TIÊU CHUẨN QUỐC GIA

TCVN 11930:2017

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Information technology - Security techniques - Basic requirements for securing information system according to security levels

Lời nói đầu

TCVN 11930:2017 được xây dựng trên cơ sở tham khảo Tiêu chuẩn quốc tế ISO/IEC 27001:2013 và Tiêu chuẩn SP 800-53 phiên bản 4.0 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) Mỹ, có điều chỉnh, sửa đổi, bổ sung để phù hợp với điều kiện của Việt Nam.

TCVN 11930:2017 do Cục An toàn thông tin biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tiêu chuẩn này quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ, bao gồm hai nhóm: yêu cầu quản lý và yêu cầu kỹ thuật. Nhóm các yêu cầu quản lý là cơ sở để cơ quan, tổ chức xây dựng chính sách, quy trình quản lý an toàn thông tin cho hệ thống của mình trong quá trình thiết kế, xây dựng, vận hành, khai thác, sử dụng. Nhóm yêu cầu kỹ thuật là cơ sở để cơ quan, tổ chức thiết kế, thiết lập cấu hình hệ thống trong quá trình xây dựng hệ thống thông tin.

Cơ quan, tổ chức sau khi xác định cấp độ an toàn hệ thống thông tin và phương án bảo đảm an toàn hệ thống thông tin, có thể triển khai các biện pháp bảo đảm an toàn thông tin, đáp ứng các yêu cầu cơ bản nêu tại Tiêu chuẩn này, nhằm bảo đảm an toàn hệ thống thông tin ở mức độ cơ bản theo cấp độ tương ứng.

Để bảo đảm an toàn hệ thống thông tin ở mức độ cao hơn, phù hợp với yêu cầu thực tế và đặc thù của hệ thống thông tin của cơ quan, tổ chức cần tiến hành đánh giá rủi ro an toàn hệ thống thông tin để xác định và triển khai các biện pháp bảo đảm an toàn thông tin bổ sung.

Khuyến khích cơ quan, tổ chức triển khai các biện pháp bảo đảm an toàn thông tin đáp ứng toàn bộ các yêu cầu an toàn cơ bản cho cấp độ đã xác định và bổ sung, thêm các yêu cầu an toàn ở cấp độ cao hơn nhằm tăng cường bảo đảm an toàn thông tin cho hệ thống thông tin của mình.

Để hướng dẫn cơ quan, tổ chức xác định các yêu cầu cơ bản về an toàn vật lý, Phụ lục A, tiêu chuẩn này đưa ra các yêu cầu cơ bản về an toàn vật lý cho hệ thống thông tin theo từng cấp độ. Cơ quan, tổ chức có thể áp dụng để có phương án bảo đảm an toàn vật lý cơ bản cho hệ thống thông tin của mình.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU CƠ BẢN VỀ AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

Information technology - Security techniques - Basic requirements for securing information system according to security levels

1  Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.

Yêu cầu an toàn cơ bản quy định trong tiêu chuẩn này tập trung vào các yêu cầu bảo đảm an toàn hệ thống thông tin. Các yêu cầu khác về an toàn thông tin, không liên quan trực tiếp đến bảo đảm an toàn hệ thống thông tin (ví dụ: bảo vệ thông tin cá nhân, bảo vệ trẻ em trên mạng...) không thuộc phạm vi của Tiêu chuẩn này.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi (nếu có).

ISO/IEC 27001:2013 Information Technology - Security techniques - Information security management system - Requirements (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu)

SP 800-53 R4, Security and Privacy Controls for Federal Information Systems and Organizations (Biện pháp kiểm soát bảo mật và riêng tư cho các Hệ thống thông tin liên bang và Tổ chức).

3  Thuật ngữ