TIÊU CHUẨN QUỐC GIA

TCVN 11238:2015

ISO/IEC 27000:2014

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN - TỔNG QUAN VÀ TỪ VỰNG

Information technology - Security techniques - Information security management systems - Overview and vocabulary

Lời nói đầu

TCVN 11238:2015 hoàn toàn tương đương với ISO/IEC 27000:2014.

TCVN 11238:2015 do Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tổng quan

Các tiêu chuẩn cho hệ thống quản lý cung cấp một mô hình cho việc thiết lập và vận hành một hệ thống quản lý. Mô hình này kết hợp các đặc tính mà các chuyên gia trong lĩnh vực an toàn thông tin đã đạt được sự đồng thuận ở phạm vi quốc tế. Các tiêu chuẩn quốc gia về quản lý an toàn thông tin gọi là họ tiêu chuẩn về hệ thống quản lý an toàn thông tin (ISMS - lnformation Security Management System).

Thông qua sử dụng họ tiêu chuẩn ISMS, các tổ chức có thể xây dựng và triển khai một bộ khung cho việc quản lý an toàn các tài sản thông tin của họ, bao gồm các thông tin tài chính, sở hữu trí tuệ, chi tiết về nhân sự, hoặc các thông tin đã được các khách hàng hay bên thứ ba cung cấp. Các tiêu chuẩn này cũng có thể được dùng để chuẩn bị cho các đánh giá độc lập các hệ thống ISMS đã được áp dụng để bảo vệ thông tin.

Họ tiêu chuẩn ISMS

Họ tiêu chuẩn ISMS (xem Điều 4) nhằm mục đích hỗ trợ các tổ chức thuộc mọi loại hình, mọi quy mô để triển khai và vận hành một hệ thống quản lý an toàn thông tin, bao gồm các tiêu chuẩn sau đây dưới tiêu đề chung Công nghệ thông tin - Các kỹ thuật an toàn (sắp xếp theo thứ tự con số):

- TCVN 11238 (ISO/IEC 27000), Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng (Information security management systems - Overview and vocabulary).

- TCVN ISO/IEC 27001 (ISO/IEC 27001), Hệ thống quản lý an toàn thông tin - Các yêu cầu (ISO/IEC 2700 lnformation security management systems - Requirements)

- TCVN ISO/IEC 27002 (ISO/IEC 27002), Quy tắc thực hành cho hệ thống quản lý an toàn thông tin (Code of practice for information security management).

- TCVN 10541 (ISO/IEC 27003), Hướng dẫn triển khai hệ thống quản lý an toàn thông tin (Information security management system implementation guidance).

- TCVN 10542 (ISO/IEC 27004), Quản lý an toàn thông tin - Đo lường (Information security management - Measurement).

- TCVN 10295 (ISO/IEC 27005), Quản lý rủi ro an toàn thông tin (Information security risk management).

- ISO/IEC 27006, Các yêu cầu đối với cơ quan đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (Requirements for bodies providing audit and certification of information security management systems).

- ISO/IEC 27007, Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin (Guidelines for information security management systems auditing).

- ISO/IEC TR 27008, Hướng dẫn cho đánh giá viên về biện pháp kiểm soát hệ thống quản lý an toàn thông tin (Guidelines for auditors on information security management systems controls).

- TCVN 10543 (ISO/IEC 27010), Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành (Information security management guidelines for inter-sector and inter-organisational communications).

- ISO/IEC 27011, Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông dựa theo ISO/IEC 27002 (Information security management guidelines for telecommunications organisatio