ quan
nhà nước ban hành các quy định quản lý về an toàn thông tin áp dụng tại Việt Nam.
3.4 Sở cứ xây dựng tiêu chuẩn

Tiêu chuẩn quốc tế ISO/IEC 27002:2005, đây cũng là tài liệu đã được nhiều quốc gia
sử dụng làm tài liệu gốc để xây dựng các tiêu chuẩn quốc gia tương đương

3.5 Phương pháp xây dựng tiêu chuẩn

- Tham chiếu, chấp nhận áp dụng nguyên vẹn tiêu chuẩn ISO/IEC 27002:2005.

- Rà soát 7562:2005 ISO/IEC 17799:2000, kế thừa các nội dung về thuật ngữ, dịch
thuật...

Tên tiêu chuẩn:

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUY TẮC THỰC
HÀNH QUẢN LÝ AN TOÀN THÔNG TIN

Information technology – Security techniques – Code of practice for

infomation security management

3.6 Các nội dung dự thảo

14
Dự thảo tiêu chuẩn được xây dựng dựa theo phương pháp chấp thuận nguyên vẹn
ISO/IEC 27002:2005 về nội dung. Tuy nhiên cần điều chỉnh cho phù hợp với quy định
hiện hành về thể thức và trình bày tiêu chuẩn quốc gia.

Bảng 4: Bảng đối chiếu tiêu chuẩn viện dẫn

Dự thảo TCVN “Công nghệ thông tin – ISO/IEC 27002:2005 “Information

Các kỹ thuật an toàn – Quy tắc thực technology — Security techniques —
hành quản lý an toàn thông tin” Code of practice for information
security management”

1 Phạm vi áp dụng 1: Scope

2 Tiêu chuẩn viện dẫn

3 Thuật ngữ và định nghĩa 2: Terms and Definitions

4 Đánh giá và xử lý rủi ro 4: Risk assessment and treatment

4.1 Đánh giá rủi ro an toàn 4.1: Assessment security risks

4.2 Xử lý các rủi ro an toàn thông tin 4.2: Treating security risks

5 Chính sách an toàn 5: security policy

5.1 Chính sách an toàn thông tin 5.1: Information security policy

6 Tổ chức đảm bảo an toàn thông tin 6: Organization of information

security

6.1 Tổ chức trong nội bộ 6.1: Internal Organization

6.2 Các bên tham gia bên ngoài 6.2: External parties

7 Quản lý tài sản 7 : Asset management

7.1 Trách nhiệm đối với tài sản 7.1: Responsibility for Assets

7.2 Phân loại thông tin 7.2: Information classification

8 Đảm bảo an toàn tài nguyên con 8: Human resources security

người

8.1 Trước khi tuyển dụng 8.1: prior to employment

8.2 Trong thời gian làm việc 8.2: during employment

8.3 Chấm dứt hoặc thay đổi công việc 8.3: termination or change
employment

15
Dự thảo TCVN “Công nghệ thông tin – ISO/IEC 27002:2005 “Information
Các kỹ thuật an toàn – Quy tắc thực technology — Security techniques —
hành quản lý an toàn thông tin” Code of practice for information
security management”

9 Đảm bảo an toàn vật lý và môi 9: Physical and environmental

trường security

9.1 Các khu vực an toàn 9.1: Secure areas

9.2 Đảm bảo an toàn trang thiết bị 9.2 Equipment security

10 Quản lý truyền thông và điều hành 10: Communications and operations

management

10.1 Các trách nhiệm và thủ tục điều 10.1: operational procedures and
hành responsibilities

10.2 Quản lý chuyển giao dịch vụ của 10.2: thirt party service delivery
bên thứ ba management

10.3 Chấp nhận và lập kế hoạch hệ 10.3: System planning and acceptance
thống

10.4 Bảo vệ chống lại mã độc hại và mã 10.4: Protection agains malicious and
di động mobilde code

10.5 Sao lưu 10.5: back-up

10.6 Quản lý an toàn mạng 10.6: network security management

10.7 Quản lý phương tiện 10.7: Media handling

10.8 Trao đổi thông tin 10.8: Exchange of information

10.9 Các dịch vụ thương mại điện tử 10.9: Electronic commerce services

10.10 Giám sát 10.10: Monitoring

11 Quản lý truy cập 11: Access control

11.1 Yêu cầu nghiệp vụ đối với quản lý 11.1: Business requirement for access
truy cập control

11.2 Quản lý sự truy cập người dùng 11.2: User access management

11.3 Các trách nhiệm của người dùng 11.3: User responsibilities

11.4 Quản lý truy cập mạng 11.4: Network access control

16
Dự thảo TCVN “Công nghệ thông tin – ISO/IEC 27002:2005 “Information
Các kỹ thuật an toàn – Quy tắc thực technology — Security techniques —
hành quản lý an toàn thông tin” Code of practice for information
security management”

11.5 Kiểm soát truy cập hệ thống điều 11.5: Operating system access control
hành

11.6 Điều khiển truy cập thông tin và 11.6: Application and information
ứng dụng access control

11.7. Tính toán di động và làm việc từ 11.7: Mobile computing and
xa teleworking

12 Tiếp nhận, phát triển và duy trì các 12: Information systems acquisition,
hệ thống thông tin development and maintenance

12.1 Yêu cầu đảm bảo an toàn cho các 12.1: Security requirements of
hệ thống thông tin information systems

12.2 Xử lý đúng trong các ứng dụng 12.2: Correct processing in

applications

12.3 Quản lý mã hóa 12.3: Cryptographic controls

12.4 An toàn các tệp tin hệ thống 12.4: Security of system files

12.5 Bảo đảm an toàn trong các quy 12.5: Sucurity in development and
trình hỗ trợ và phát triển support process

12.6 Quản lý các điểm yếu về kỹ thuật 12.6: Technical vulnerability

management

13 Quản lý các sự cố an toàn thông tin 13: Information security incident

management

13.1 Báo cáo về các sự kiện an toàn 13.1: Reporting information secrity
thông tin và các nhược điểm events and weaknesses

13.2 Quản lý các sự cố an toàn thông tin 13.2: management of information

và cải tiến secrity incidents and improvements

14 Quản lý sự liên tục của hoạt động 14: Business continuity management
nghiệp vụ

14.1 Các khía cạnh an toàn thông tin 14.1: information secrity aspects of
trong quản lý sự liên tục của hoạt động business continuity management
nghiệp vụ

15 Sự tuân thủ 15: Compliance

17
Dự thảo TCVN “Công nghệ thông tin – ISO/IEC 27002:2005 “Information
Các kỹ thuật an toàn – Quy tắc thực technology — Security techniques —
hành quản lý an toàn thông tin” Code of practice for information
security management”

15.1 Sự tuân thủ các quy định pháp lý 15.1: Compliance with legal
requirements

15.2 Sự tuân thủ các chính sách và tiêu 15.2: Compliance with security
chuẩn an toàn, và tương thích kỹ thuật policies and standard, and technical
compliance

15.3 Xem xét việc kiểm toán các hệ 15.3: Information systems audit
thống thông tin consideration

Thư mục tài liệu tham khảo Bibliography

18