THUYẾT MINH DỰ THẢO TIÊU CHUẨN “CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHO VIỆC PHÂN TÍCH VÀ GIẢI THÍCH BẰNG CHỨNG SỐ”

BỘ THÔNG TIN VÀ TRUYỀN THÔNG CỤC AN TOÀN THÔNG TINTHUYẾT MINH DỰ THẢO TIÊU CHUẨN “CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN CHO VIỆC PHÂN TÍCH VÀ GIẢI THÍCH BẰNG CHỨNG SỐ”

BỘ THÔNG TIN VÀ TRUYỀN THÔNG CỤC AN TOÀN THÔNG TIN

THUYẾT MINH DỰ THẢO TIÊU CHUẨN

“CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HƯỚNG DẪN

CHO VIỆC PHÂN TÍCH VÀ GIẢI THÍCH BẰNG CHỨNG SỐ”

(Information technology – Security techniques – Guidelines for the analysis

and interpretation of digital evidence)

Hà Nội, 2020

MỤC LỤC

MỤC LỤC 1

MỞ ĐẦU 2

1 TÊN DỰ THẢO TIÊU CHUẨN QUỐC GIA 2

2 ĐẶT VẤN ĐỀ 2

2.1 Tình hình tiêu chuẩn hóa về an toàn thông tin (Bộ tiêu chuẩn ISO/IEC 27XXX) 2

2.2 Các tiêu chuẩn an toàn thông tin trên thế giới 2

2.3 Các tiêu chuẩn an toàn thông tin tại Việt Nam 11

2.4 Vai trò và mối quan hệ của ISO/IEC 27042 trong họ tiêu chuẩn ISO/IEC 27xxx 17

2.5 Vai trò của ISO/IEC 27042 trong bộ tiêu chuẩn 27xxx 17

2.6 Mối quan hệ giữa ISO/IEC 27042 và các tiêu chuẩn trong bộ tiêu chuẩn về hướng dẫn kiểm soát cụ thể 19

3 Lý do xây dựng tiêu chuẩn 25

3.1 Mục tiêu 25

3.2 Lý do 25

4 Phạm vi và khả năng áp dụng tại Việt Nam 27

4.1 Phạm vi áp dụng 27

4 2 Khả năng áp dụng 27

5 SỞ CỨ XÂY DỰNG TIÊU CHUẨN 28

5.1 Lựa chọn tiêu chuẩn tham chiếu 28

5.2 Lựa chọn phương pháp xây dựng tiêu chuẩn 28

6 NGHIÊN CỨU RÀ SOÁT CÁC VẤN ĐỀ CÔNG NGHỆ 28

7 ĐÁNH GIÁ SỰ PHÙ HỢP ÁP DỤNG TIÊU CHUẨN TẠI VIỆT NAM 29 8 NỘI DUNG DỰ THẢO TIÊU CHUẨN 31

8.1 Giới thiệu ISO/IEC 27042:2015 31

8.2 Cấu trúc nội dung Dự thảo tiêu chuẩn 31

8.3 Bảng đối chiếu tiêu chuẩn viện dẫn 32

9 ĐỀ XUẤT BIỆN PHÁP QUẢN LÝ TƯƠNG ỨNG 34

10 KẾT LUẬN 35

11 Tài liệu tham khảo 37

Mở đầu

1 Tên Dự thảo tiêu chuẩn quốc gia

"Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn cho việc phân tích và giải thích bằng chứng số".

Kí hiệu: TCVN XXXX:XXXX

Mục tiêu của việc xây dựng tiêu chuẩn:

Cung cấp hướng dẫn cho việc phân tích và giải thích bằng chứng số chocác cơ quan, đơn vị, doanh nghiệp đặc biệt là các tổ chức ứng cứu sự cố và cácđơn vị cung cấp dịch vụ ứng cứu sự cố nhằm bảo đảm quá trình phân tích và giảithích bằng chứng số có tính ứng dụng cao, phù hợp với tổng thể các bộ Tiêuchuẩn đã ban hành về lĩnh vực điều tra số

Hoàn thiện bộ tiêu chuẩn quốc gia về an toàn thông tin 27xxx và đặc biệt lànhóm các tiêu chuẩn liên quan đến lĩnh vực điều tra số

2 Đặt vấn đề

1 Tình hình tiêu chuẩn hóa về an toàn thông tin (Bộ tiêu chuẩn ISO/IEC

27XXX)

2.1 Các tiêu chuẩn an toàn thông tin trên thế giới

Vấn đề an toàn thông tin ngày càng trở nên cấp bách trên toàn thế giới Đặcbiệt, các sự cố tấn công mạng có chủ đích nhắm vào các hệ thống công nghệ thôngtin trong các lĩnh vực: ngân hàng, tài chính, thương mại, cơ quan chính phủ ngàycàng gia tăng về quy mô và mức độ thiệt hại gây ra làm cho việc phân tích và điềutra nguyên nhân sự cố gặp rất nhiều khó khăn… Để khắc phục được những khókhắn này, bên cạnh việc liên tục cải tiến các công nghệ bảo mật, vấn đề áp dụng hệthống tiêu chuẩn an toàn thông tin đã được các quốc gia trên thế giới đặc biệt chútrọng

Hàng năm, các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựngmới các tiêu chuẩn về công nghệ thông tin - các kỹ thuật an toàn thông tin Trongcác tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có

bộ tiêu chuẩn ISO/IEC 27xxx Bộ tiêu chuẩn 27xxx là một phần của hệ thống quản

lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong

hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiếnđảm bảo an toàn thông tin của tổ chức.

Cho tới nay, việc áp dụng hệ thống quản lý an toàn thông tin phù hợp vớiISO 27000 đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới, đặcbiệt là trong lĩnh vực tài chính, ngân hàng, thương mại, cơ quan chính phủ

Mục đích nhằm thiết lập và duy trì một hệ thống quản lý thông tin, sửdụng phương pháp tiếp cận theo quá trình, thực hiện theo những nguyên tắc của

Tổ chức Phát triển và Hợp tác Kinh tế (OECD) Tiêu chuẩn ISO/IEC 27000 làmột phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp, do vậy cóthể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO 9000,ISO 14000

Lợi ích của việc áp dụng:

 Chứng tỏ sự cam kết đảm bảo sự an toàn về thông tin ở mọi mức độ

 Đảm bảo tính sẵn sàng và tin cậy của phần cứng và các cơ sở dữ liệu

 Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng

 Giảm giá thành và các chi phí bảo hiểm

 Nâng cao nhận thức và trách nhiệm của nhân viên về an toàn thôngtin

Họ các tiêu chuẩn về hệ thống quản lý an toàn thông tin bao gồm các tiêuchuẩn:

a) Xác định các yêu cầu cho hệ thống quản lý an toàn thông tin và cho cácyêu cầu chứng nhận các hệ thống như vậy;

b) Cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết và/hoặc chuyển đổi chotoàn bộ các quá trình và yêu cầu Kế hoạch – Thực hiện – Kiểm tra – Hành động(PDCA- Plant, Do, Check, Act);

c) Chỉ ra hướng dẫn cụ thể cho từng giai đoạn trong quy trình;

d) Đưa ra tính phù hợp đánh giá cho Hệ thống quản lý an toàn thông tin.Hình 1 dưới đây mô tả mối quan hệ giữa các tiêu chuẩn trong họ ISO 27000

Hình 1 Mối quan hệ giữa các tiêu chuẩn trong họ ISO/IEC 27000

Họ tiêu chuẩn ISMS bao gồm các tiêu chuẩn liên quan đến nhau, đã đượccông bố, đang được phát triển và có chứa một số thành phần cấu trúc quan trọng.Các thành phần này tập trung vào tiêu chuẩn quy định mô tả các yêu cầu hệ thốngISMS (TCVN ISO/IEC 27001:2009) và yêu cầu của cơ quan chứng nhận(ISO/IEC 27006) về việc chứng nhận phù hợp với tiêu chuẩn TCVNISO/IEC 27001:2009 Các tiêu chuẩn khác cung cấp hướng dẫn về các khía cạnhkhác nhau khi thực thi một hệ thống ISMS, đề cập một quy trình chung, các hướngdẫn liên quan đến việc kiểm soát cũng như hướng dẫn trong các lĩnh vực cụthể Mỗi tiêu chuẩn thuộc họ ISMS được mô tả bởi các kiểu (hoặc vai trò) trong họtiêu chuẩn ISMS và được tham chiếu bởi các số Ví dụ tiêu chuẩn 27000 - Tiêuchuẩn mô tả về tổng quan và từ vựng…

Các tiêu chuẩn về an toàn thông tin thuộc họ 27000 dưới đây đã được công

bố hoặc đang dự thảo

Bảng 1 Bảng danh mục các tiêu chuẩn đã được công bố và đang dự thảo

27004:2016

Công nghệ thông tin - Các kỹ thuật an toàn - Quản

lý an toàn thông tin - Đo lường đánh giá

27005:2018

Công nghệ thông tin - Các kỹ thuật an toàn - Quản

lý rủi ro an toàn thông tin

27006:2015

Công nghệ thông tin - Các kỹ thuật an toàn - Cácyêu cầu đối với các tổ chức đánh giá và cấp chứngnhận hệ thống quản lý an toàn thông tin

27007:2017

Công nghệ thông tin Các kỹ thuật an toàn Hướng dẫn đánh giá hệ thống quản lý an toànthông tin

27008:2019

Công nghệ thông tin Các kỹ thuật an toàn Hướng dẫn đánh giá viên đánh giá các biện phápkiểm soát của hệ thống quản lý an toàn thông tin

27009:2016

Công nghệ thông tin - Các kỹ thuật an toàn - Ứngdụng ISO/IEC 27001 cho ngành cụ thể - Các yêucầu

27010:2015

Công nghệ thông tin Các kỹ thuật an toàn Quản lý an toàn thông tin cho truyền thông liênngành và liên tổ chức

-12 ISO/IEC

27011:2016

Công nghệ thông tin Các kỹ thuật an toàn Hướng dẫn quản lý an toàn thông tin cho các tổchức viễn thông dựa trên ISO/IEC 27002

27013:2015

Công nghệ thông tin Các kỹ thuật an toàn Hướng dẫn triển khai tích hợp ISO/IEC 27001 vàISO/IEC 20000-1

Công nghệ thông tin - Các kỹ thuật an toàn - Quản

lý an toàn thông tin - Tổ chức kinh tế

27017:2015

Công nghệ thông tin - Các kỹ thuật an toàn - Quytắc thực hành các biện pháp kiểm soát ATTT dựatrên ISO/IEC 27002 đối với các dịch vụ đám mây

27018:2019

Công nghệ thông tin - Các kỹ thuật an toàn - Quytắc thực hành bảo vệ thông tin định danh cá nhân(PII) trong đám mây công cộng hoạt động có vaitrò là các bộ vi xử lý PII

-23 ISO/IEC Công nghệ thông tin Các kỹ thuật an toàn

-27032:2012 Hướng dẫn an toàn không gian mạng

Các kịch bản kết nối mạng tham chiếu - Nguy cơ,

kỹ thuật thiết kế và các vấn đề kiểm soát

Công nghệ thông tin - Các kỹ thuật an toàn - Lựachọn, triển khai và vận hành hệ thống phát hiện vàngăn chặn xâm nhập (IDPS)

27042:2015

Công nghệ thông tin Các kỹ thuật an toàn Hướng dẫn phân tích và làm sáng tỏ bằng chứngsố

Tính sẵn sàng ICT cho phát hiện điện tử

57 ISO/IEC 27070(bản dự thảo) Yêu cầu an toàn để thiết lập gốc (nguồn) ảo hóa

58 ISO/IEC 27071(bản dự thảo) Kết nối tin cậy giữa các thiết bị và dịch vụ (nền

tảng đám mây)

59 ISO/IEC 27099(bản dự thảo) Hạ tầng khóa công khai - Khung chính sách và

thực hành

60 ISO/IEC 27100(bản dự thảo) Không gian mạng - Tổng quan và khái niệm

61 ISO/IEC 27101(bản dự thảo) Hướng dẫn phát triển khung an toàn không gian

Kỹ thuật riêng tư

65 ISO/IEC 27551(bản dự thảo) Các yêu cầu để xác thực thực thể không liên kết

dựa trên thuộc tính

66 ISO/IEC 27553(bản dự thảo) Yêu cầu an toàn cho xác thực bằng sinh trắc học

72 ISO 27799:2008 Thông tin sức khỏe - Quản lý an toàn thông tin

trong lĩnh vực y tế khi áp dung ISO/IEC 27002.Việc áp dụng bộ tiêu chuẩn ISO/IEC 27xxx, hiện nay có 4 nước dẫn đầu về

số lượng chứng chỉ ISO/IEC 27001 được cấp (trên 1000 chứng chỉ) là: Nhật, Anh,

Ấn độ, Trung Quốc Tuy nhiên việc áp dụng bộ tiêu chuẩn này trên thực tế gặpnhiều khó khăn, đặc biệt là chưa có quy định cụ thể về việc lựa chọn các biệnpháp quản lý; các tiêu chuẩn hướng dẫn về biện pháp bảo vệ cũng còn mang tínhphương pháp luận và chưa cụ thể Một số nước (như Mỹ, Trung Quốc) đã xâydựng các bộ tiêu chuẩn riêng để áp dụng cho quản lý an toàn hệ thống thông tin.Các tiêu chuẩn này có ưu điểm: cụ thể hóa và dễ triển khai, áp dụng Tuy nhiên các

hệ thống thông tin quan trọng (như các Trung tâm dữ liệu) vẫn được triển khai trên

cơ sở ISO/IEC 27xxx dưới dạng lấy chứng chỉ Trong quá trình triển khai có thamkhảo các yêu cầu hay hướng dẫn cụ thể trong các tiêu chuẩn riêng của nước này

2.2 Các tiêu chuẩn an toàn thông tin tại Việt Nam

Hiện nay ở Việt Nam đã có nhiều cơ quan, tổ chức thực hiện áp dụng cáctiêu chuẩn về an toàn thông tin (bộ tiêu chuẩn về quản lý an toàn thông tinISO/IEC 27000, tiêu chuẩn về đánh giá an toàn thông tin TCVN 8709:2011(ISO/IEC 15408) để xây dựng quy chế đảm bảo an toàn, an ninh thông tin tronghoạt động ứng dụng công nghệ thông tin, an toàn thông tin

Tổ chức ISO thế giới có trên 100 chuẩn về an toàn thông tin, trong khi số tiêuchuẩn của Việt Nam ban hành còn hạn chế Việc thiếu các tiêu chuẩn này dẫn đếnviệc người sử dụng, nhà phát triển và các tổ chức kiểm định chưa có cơ sở để thựchiện đánh giá về độ an toàn của sản phẩm và hệ thống công nghệ thông tin Trước

tình hình này, việc xây dựng các tiêu chí thống nhất để đánh giá an toàn cho cácsản phẩm và hệ thống công nghệ thông tin là rất cần thiết.

Qua thực tiễn triển khai tại Việt Nam và kinh nghiệm của một số công ty tưvấn về bộ tiêu chuẩn ISO/IEC 27xxx cho thấy, đây là bộ tiêu chuẩn có tính chấttoàn diện, bao quát các khía cạnh: chính sách quản lý, quy trình quản lý, đưa racác biện pháp quản lý an toàn, cũng như các hướng dẫn khác như đo lường hiệunăng, yêu cầu kiểm toán, biện pháp bảo vệ… đồng thời bộ tiêu chuẩn này cũngđược tổ chức ISO/IEC định kỳ cập nhật, bổ sung, hoàn chỉnh theo kịp với cácvấn đề phát triển công nghệ, mạng lưới Tuy nhiên, việc áp dụng bộ tiêu chuẩnnày trên thực tế gặp nhiều khó khăn, đặc biệt là chưa có quy định cụ thể về việclựa chọn các biện pháp quản lý; các tiêu chuẩn hướng dẫn về biện pháp bảo vệcũng còn mang tính phương pháp luận và chưa cụ thể

Trong những năm gần đây, Bộ Thông tin và Truyền thông đã có nhiều biệnpháp nhằm đẩy mạnh các hoạt động nghiên cứu xây dựng và ban hành các tiêuchuẩn về an toàn thông tin như: dự án xây dựng 31 tiêu chuẩn về an toàn thôngtin dưới dạng đề tài nghiên cứu khoa học năm 2014; hay hằng năm vẫn giao chomột số đơn vị trong Bộ thực hiện nghiên cứu xây dựng các tiêu chuẩn như:Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Cục An toàn thông tin, Họcviện Công nghệ Bưu chính viễn thông… Trong năm 2017, Bộ Thông tin vàTruyền thông cũng giao một số nhiệm vụ cho các đơn vị thực hiện xây dựng cáctiêu chuẩn về kỹ thuật an toàn thông tin trong dự án “Nâng cao năng suất chấtlượng sản phẩm hàng hóa nghành Thông tin và Truyền thông”

Bên cạnh đó, Luật an toàn thông tin mạng có hiệu lực năm 2015 cũng quyđịnh, định hướng tiêu chuẩn hóa về an toàn thông tin (thực hiện quản lý an toànthông tin theo cấp độ, áp dụng các biện pháp quản lý và kỹ thuật)

Hiện nay, Bộ tiêu chuẩn về hệ thống quản lý an toàn thông tin theo tiêuchuẩn ISO/IEC 27xxx đã xây dựng, đã công bố 16 TCVN và đang hoàn thiện 02

dự thảo TCVN trên tổng số 36 tiêu chuẩn trong họ này theo bảng dưới đây:

Bảng 2 Bảng các tiêu chuẩn đã được công bố làm tiêu chuẩn quốc gia

tham khảo Đã công bố Ghi chú

Đang hoànthiện cậpnhật phiênbản mới(ViệnKHKTBĐ)

II Các tiêu chuẩn yêu cầu

1

Công nghệ thông tin - Hệ

thống quản lý an toàn thông

tin - Các yêu cầu

ISO/IEC27001:2013

TCVNISO/IEC27001:2019

2

Công nghệ thông tin - Các

kỹ thuật an toàn - Yêu cầu

đối với tổ chức đánh giá và

chứng nhận hệ thống quản

lý an toàn thông tin

ISO/IEC27006:2015

TCVNISO/IEC27006:2017

Đang hoànthiện dự thảonăm 2020

III Các tiêu chuẩn hướng dẫn

1

Công nghệ thông tin - Các

kỹ thuật an toàn - Quy tắc

thực hành quản lý an toàn

thông tin

ISO/IEC27002:2005

TCVNISO/IEC27002:2011

Đang cậpnhật ISO/IEC27002:2013

2

Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn triển khai hệ thống quản

lý an toàn thông tin

ISO/IEC27003:2010

TCVN10541:2014

3 Công nghệ thông tin - Các

kỹ thuật an toàn - Quản lý

ISO/IEC27004:2009

TCVN10542:2014

an toàn thông tin - Đo lường

4

Công nghệ thông tin - Các

kỹ thuật an toàn - Quản lý

rủi ro an toàn thông tin

ISO/IEC27005:2011

TCVN10295:2014

5

Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn đánh giá hệ thống quản

lý an toàn thông tin

ISO/IEC27007:2011

TCVN11779:2017

6 Hướng dẫn kiểm toán các

biện pháp kiểm soát ISMS

ISO/IEC TR

27008 :2011

TCVN27008:2018

7

Quy phạm thực hành bảo vệ

thông tin có thể định danh

cá nhân (PII) trên đám mây

công cộng có chức năng xử

lý PII

ISO/IEC27018

Đang hoànthiện năm2020

8

Hướng dẫn các biện pháp an

toàn thông tin cho sử dụng

dịch vụ điện toán đám mây

dựa trên ISO/IEC 27002

ISO/IEC27017

Đang hoànthiện năm2020

9

Công nghệ thông tin - Các

kỹ thuật an toàn - Quản trị

về an toàn thông tin

ISO/IEC27014

Đang hoànthiện

IV Các tiêu chuẩn hướng dẫn

lĩnh vực cụ thể

1

Công nghệ thông tin - Các

kỹ thuật an toàn - Quản lý

an toàn trao đổi thông tin

liên tổ chức, liên ngành

ISO/IEC27010:2012

TCVN10543:2014

2 Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn quản lý an toàn thông

tin cho các tổ chức viễn

ISO/IEC27011:2008

Đã hủy (doISO/IEC

27002 đã cậpnhật phiên

thông dựa trên ISO/IEC

27002

bản mới)

3

Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn quản lý an toàn thông

tin cho dịch vụ tài chính

ISO/IEC27015:2012

TCVNISO/IEC27015:2017

V

Các tiêu chuẩn hướng dẫn

kiểm soát cụ thể (ISO/IEC

2703x, ISO/IEC 2704x)

1

Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn xác định, tập hợp, thu

thập và bảo quản bằng

chứng số

ISO/IEC27037:2012

TCVNISO/IEC27037:2019

2

Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn bảo đảm sự phù hợp và

đầy đủ theo phương pháp

điều tra sự cố

ISO/IEC27041:2015

TCVNISO/IEC27041:2019

3

Công nghệ thông tin - Các

kỹ thuật an toàn - Nguyên

tắc và quy trình điều tra sự

cố

ISO/IEC27043:2015

TCVNISO/IEC27043:2019

4

Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn cho phân tích, giải thích

bằng chứng số

ISO/IEC27042:2015

Dự thảoTCVN theobản thuyếtminh này

5 Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn đảm bảo sự sẵn sàng về

công nghệ thông tin và

truyền thông cho tính liên

ISO/IEC27031:2011

TCVNISO/IEC27031:2017

tục của hoạt động

6

Công nghệ thông tin - Các

kỹ thuật an toàn - Hướng

dẫn về an toàn không gian

mạng

ISO/IEC27032:2012

TCVN11780:2017

7

Công nghệ thông tin - Kỹ

thuật an ninh - An ninh

mạng Phần 1: Tổng quan và

khái niệm

ISO/IEC27033-1:2009

TCVN 1:2013

9801-8

Công nghệ thông tin - Các

kỹ thuật an toàn - An toàn

mạng - Phần 2: Hướng dẫn

thiết kế và triển khai an toàn

mạng

ISO/IEC27033-2:2012

TCVN 2:2015

9801-9

Công nghệ thông tin - Kỹ

thuật an toàn - An toàn

TCVN 3:2014

9801-10

Công nghệ thông tin - Các

kỹ thuật an toàn - Quản lý

sự cố an toàn thông tin

ISO/IEC27035:2011

TCVN11239:2015

11

Công nghệ thông tin - Các

kỹ thuật an toàn - Chọn lựa,

triển khai và vận hành các

hệ thống phát hiện xâm

nhập

ISO/IEC27039:2015

Đã hủy do cóPhiên bảnmới

Các tiêu chuẩn về hệ thống quản lý an toàn thông tin đã được công bố thì

bộ tiêu chuẩn về tiêu chí chung cũng đã được công bố như bảng 3 dưới đây:

Bảng 3: Các tiêu chuẩn quốc gia về tiêu chí chung

Tài liệu tham khảo Đã công bố

1 Công nghệ thông tin - Các kỹ thuật an

toàn - Các tiêu chí đánh giá an toàn CNTT

- Phần 1: Giới thiệu và mô hình tổng quát

ISO/IEC15408-1:2009

TCVN8709-1:2011

2 Công nghệ thông tin - Các kỹ thuật an

toàn - Các tiêu chí đánh giá an toàn CNTT

- Phần 2: Các thành phần chức năng an

toàn

ISO/IEC15408-2:2008

TCVN8709-2:2011

3 Công nghệ thông tin - Các kỹ thuật an

toàn - Các tiêu chí đánh giá an toàn CNTT

- Phần 3: Các thành phần đảm bảo an toàn

ISO/IEC15408-3:2008

TCVN8709-3:2011

2. Vai trò và mối quan hệ của ISO/IEC 27042 trong họ tiêu chuẩn ISO/IEC 27xxx

2.3 Vai trò của ISO/IEC 27042 trong bộ tiêu chuẩn 27xxx

Về cơ bản các bộ tiêu chuẩn ISO/IEC 27xxx được chia thành 5 nhóm saunhư hình 2 dưới đây:

Hình 2 Phân loại nhóm cơ bản trong bộ tiêu chuẩn ISO/IEC 27xxx

Từ sơ đồ phân nhóm tại hình 2 có thể thấy được tổ chức và phân chia nhómchức năng trong bộ tiêu chuẩn 27000 như sau:

Nhóm 1: Tiêu chuẩn về tổng quan và từ vựng: ISO/IEC 27000

Nhóm 2: Các tiêu chuẩn yêu cầu: ISO/IEC 27001; ISO/IEC 27006

Nhóm 3: Các tiêu chuẩn đưa ra các hướng dẫn hỗ trợ hệ thống quản lý antoàn thông tin ISMS: ISO/IEC 27002; ISO/IEC 27003; ISO/IEC 27004;ISO/IEC 27005; ISO/IEC 27007; ISO/IEC TR 27008, ISO/IEC 27013, ISO/IEC

27014, ISO/IEC 27016