THUYẾT MINH DỰ THẢO TIÊU CHUẨN QUỐC GIA CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN

Việc áp dụng cáctiêu chuẩn, các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổchức/đơn vị quan tâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc.Một trong những

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM

MẠNG – PHẦN 1: TỔNG QUAN VÀ KHÁI NIỆM

MỤC LỤC

CHƯƠNG I TÌNH HÌNH TIÊU CHUẨN HÓA QUỐC TẾ VÀ TRONG NƯỚC LIÊN

QUAN ĐẾN AN TOÀN THÔNG TIN 2

II.1 Tổng quan 2

II.2 Thông tin về các tiêu chuẩn 4

II.3 Khảo sát tình hình tiêu chuẩn hóa về an toàn thông tin tại Việt Nam 12

CHƯƠNG II RÀ SOÁT DỰ THẢO TCVN “CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN” 14

II.1 Hiện trạng của dự thảo tiêu chuẩn 14

II.2 Các nội dung rà soát, chỉnh sửa, cập nhật và hoàn chỉnh 15

CHƯƠNG III RÀ SOÁT DỰ THẢO TCVN “CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – AN TOÀN MẠNG – PHẦN 1” 28

Nội dung rà soát, chỉnh sửa, cập nhật và hoàn chỉnh 28

LỜI NÓI ĐẦU

Ngày nay, hầu hết mọi hoạt động của các tổ chức/đơn vị đều bị phụ thuộc vàomáy tính, hạ tầng mạng và cơ sở dữ liệu Cùng với sự phát triển mạnh mẽ củaCông nghệ thông tin, tội phạm mạng cũng trở nên ngày càng tinh vi với các kỹthuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng Ngoài ra, các tổchức còn phải đối mặt với rất nhiều loại hiểm họa an toàn từ nhiều nguồn khácnhau như gian lận, gián điệp, phá hoại, cháy nổ, lũ lụt….Vì vậy, vấn đề mất antoàn thông tin và mất an toàn mạng ngày càng trở nên cấp thiết Việc áp dụng cáctiêu chuẩn, các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổchức/đơn vị quan tâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc.Một trong những nguyên nhân chính là do hệ thống các tiêu chuẩn kỹ thuật quốcgia về an toàn thông tin chưa đầy đủ nên cần sớm bổ sung và hoàn thiện hệ thốngcác tiêu chuẩn để áp dụng rộng rãi

Với mục tiêu xây dựng bổ sung, hoàn chỉnh hệ thống tiêu chuẩn quốc gia về antoàn thông tin, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam đã tiến hành ràsoát, cập nhật các tiêu chuẩn quốc tế tham chiếu mới nhất và xây dựng dự thảoTCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro an toànthông tin” Ban biên soạn tiêu chuẩn mong nhận được ý kiến góp ý của các cơquan, đơn vị, doanh nghiệp có liên quan để sớm hoàn chỉnh dự thảo, tiến tới công

bố thành Tiêu chuẩn quốc gia

CHƯƠNG I TÌNH HÌNH TIÊU CHUẨN HÓA QUỐC TẾ VÀ TRONG

NƯỚC LIÊN QUAN ĐẾN AN TOÀN THÔNG TIN II.1 Tổng quan

Phần này sẽ trình bày tình hình tiêu chuẩn hóa quốc tế liên quan đến an toànthông tin

Bộ Tiêu chuẩn về an toàn thông tin ISO 27xxx

Có thể nói rằng, ISO 27xxx là một phần của hệ thống quản lý chung trong tổchức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, đểthiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo antoàn thông tin của tổ chức

Cho tới nay, việc áp dụng hệ thống quản lý an toàn thông tin phù hợp với ISO27xxx đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới đặc biệt

là trong lĩnh vực tài chính ngân hàng Tại Việt Nam, một số ngân hàng cũng đangtriển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định.Xét về lịch sự hình thành của bộ tiêu chuẩn, ISO 27xxx cũng có nguồn gốc từAnh quốc Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh (UKDepartment Trade and Industrial) ban hành ra qui phạm thực hành về hệ thống antoàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của cáccông ty dầu khí Tài liệu này sau đó được Viện tiêu chuẩn hoá Anh chính thứcban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995 Năm

2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thứcchấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000 - tiền thân của bộ tiêuchuẩn ISO 27xxx ngày nay

Tiêu chuẩn ISO/IEC 27xxx là một phần của hệ thống quản lý chung của các tổchức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thốngquản lý khác như ISO 9000, ISO 14000

Hiện nay, đã có 16 tiêu chuẩn trong bộ tiêu chuẩn này đã được ban hành, và một

số khác hiện đang được xây dựng

Các tiêu chuẩn ISO 27xxx đã ban hành

 ISO/IEC 27000:2009 — Information security management systems —Overview and vocabulary

 ISO/IEC 27001:2005 — Information security management systems —Requirements

 ISO/IEC 27002:2005 — Code of practice for information securitymanagement

 ISO/IEC 27003:2010 — Information security management systemimplementation guidance

 ISO/IEC 27004:2009 — Information security management —Measurement

 ISO/IEC 27005:2011 — Information security risk management

 ISO/IEC 27006:2011 — Requirements for bodies providing audit andcertification of information security management systems

 ISO/IEC 27007:2011 Information technology — Security techniques —Guidelines for information security management systems auditing

 IEC TR 27008:2011 - Guidelines for auditors on information securitymanagement systems controls

 ISO/IEC 27010:2012 - Information security management for inter-sectorand inter-organisational communications

 ISO/IEC 27011:2008 — Information security management guidelines fortelecommunications organizations based on ISO/IEC 27002

 ISO/IEC 27031:2011 Guidelines for information and communicationstechnology readiness for business continuity

 ISO/IEC 27033-1:2009 - Network security overview and concepts

 ISO/IEC 27034-1:2011 — Information technology — Security techniques

— Application security — Overview and concepts

 ISO/IEC 27035:2011 - Information security incident management

 ISO 27799:2008 - Information security management in health usingISO/IEC 27002

Các tiêu chuẩn ISO 27xxx đang xây dựng

 ISO/IEC 27013 - Guideline on the integrated implementation of ISO/IEC20000-1 and ISO/IEC 27001

 ISO/IEC 27014 - Information security governance framework

 ISO/IEC 27015 - Information security management guidelines for thefinance and insurance sectors

 ISO/IEC 27032 - Guideline for cybersecurity (essentially, 'being a goodneighbor' on the Internet)

 ISO/IEC 27033 (các phần còn lại) - IT network security, a multi-partstandard based on ISO/IEC 18028:2006

 ISO/IEC 27034 (các phần còn lại)- Guideline for application security

 ISO/IEC 27036 - Guidelines for security of outsourcing

 ISO/IEC 27037 - Guidelines for identification, collection and/or acquisitionand preservation of digital evidence

Bộ tiêu chuẩn ISO/IEC 27xxx có thể áp dụng được cho các tổ chức với các quy

mô và loại hình khác nhau Tất cả các tổ chức đều được khuyến khích đánh giácác rủi ro an toàn thông tin trong tổ chức, sau đó triển khai các biện pháp quản lý

an toàn thông tin

Tiêu chuẩn quốc tế ISO/IEC 27005 “Công nghệ thông tin – Các kỹ thuật an toàn Quản lý rủi ro an toàn thông tin” và ISO/IEC 27033-1 “Công nghệ thông tin –Các kỹ thuật an toàn – An toàn mạng – Phần 1:Tổng quan và khái niệm” là 02tiêu chuẩn thuộc bộ tiêu chuẩn ISO 27xxx về quản lý an toàn thông tin

-II.2 Thông tin về các tiêu chuẩn

a) Tiêu chuẩn ISO/IEC 27000

ISO/IEC 27000 - Hệ thống quản lý an toàn thông tin – Tổng quan và thuật ngữ

ISO/IEC 27000 quy định các vấn đề về từ vựng và thuật ngữ.

Phiên bản hiện tại: ISO/IEC 27000:2009

Nội dung:

Tiêu chuẩn này đưa ra:

 Tổng quan về bộ các tiêu chuẩn ISMS

 Giới thiệu hệ thống quản lý an toàn thông tin (ISMS)

 Mô tả ngắn gọn về quy trình Lập kế hoạch-Thực hiện-Kiểm tra-Hành động(PDCA)

 Các thuật ngữ và định nghĩa

b) Tiêu chuẩn ISO/IEC 27001

I SO/IEC 27001 — Hệ thống quản lý an toàn thông tin — Các yêu cầu

Phiên bản hiện tại: ISO/IEC 27001:2005

Mục tiêu:

Tiêu chuẩn này đưa ra một mô hình cho việc thiết lập, triển khai, điều hành,giám sát, soát xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin (ISMS).Việc phê chuẩn triển khai một hệ thống ISMS sẽ là một quyết định chiến lược của

tổ chức Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chứcphụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cầnphải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức

Nội dung:

Tiêu chuẩn xác định rõ yêu cầu cho từng quá trình: thiết lập; triển khai và vậnhành; giám sát và soát xét; duy trì và cải tiến một hệ thống ISMS để bảo vệ hệthống thông tin và chủ động chuẩn bị các phương án xử lý trước những rủi ro cóthể xảy ra Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các mục tiêu và biệnpháp quản lý đã được chọn lọc phù hợp cho tổ chức hoặc các bộ phận

Các yêu cầu được trình bày trong tiêu chuẩn mang tính tổng quát và nhằmứng dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau Nội dung tiêuchuẩn bao gồm các phần chính:

 Hệ thống quản lý an toàn thông tin

 Trách nhiệm của Ban quản lý

 Kiểm toán nội bộ hệ thống ISMS

 Soát xét của ban quản lý đối với hệ thống ISMS

 Cải tiến hệ thống ISMS

Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO9001:2000 và ISO 14001:2004, đảm bảo sự thống nhất và thành công khi triểnkhai cùng lúc các tiêu chuẩn quản lý khác nhau

c) Tiêu chuẩn ISO/IEC 27002

ISO/IEC 27002 — Quy tắc thực hành quản lý an toàn thông tin

Phiên bản hiện tại: ISO/IEC 27002:2005

Mục tiêu

Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triểnkhai, duy trì và cải tiến công tác quản lý an toàn thông tin trong một tổ chức Mụctiêu của tiêu chuẩn này là đưa ra hướng dẫn chung nhằm đạt được các mục đíchchung đã được chấp nhận trong quản lý an toàn thông tin

Nội dung

Nội dung của ISO/IEC 27002:2005 bao gồm 134 biện pháp cho an toàn thông tin

và được chia thành 11 nhóm Dựa trên việc phân tích các ý kiến thu thập từ việctriển khai thực tế cấu trúc phiên bản mới này có khá nhiều thay đổi so với phiênbản năm 2000 Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việcbảo đảm an toàn thông tin trong thương mại điện tử, các dịch vụ do các đối tácbên ngoài cung cấp, quản lý nhân sự, sử dụng mạng không dây v.v…

Tiêu chuẩn này gồm 11 điều về kiểm soát an toàn thông tin với tất cả 39 danhmục an toàn chính và một điều giới thiệu về đánh giá và xử lý rủi ro Mỗi điềugồm một số danh mục an toàn chính:

 Chính sách an toàn thông tin

 Tổ chức đảm bảo an toàn thông tin

 Quản lý tài sản

 An toàn nguồn nhân lực

 Đảm bảo an toàn vật lý và môi trường

 Quản lý truyền thông và vận hành

 Quản lý truy cập

 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

 Quản lý các sự cố an toàn thông tin

 Quản lý sự liên tục của hoạt động nghiệp vụ

 Sự tuân thủ

d) Tiêu chuẩn ISO/IEC 27003

ISO/IEC 2700 3 - Hệ thống quản lý an toàn thông tin – Hướng dẫn triển khai

Tiêu chuẩn này được công bố vào tháng 1/2010

Mục tiêu: Cung cấp hướng dẫn thực hành phát triển một kế hoạch triển khai hệthống quản lý an toàn thông tin (ISMS) trong một tổ chức theo ISO/IEC27001:2005 Triển khai thực tế một ISMS nhìn chung được thực hiện như một dựán

Nội dung:

 Tiêu chuẩn này gồm các phần chính:

 Cấu trúc của tiêu chuẩn

 Khởi động dự án ISMS

 Xác định phạm vi, các giới hạn và chính sách ISMS

 Phân tích các yêu cầu an toàn thông tin

 Đánh giá rủi ro và lập kế hoạch xử lý rủi ro

 Thiết kế ISMS

e) Tiêu chuẩn ISO/IEC 27004

ISO/IEC 2700 4 - Hệ thống quản lý an toàn thông tin – Đo lường

Tiêu chuẩn này được công bố vào tháng 7/12/2009.

Mục tiêu:

Mục tiêu của ISO/IEC 27004 là giúp các tổ chức đo đạc, báo cáo và cải thiện có

hệ thống hiệu quả của các hệ thống ISMS của họ

Nội dung:

Tiêu chuẩn này gồm các phần chính:

 Tổng quan về đo kiểm an toàn thông tin;

 Các trách nhiệm của ban quản lý;

 Phát triển các biện pháp đo lường và việc đo lường;

 Triển khai đo lường;

 Phân tích dữ liệu và báo cáo các kết quả;

 Đánh giá và cải tiến chương trình đo lường an toàn thông tin

f) Tiêu chuẩn ISO/IEC 27005

ISO/IEC 2700 5 – Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin

Tiêu chuẩn này được ban hành tháng 6/2008 và có phiên bản thay thế ban hànhtháng 6/2011

Mục tiêu của ISO/IEC 27005 là cung cấp các định hướng cho quản lý rủi ro antoàn thông tin ISO/IEC 27005 được thiết kế nhằm hỗ trợ triển khai an toàn thôngtin một cách thỏa đáng dựa trên phương thức tiếp cận quản lý rủi ro Tiêu chuẩnnày không chỉ rõ, được khuyến nghị hoặc thậm chí không đưa ra bất kỳ mộtphương pháp phân tích rủi ro cụ thể, mặc dù nội dung tiêu chuẩn đã đưa ra mộtquy trình có hệ thống và nghiêm ngặt từ việc phân tích rủi ro đến việc thiết lập kếhoạch xử lý rủi ro

Nội dung:

 Tổng quan về quy trình quản lý rủi ro

 Thiết lập ngữ cảnh

 Đánh giá rủi ro

 Xử lí rủi ro

 Chấp nhận rủi ro

 Trao đổi và tư vấn rủi ro

 Giám sát và soát xét rủi ro

 Các phụ lục

g) Tiêu chuẩn ISO/IEC 27006

ISO/IEC 2700 6 - Hệ thống quản lý an toàn thông tin – Các yêu cầu đối với các

cơ quan kiểm tra và cấp chứng nhận các hệ thống quản lý an toàn thông tin

 Các yêu cầu chung;

 Các yêu cầu về cấu trúc;

 Các yêu cầu về nguồn lực;

 Các yêu cầu về thông tin;

 Các yêu cầu về quy trình;

 Các yêu cầu về hệ thống quản lý đối với các cơ quan chứng nhận

h) Tiêu chuẩn ISO/IEC 27007

ISO/IEC 27007:2011- Hệ thống quản lý an toàn thông tin – Các kỹ thuật an toàn – Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin

Mục tiêu:

Tiêu chuẩn này đưa ra hướng dẫn cho các tổ chức cấp chứng nhận, các đánh giáviên quốc tế, các đánh giá viên bên ngoài/bên thứ ba và các đánh giá viên khác vềISMS theo ISO/IEC 27001.

Nội dung

Tiêu chuẩn này bao hàm các khía cạnh đặc trưng ISMS về đánh giá tuân thủ:

 Quản lý chương trình đánh giá ISMS (xác định nội dung, thời gian, cáchđánh giá; phân bổ trách nhiệm phù hợp cho các đánh giá viên; quản lý rủi

ro đánh giá; quản lý hồ sơ đánh giá; cải tiến quy trình đánh giá liên tục);

 Thực hiện một cuộc đánh giá ISMS MS (quy trình đánh giá – lập kế hoạch,thực hiện, các hoạt động đánh giá chính bao gồm điều tra, phân tích, lậpbáo cáo và …);

 Quản lý các đánh giá viên ISMS (năng lực, kỹ năng, thái độ, làm việc)

i) Tiêu chuẩn ISO/IEC TR 27008:2011

ISO/IEC TR 27008:2011- Hệ thống quản lý an toàn thông tin – Các kỹ thuật

an toàn – Hướng dẫn kiểm tra viên kiểm soát hệ thống quản lý an toàn thông tin

Mục tiêu:

Đưa ra Hướng dẫn cho các chuyên gia đánh giá kiểm soát Hệ thống an ninh thôngtin

j) Tiêu chuẩn ISO/IEC 27010:2012

ISO/IEC 27010:2012–Quản lý an toàn thông tin cho truyền thông liên ngành và liên tổ chức

Mục tiêu:

Đưa ra Hướng dẫn Quản lý An toàn thông tin trong lĩnh vực viễn thông

k) Tiêu chuẩn ISO/IEC 27011:

ISO/IEC 2700 11 - Hệ thống quản lý an toàn thông tin - Định hướng quản lý

an toàn thông tin cho các tổ chức viễn thông dựa trên ISO/IEC 27002

l) Tiêu chuẩn ISO/IEC 27031:2011:

ISO/IEC 27031:2011- Hướng dẫn về sự sẵn sàng của ICT để đạt được sự liên tục về nghiệp vụ

Mục tiêu:

Đưa ra hướng dẫn về công nghệ thông tin và truyền thông để đạt được sự liên tục

về nghiệp vụ

m) Tiêu chuẩn ISO/IEC 27033-1

ISO/IEC 27033-1:2009 - Tổng quan và các khái niệm về an toàn mạng

Đưa ra các hướng dẫn về an toàn ứng dụng

o) Tiêu chuẩn ISO/IEC 27035

ISO/IEC 27035:2011 – Quản lý sự cố an toàn thông tin

Mục tiêu:

Thay thế ISO TR 18044 về quản lý sự cố an toàn thông tin

p) Tiêu chuẩn ISO/IEC 27799

ISO 27799 – Quản lý an toàn thông tin sức khỏe khi áp dụng ISO/IEC 27002

Mục tiêu

Mục đích của ISO 27799 là đưa ra các hướng dẫn cho các tổ chức y tế và các tổchức nắm giữ thông tin sức khỏe cá nhân bảo vệ các thông tin sức khỏe khi triểnkhai ISO/IEC 27002

Nội dung

Các nội dung chính:

 An toàn thông tin sức khỏe

 Kế hoạch hành động thực hành khi triển khai ISO 17799/27002

 Các vấn đề về chăm sóc sức khỏe khi triển khai ISO 17799/27002 và 4 phụlục

II.3 Khảo sát tình hình tiêu chuẩn hóa về an toàn thông tin tại Việt Nam

a) Tiêu chuẩn TCVN ISO/IEC 27001:2009

TCVN ISO/IEC 27001:2009 “Công nghệ thông tin - Hệ thống quản lý an toàn thông tin – Các yêu cầu”

Tiêu chuẩn này chấp nhận nguyên vẹn tiêu chuẩn ISO/IEC 27001:2005

“Information technology – Security techniques – Information securitymanagement system” và được ban hành TCVN năm 2009

b) Tiêu chuẩn TCVN ISO/IEC 27002:2011

TCVN ISO/IEC 27002:2011 “Công nghệ thông tin – Các kỹ thuật an toàn Quy tắc thực hành quản lý an toàn thông tin”

-Tiêu chuẩn này chấp thuận nguyên vẹn tiêu chuẩn ISO/IEC 27002:2005

“Information technology – Security techniques – Code of practice for infomationsecurity management” và được ban hành năm 2011

c) Dự thảo TCVN “Công nghệ thông tin – Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin”

Dự thảo TCVN được xây dựng trên cơ sở ISO/IEC 27005:2008 (hiện nay đã đượcthay thế bằng phiên bản mới ISO/IEC 27005:2011) Dự thảo TCVN này đã đượcTrung tâm Ứng cứu Khẩn cấp máy tính Việt Nam rà soát cập nhật theo phiên bảnmới; dự kiến đề nghị Bộ KHCN thẩm định và ban hành trong năm 2013 Khi banhành tiêu chuẩn quốc gia sẽ chấp nhận nguyên vẹn ISO/IEC 27005:2011

Nội dung thuyết minh chi tiết dự thảo TCVN xem Chương II

d) Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – An toàn mạng: Phần 1: Tổng quan và Khái niệm”

Dự thảo TCVN “Công nghệ thông tin – Kỹ thuật an toàn – An toàn mạng” phần 1Tổng quan và khái niệm được Viện Kỹ thuật bưu điện tiến hành xây dựng năm

2011 trên cơ sở chấp nhận nguyên vẹn Tiêu chuẩn ISO/IEC 27033:2009-1

Dự thảo này đã được Trung tâm Ứng cứu Khẩn cấp máy tính Việt Nam tiếp tục ràsoát, hoàn chỉnh và dự kiến đề nghị Bộ Khoa học và Công nghệ thẩm định, công

bố thành tiêu chuẩn quốc gia năm 2013

Nội dung thuyết minh chi tiết dự thảo TCVN xem Chương III

CHƯƠNG II RÀ SOÁT DỰ THẢO TCVN “CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – QUẢN LÝ RỦI RO AN TOÀN THÔNG

TIN”

II.1 Hiện trạng của dự thảo tiêu chuẩn

Dự thảo TCVN “Công nghệ thông tin – Các kỹ thuật an toàn – Quản lý rủi ro

an toàn thông tin” đã được Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên

soạn năm 2010 dựa trên cơ sở Tiêu chuẩn quốc tế ISO/IEC 27005:2008, với nộidung cụ thể như sau:

- Giới thiệu chung và phạm vi áp dụng tiêu chuẩn

- Thuật ngữ và định nghĩa

- Cấu trúc của tiêu chuẩn

- Tổng quan về quy trình quản lý rủi ro an toàn thông tin

- Thiết lập ngữ cảnh

- Đánh giá rủi ro an toàn thông tin

- Xử lý rủi ro an toàn thông tin

- Chấp nhận rủi ro an toàn thông tin

- Trao đổi rủi ro an toàn thông tin

- Giám sát và soát xét rủi ro an toàn thông tin

- 06 phụ lục:

o A: Định nghĩa phạm vi và giới hạn của quy trình quản lý rủi ro antoàn thông tin

o B: Nhận biết, định giá tài sản và đánh giá tác động

o C: Các ví dụ về những mối đe dọa điển hình

o D: Các điểm yếu và các kỹ thuật đánh giá điểm yếu

o E: Các phương pháp tiếp cận và đánh giá rủi ro an toàn thông tin

o F: Những ràng buộc nhằm giảm thiểu rủi ro

Về cơ bản, dự thảo TCVN Công nghệ thông tin – Các kỹ thuật an toàn – Quản

lý rủi ro an toàn thông tin đã được xây dựng tương đối hoàn thiện và chấp nhậnnguyên vẹn Tiêu chuẩn quốc tế ISO/IEC 27005:2008 Tuy nhiên hiện nay,ISO/IEC 27005:2008 đã được cập nhật và có phiên bản mới là ISO/IEC27005:2011 với nhiều nội dung được cập nhật, bổ sung Vì vậy, dự thảo này cũngcần phải cập nhật và bổ sung một số nội dung tương ứng