TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27006:2017

ISO/IEC 27006:2015

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

Lời nói đầu

TCVN ISO/IEC 27006:2017 hoàn toàn tương đương ISO/IEC 27006:2015.

TCVN ISO/IEC 27006:2017 do Học viện công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

TCVN ISO/IEC 17021-1 đưa ra các chuẩn mực cho các tổ chức đánh giá và chứng nhận hệ thống quản lý. Nếu các tổ chức này được công nhận là phù hợp với TCVN ISO/IEC 17021-1 có mục tiêu đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) theo ISO/IEC 27001:2013 thì một số yêu cầu và hướng dẫn bổ sung cho TCVN ISO/IEC 17021-1 là cần thiết. Chúng sẽ được cung cấp trong tiêu chuẩn này.

Các đề mục trong tiêu chuẩn này tuân theo cấu trúc của TCVN ISO/IEC 17021-1, các yêu cầu bổ sung cho ISMS và hướng dẫn về việc áp dụng tiêu chuẩn TCVN ISO/IEC 17021-1 cho chứng nhận ISMS được xác định bởi các chữ "IS".

Thuật ngữ "phải" được sử dụng xuyên suốt tiêu chuẩn này để chỉ ra những điều khoản, thể hiện yêu cầu của tiêu chuẩn TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001, có tính chất bắt buộc. Thuật ngữ "cần/nên" được dùng để chỉ sự khuyến nghị.

Mục đích chính của tiêu chuẩn này là cho phép các tổ chức công nhận hài hòa hiệu quả giữa việc áp dụng các tiêu chuẩn trên với giới hạn mà họ bị ràng buộc khi đánh giá các tổ chức chứng nhận.

Trong tiêu chuẩn này, các thuật ngữ "hệ thống quản lý" và "hệ thống" được sử dụng thay thế cho nhau. Có thể tham khảo định nghĩa về hệ thống quản lý trong tiêu chuẩn TCVN ISO 9000:2007 (ISO 9000:2005). Hệ thống quản lý được sử dụng trong tiêu chuẩn này không nhầm lẫn với các loại hệ thống khác, chẳng hạn như hệ thống công nghệ thông tin.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - YÊU CẦU ĐỐI VỚI TỔ CHỨC ĐÁNH GIÁ VÀ CHỨNG NHẬN HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems

1  Phạm vi áp dụng

Tiêu chuẩn này quy định các yêu cầu, cung cấp hướng dẫn cho các tổ chức đánh giá và chứng nhận hệ thống quản lý an toàn thông tin (ISMS) ngoài các yêu cầu có trong TCVN ISO/IEC 17021-1 và TCVN ISO/IEC 27001. Tiêu chuẩn này chủ yếu được dùng để hỗ trợ trong việc công nhận các tổ chức chứng nhận ISMS.

Các yêu cầu nêu trong tiêu chuẩn này cần được các tổ chức chứng nhận ISMS chứng minh bằng năng lực và độ tin cậy của họ, và hướng dẫn trong tiêu chuẩn cũng cung cấp giải thích bổ sung các yêu cầu này cho mọi tổ chức cung cấp chứng nhận ISMS.

CHÚ THÍCH: Tiêu chuẩn này có thể được sử dụng như một tài liệu tiêu chuẩn cho quá trình công nhận, đánh giá đồng đẳng hoặc các quá trình đánh giá khác.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

TCVN ISO/IEC 17021-1:2015, Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý - Phần 1: Các yêu cầu.

TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng.

ISO 27001:2013, Information technology - Security techniques - Information securi