TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27015:2017

ISO/IEC TR 27015:2012

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH

Information technology - Security techniques - Information security management guidelines for financial services

Lời nói đầu

TCVN ISO/IEC 27015:2017 hoàn toàn tương đương ISO/IEC TR 27015:2012.

TCVN ISO/IEC 27015:2017 do Học viện Công nghệ Bưu chính Viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Sự phát triển không ngừng của công nghệ thông tin đã đem đến sự tin cậy ngày càng tăng của các tổ chức cung cấp dịch vụ tài chính vào các tài sản xử lý thông tin của họ. Vì vậy, lãnh đạo, khách hàng và các nhà quản lý có những kỳ vọng ngày càng cao về việc bảo vệ an toàn thông tin hiệu quả cho các tài sản này và thông tin được xử lý.

TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) đã đề cập đến việc quản lý và các biện pháp kiểm soát an toàn thông tin.

Các tổ chức cung cấp dịch vụ tài chính có những nhu cầu an toàn thông tin riêng và những ràng buộc trong việc tổ chức hoặc thực hiện các giao dịch tài chính với các đối tác kinh doanh, điều này đòi hỏi mức độ tin cậy cao giữa các bên liên quan tham gia vào giao dịch.

Tiêu chuẩn này cung cấp các hướng dẫn bổ sung cho các tổ chức cung cấp dịch vụ tài chính. Cụ thể là, tiêu chuẩn này cung cấp hướng dẫn bổ sung bên cạnh các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong TCVN ISO/IEC 27002:2011

Thuật ngữ “dịch vụ tài chính” cần được hiểu là các dịch vụ liên quan tới việc quản lý, đầu tư, chuyển nhượng, cho vay vốn có thể được cung cấp bởi các tổ chức tài chính.

Bên cạnh việc triển khai TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011, khi sử dụng tiêu chuẩn này các tổ chức cung cấp dịch vụ tài chính có thể đạt được mức độ tin cậy cao hơn đối với khách hàng và các đối tác kinh doanh, đặc biệt là nếu có thể chứng minh được rằng họ đã sử dụng hướng dẫn chuyên ngành trong việc quản lý an toàn thông tin.

Tiêu chuẩn này không dành cho mục đích chứng nhận.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN QUẢN LÝ AN TOÀN THÔNG TIN CHO DỊCH VỤ TÀI CHÍNH

Information technology - Security techniques - Information security management guidelines for financial Services

1  Phạm vi áp dụng

Tiêu chuẩn này cung cấp thêm các hướng dẫn an toàn thông tin và bổ sung các biện pháp kiểm soát an toàn thông tin đã được đưa ra trong tiêu chuẩn TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005) cho việc khởi tạo, triển khai, duy trì, và cải tiến vấn đề an toàn thông tin trong các tổ chức cung cấp dịch vụ tài chính.

2  Tài liệu viện dẫn

Các tài liệu viện dẫn sau là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi (nếu có).

ISO/IEC 27000:2009, Information technology - Security Techniques - Information security management systems - Overview and vocabulary Công nghệ thông tin - Kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng) 1).

3  Thuật ngữ, định nghĩa và thuật ngữ viết tắt

3.1  Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa nêu trong tiêu chuẩn ISO/IEC 27000:2009 cùng với thuật ngữ và định nghĩa sau đây.

3.1.1

Dịch vụ tài chính (financial services)