TIÊU CHUẨN QUỐC GIA

TCVN 10543:2014

ISO/IEC 27010 : 2012

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUẢN LÝ AN TOÀN TRAO ĐỔI THÔNG TIN LIÊN TỔ CHỨC, LIÊN NGÀNH

lnformation technology - Security techniques - lnformation security management for inter-sector and inter-organizational communications

Lời nói đầu

TCVN 10543:2014 hoàn toàn tương đương với ISO/IEC 27010:2012 TCVN ISO/IEC 10543:2014 do Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin và truyền thông tổ chức xây dựng và đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUẢN LÝ AN TOÀN TRAO ĐỔI THÔNG TIN LIÊN TỔ CHỨC, LIÊN NGÀNH

lnformation technology - Security techniques - lnformation security management for inter-sector and inter-organizational Communications

1. Phạm vi áp dụng

Tiêu chuẩn này cung cấp thêm các hướng dẫn đã được đưa ra trong bộ tiêu chuẩn ISO/IEC 27000 để triển khai quản lý an toàn thông tin trong các cộng đồng chia sẻ thông tin.

Tiêu chuẩn này cung cấp các biện pháp quản lý và hướng dẫn cụ thể liên quan đến việc khởi tạo, triển khai, duy trì và cải tiến an toàn thông tin trong trao đổi thông tin liên tổ chức và liên ngành.

Tiêu chuẩn này áp dụng cho tất cả các hình thức trao đổi và chia sẻ thông tin nhạy cảm, cả công khai lẫn riêng tư, ở phạm vi quốc gia lẫn quốc tế, trong cùng lĩnh vực ngành nghề hoặc thị trường hoặc giữa các ngành nghề. Đặc biệt, tiêu chuẩn này có thể áp dụng để trao đổi và chia sẻ thông tin liên quan đến việc hỗ trợ, duy trì vào bảo vệ cơ sở hạ tầng quan trọng của một tổ chức hoặc một quốc gia.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

ISO/IEC 27000:2009, Information technology - Security techniques - Information security manegerment systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng)

TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu TCVN ISO/IEC 27002:2011, Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin.

3. Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong ISO/IEC 27000 và các thuật ngữ và định nghĩa sau:

3.1. Cộng đồng chia sẻ thông tin (information sharing community)

Nhóm các tổ chức đồng ý chia sẻ thông tin

CHÚ THÍCH: Tổ chức có thể là cá nhân.

3.2. Thực thể truyền thông thông tin tin cậy (trusted information communication entity)

Tổ chức độc lập hỗ trợ trao đổi thông tin trong một cộng đồng chia sẻ thông tin

4. Các khái niệm và giải thích

4.1. Giới thiệu

Hướng dẫn cụ thể hệ thống quản lý an toàn thông tin cho trao đổi thông tin liên tổ chức và liên ngành được đề cập trong các điều từ điều 5 đến điều 15 của tiêu chuẩn này.

TCVN ISO/IEC 27002:2011 đưa ra các biện pháp quản lý bao gồm cả việc trao đổi thông tin song phương giữa các tổ chức, cũng như các biện pháp quản lý việc phát tán thông tin sẵn có công khai nói chung. Tuy nhiên, trong một số trường hợp vẫn cần chia sẻ thông tin trong cộng đồng các tổ chức, nơi thông tin này là nhạy cảm và không thể được cung cấp công khai ngoại trừ cho các