ISO 27000-2018-Vi

Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát
bảo mật thông tin
1|Page
ISO 27000:2018 – Chuyển ngữ: Nguyễn Thế Hùng – nguyenthehung.it@gmail.com
Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát bảo mật thông tin
TIÊU CHUẨN ISO 27000:2018(E)

MỤC LỤC
Lời tựa ...............................................................................................................................................6
0 Giới thiệu ......................................................................................................................................7
0.1 Tổng quan ..........................................................................................................................7
0.2 Mục đích của tài liệu này ..............................................................................................7
0.3 Nội dung của tài liệu này ..............................................................................................7
1 Phạm vi ......................................................................................................................................8
2 Quy phạm tham chiếu ............................................................................................................8
3 Khái niệm và định nghĩa ......................................................................................................8
3.1 kiểm soát truy cập ...............................................................................................................8
3.2 tấn công ..................................................................................................................................8
3.3 kiểm toán ...............................................................................................................................8
3.4 phạm vi kiểm toán ..............................................................................................................9
3.5 xác minh .................................................................................................................................9
3.6 tính xác thực .........................................................................................................................9
3.7 cơ sở đo lường .....................................................................................................................9
3.8 tính sẵn sàng .........................................................................................................................9
3.9 trình độ chuyên môn ..........................................................................................................9
3.10 tính bảo mật ........................................................................................................................9
3.11 tính tuân thủ .......................................................................................................................9
3.12 hậu quả .................................................................................................................................9
3.13 cải thiện liên tục .............................................................................................................10
3.14 kiểm soát ...........................................................................................................................10
3.15 mục tiêu kiểm soát .........................................................................................................10
3.16 sự khắc phục .....................................................................................................................10
3.17 hành động khắc phục .....................................................................................................10
3.18 thước đo bắt nguồn .........................................................................................................10
3.18 thông tin được lập thành văn bản ..............................................................................10
3.20 hiệu quả .............................................................................................................................10
3.21 sự kiện ................................................................................................................................10
3.22 bối cảnh bên ngoài .........................................................................................................11
3.23 quản trị bảo mật thông tin ............................................................................................11
3.24 hội đồng quản trị .............................................................................................................11
2|Page
3.25 chỉ số ..................................................................................................................................11

3.26 thông tin cần ....................................................................................................................11
3.27 các thiết bị xử lý thông tin ..........................................................................................11
3.28 bảo mật thông tin ............................................................................................................11
3.29 bảo mật thông tin liên tục ............................................................................................12
3.30 sự kiện bảo mật thông tin .............................................................................................12
3.31 sự cố bảo mật thông tin ................................................................................................12
3.32 quản lý sự cố bảo mật thông tin .................................................................................12
3.33 chuyên gia hệ thống quản lý bảo mật thông tin (isms) .......................................12
3.34 cộng đồng chia sẻ thông tin .........................................................................................12
3.35 hệ thống thông tin ..........................................................................................................12
3.36 tính toàn vẹn ....................................................................................................................12
3.37 bên liên quan (thuật ngữ được ưa thích) .................................................................12
3.38 bối cảnh nội bộ ................................................................................................................12
3.39 mức độ rủi ro ...................................................................................................................13
3.40 khả năng xảy ra ...............................................................................................................13
3.41 hệ thống quản lý ..............................................................................................................13
3.42 đo lường .............................................................................................................................13
3.43 phép đo ...............................................................................................................................13
3.44 chức năng đo lường ........................................................................................................14
3.45 phương pháp đo lường ...................................................................................................14
3.46 sự giám sát ........................................................................................................................14
3.47 không phù hợp .................................................................................................................14
3.48 không-khước từ ...............................................................................................................14
3.49 mục tiêu .............................................................................................................................14
3.50 tổ chức ...............................................................................................................................15
3.51 thuê ngoài ..........................................................................................................................15
3.52 hiệu suất ............................................................................................................................15
3.53 chính sách .........................................................................................................................15
3.54 quy trình ............................................................................................................................15
3.55 độ tin cậy ...........................................................................................................................15
3.56 yêu cầu ...............................................................................................................................15
3.57 rủi ro còn lại ....................................................................................................................15
3.58 đánh giá .............................................................................................................................16
3|Page
3.59 chủ thể đánh giá ..............................................................................................................16

3.60 mục tiêu đánh giá ...........................................................................................................16
3.61 rủi ro ...................................................................................................................................16
3.62 chấp thuận rủi ro .............................................................................................................16
3.63 phân tích rủi ro ................................................................................................................17
3.64 Đánh giá rủi ro ................................................................................................................17
3.65 truyền thông và tham vấn rủi ro .................................................................................17
3.66 tiêu chí rủi ro ...................................................................................................................17
3.67 đánh giá rủi ro .................................................................................................................17
3.68 xác định rủi ro .................................................................................................................17
3.69 quản lý rủi ro ...................................................................................................................18
3.70 quy trình quản lý rủi ro ................................................................................................18
3.71 chủ sở hữu (của) rủi ro .................................................................................................18
3.72 xử lý rủi ro ........................................................................................................................18
3.73 tiêu chuẩn triển khai bảo mật .....................................................................................18
3.74 nguy cơ ..............................................................................................................................18
3.75 quản lý hàng đầu .............................................................................................................19
3.76 thực thể truyền thông thông tin đáng tin cậy .........................................................19
3.77 lỗ hổng ...............................................................................................................................19
4 Các hệ thống quản lý bảo mật thông tin ......................................................................19
4.1 Tổng quan ........................................................................................................................19
4.2 Một ISMS là gì? .............................................................................................................20
4.2.1 Tổng quan và các nguyên tắc ..............................................................................20
4.2.2 Thông tin ...................................................................................................................20
4.2.3 Bảo mật thông tin ...................................................................................................21
4.2.4 Quản lý ......................................................................................................................21
4.2.5 Hệ thống quản lý ....................................................................................................22
4.3 Phương pháp tiếp cận kiểu quy trình .......................................................................22
4.4 Tại sao ISMS lại quan trọng ......................................................................................22
4.5 Thiết lập, giám sát, duy trì và cải thiện một ISMS .............................................24
4.5.1 Tổng quan .................................................................................................................24
4.5.2 Xác định các yêu cầu bảo mật thông tin .........................................................24
4.5.3 Đánh giá rủi ro bảo mật thông tin .....................................................................24
4.5.4 Xử lý các rủi ro bảo mật thông tin ....................................................................25
4|Page
4.5.5 Lựa chọn và triển khai các kiểm soát ..............................................................25

4.5.6 Giám sát, duy trì và cải thiện tính hiệu quả của ISMS ...............................27
4.5.7 Liên tục cải tiến ......................................................................................................27
4.6 Các yếu tố thành công quan trọng của ISMS ........................................................27
4.7 Những lợi ích của họ các tiêu chuẩn ISMSs .........................................................28
5 Họ các tiêu chuẩn ISMS .....................................................................................................29
5.1 Thông tin tổng quát .......................................................................................................29
5.2 Tiêu chuẩn mô tả tổng quan và thuật ngữ: ISO/IEC 27000 (tài liệu này) ...30
5.3 Các tiêu chuẩn để xác định các yêu cầu .................................................................30
5.3.1 ISO/IEC 27001 ............................................................................................................30
5.3.2 ISO/IEC 27006 ............................................................................................................31
5.3.3 ISO/IEC 27009 ............................................................................................................31
5.4 Các tiêu chuẩn mô tả hướng dẫn chung ..................................................................31
5.4.1 ISO/IEC 27002 ............................................................................................................31
5.4.2 ISO/IEC 27003 ............................................................................................................32
5.4.3 ISO/IEC 27004 ............................................................................................................32
5.4.4 ISO/IEC 27005 ............................................................................................................32
5.4.5 ISO/IEC 27007 ............................................................................................................33
5.4.6 ISO/IEC TR 27008 ......................................................................................................33
5.4.7 ISO/IEC 27013 ............................................................................................................33
5.4.8 ISO/IEC 27014 ............................................................................................................34
5.4.9 ISO/IEC TR 27016 ......................................................................................................34
5.4.10 ISO/IEC 27021 ............................................................................................................34
5.5 Các tiêu chuẩn mô tả hướng dẫn theo ngành nghề ..............................................35
5.5.1 ISO/IEC 27010 ............................................................................................................35
5.5.2 ISO/IEC 27011 ............................................................................................................35
5.5.3 ISO/IEC 27017 ............................................................................................................36
5.5.4 ISO/IEC 27018 ............................................................................................................36
5.5.5 ISO/IEC 27019 ............................................................................................................36
5.5.6 ISO 27799 ....................................................................................................................38
Nguồn tham khảo ...............................................................................................................................39
5|Page
Lời tựa
ISO (Tổ chức Quốc tế về Tiêu chuẩn hóa) là một liên hiệp các tổ chức tiêu
chuẩn quốc gia (các tổ chức thành viên ISO). Công việc chuẩn bị các Tiêu chuẩn
Quốc tế thông thường được tiến hành thông qua các ủy ban kỹ thuật ISO. Mỗi
quốc gia thành viên quan tâm đến một chủ đề mà một tiểu ban kỹ thuật đã được
thiết lập có quyền có đại diện trong ủy ban đó. Các tổ chức quốc tế, chính phủ và
phi chính phủ, có mối liên hệ với ISO, cũng tham gia vào công việc này. ISO hợp
tác chặt chẽ với Ủy ban Kỹ thuật điện Quốc tế (IEC) về tất cả những vấn đề tiêu
chuẩn hóa kỹ thuật điện.
Các thủ tục được sử dụng để phát triển tài liệu này và những thủ tục được
dự định duy trì nó (ISO 27000) trong tương lai sau này được mô tả trong Định
hướng ISO/IEC, Phần 1. Cụ thể hơn, các tiêu chí phê duyệt khác nhau cần cho các
kiểu tài liệu ISO khác nhau nên được lưu ý. Tài liệu này đã được phác thảo tương
xứng với các quy tắc soạn thảo của Định hướng ISO/IEC, Phần 2 (xem
www.iso.org/directives).
Cần chú ý đến khả năng rằng một số các thành phần của tài liệu này có thể
là đối tượng của quyền sáng chế. ISO không chịu trách nhiệm về việc xác định bất
kỳ hoặc tất cả các quyền sáng chế như vậy. Chi tiết về bất kỳ quyền sáng chế nào
đã được xác định trong suốt quá trình phát triển tài liệu này sẽ có trong Phần mở
đầu và/hoặc trong danh sách ISO về các tuyên bố về bằng sáng chế đã nhận được
(xem www.iso.org/patents).
Bất kỳ tên gọi thương mại nào trong tài liệu này là thông tin được cung cấp
để thuận tiện cho người dùng và không cấu thành nên sự chứng thực.
Để được giải thích thêm về bản chất tự nguyện của các tiêu chuẩn, ý nghĩa
của các thuật ngữ và cách diễn đạt cụ thể của ISO liên quan đến đánh giá tuân thủ,
cũng như thông tin về sự gắn bó của ISO với các nguyên tắc của Tổ chức Thương
mại Thế giới (WTO – World Trade Organization) trong Các rào cản Kỹ thuật đối
với Thương mại (TBT – Technical Barriers to Trade), xem tại địa chỉ URL
www.iso.org/iso/foreword.html.
Tài liệu này được chuẩn bị bởi Ủy ban Kỹ thuật ISO/IEC JT1, Công nghệ
thông tin, SC 27, Các kỹ thuật bảo mật CNTT.
Phiên bản thứ năm này hủy bỏ và thay thế phiên bản thứ tư (ISO/IEC
27000:2016), và đã được sửa đổi về mặt kỹ thuật. Những thay đổi chủ yếu so với
phiên bản trước được liệt kê dưới đây:
- Sửa đổi phần Giới thiệu;
- Vài thuật ngữ và định nghĩa đã được loại bỏ;
- Điều 3 đã được căn chỉnh theo cấu trúc cấp cao về MSS;
- Điều 5 đã được cập nhật để phản ảnh những thay đổi trong các tiêu chuẩn
liên quan;
- Phụ lục A và B đã được xóa bỏ.
6|Page
0 Giới thiệu
0.1 Tổng quan
Các Tiêu chuẩn Quốc tế về các hệ thống quản lý cung cấp một mô hình tuân
thủ trong việc thiết lập và vận hành một hệ thống quản lý. Mô hình này kết hợp
chặt chẽ các chức năng mà các chuyên gia trong lĩnh vực này đã đạt được sự đồng
thuận để trở thành đỉnh cao của quốc tế. ISO/IEC JTC1/SC27 duy trì một ủy ban
các chuyên gia được chỉ định để phát triển một họ các tiêu chuẩn hệ thống quản lý
quốc tế về bảo mật thông tin, còn được gọi là hệ thống Quản lý Bảo mật Thông tin
(ISMS).
Thông qua sử dụng họ các tiêu chuẩn ISMS, các tổ chức có thể phát triển và
triển khai một khuôn khổ để quản lý bảo mật cho những tài sản thông tin của
mình, bao gồm thông tin tài chính, tài sản sở hữu trí tuệ, và chi tiết nhân viên,
hoặc thông tin được khách hàng hoặc bên thứ ba khác giao phó cho họ. Những tiêu
chuẩn này cũng có thể được sử dụng để chuẩn bị cho một sự đánh giá độc lập về
những áp dụng ISMS của họ để bảo vệ thông tin
0.2 Mục đích của tài liệu này

Họ các tiêu chuẩn ISMS bao gồm các tiêu chuẩn mà:
a) xác định các yêu cầu về một ISMS và những chứng nhận cho các hệ
thống như vậy;
b) cung cấp hỗ trợ trực tiếp, hướng dẫn chi tiết và/hoặc sự diễn giải về quy
trình tổng thể để thiết lập, triển khai, duy trì và cải thiện ISMS;
c) giải quyết các hướng dẫn chuyên ngành về ISMS, và
d) giải quyết đánh giá tuân thủ của ISMS.
0.3 Nội dung của tài liệu này

Trong tài liệu này, các dạng lời nói sau đây được sử dụng
 “shall” chỉ ra một yêu cầu;
 “should” chỉ ra một khuyến cáo;
 “may” chỉ ra một quyền hạn’
 “can” chỉ ra một khả năng hoặc năng lực.
Thông tin được đánh dấu là “GHI CHÚ” là dành cho hướng dẫn về việc hiểu
hoặc làm rõ các yêu cầu tương ứng. “GHI CHÚ to entry” được sử dụng trong Điều
3 cung cấp thông tin bổ sung mà bổ sung cho dữ liệu thuật ngữ và có thể bao hàm
các điều khoản liên quan đến việc sử dụng một thuật ngữ.
7|Page
1 Phạm vi
Tài liệu này cung cấp tổng quan về các hệ thống quản lý bảo mật thông tin
(ISMS). Nó cũng đồng thời cung cấp các thuật ngữ thường được sử dụng trong họ
các tiêu chuẩn ISMS. Tài liệu này có thể được áp dụng cho mọi loại và quy mô của
tổ chức (ví dụ, các tập đoàn thương mại, các cơ quan chính phủ, các tổ chức phi
lợi nhuận).
Những thuật ngữ và định nghĩa được cung cấp trong tài liệu này:
 bao gồm những thuật ngữ và định nghĩa được sử dụng trong họ các tiêu
chuẩn về ISMS;
 không bao gồm những thuật ngữ và định nghĩa được áp dụng trong họ các
tiêu chuẩn ISMS, và
 không giới hạn họ các tiêu chuẩn ISMS trong việc định nghĩa các thuật
ngữ để sử dụng.
2 Quy phạm tham chiếu

Không có quy phạm tham chiếu trong tài liệu này.
3 Khái niệm và định nghĩa

ISO và IEC duy trì các cơ sở dữ liệu thuật ngữ cho việc sử dụng trong tiêu
chuẩn hóa trong những địa chỉ dưới đây:
 Nền tảng duyệt trực tuyến ISO: https://www.iso.org/obp
 Thư viện điện tử ISO: https://www.electropedia.org/
3.1 kiểm soát truy cập
Có nghĩa là đảm bảo rằng quyền truy cập đến các tài sản được cấp phép và giới
hạn dựa trên các yêu cầu bảo mật và kinh doanh (3.56).
3.2 tấn công

Nỗ lực để phá hủy, tiết lộ, sửa đổi, vô hiệu hóa, đánh cắp hoặc đạt được sự truy
cập trái phép đến hoặc sử dụng trái phép một tài sản.
3.3 kiểm toán

Quy trình mang tính hệ thống, độc lập và được lập thành văn bản (3.54) cho việc
có được bằng chứng và đánh giá nó (bằng chứng) một cách khách quan để xác định
mức độ đáp ứng của các tiêu chí được đánh giá.
Chú thích 1: Một cuộc kiểm toán có thể là kiểm toán nội bộ (bên thứ nhất) hoặc
kiểm toán bên ngoài (bên thứ hai hoặc bên thứ ba) và nó có thể là kiểm toán kết
hợp (kết hợp hai hoặc nhiều hơn cơ quan kiểm toán).
Chú thích 2: Một cuộc kiểm toán nội bộ được tiến hành bởi bản thân tổ chức, hoặc
bởi một bên thứ ba thay mặt cho tổ chức.
Chú thích 3: “Bằng chứng kiểm toán” và “tiêu chí kiểm toán” được định nghĩa
trong ISO 19011.
8|Page
3.4 phạm vi kiểm toán

Mức độ và ranh giới của một cuộc kiểm toán (3.3).
[NGUỒN: ISO 19011:2011, 3.14, đã điều chỉnh – Chú thích 1 đã được xóa].
3.5 xác minh

Cung cấp sự đảm bảo rằng một đặc trưng được tuyên bố của một thực thể là chính
xác.
3.6 tính xác thực

Thuộc tính mà một thực thể đúng là những gì mà nó khẳng định
3.7 cơ sở đo lường
Đo lường (3.42) được xác định theo thuộc tính và phương pháp để định lượng nó
Chú thích 1: một cơ sở đo lường là độc lập chức năng với các đo lường khác.
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.3, đã điều chỉnh – Chú thích 2 đã được
xóa].
3.8 tính sẵn sàng

Thuộc tính chỉ ra sự có thể truy cập và sử dụng được theo yêu cầu từ một thực thể
đã được cấp phép.
3.9 trình độ chuyên môn

Khả năng áp dụng kiến thức và kỹ năng để đạt được những kết quả đã được dự
kiến.
3.10 tính bảo mật

Thuộc tính mà thông tin không sẵn sàng với hoặc bị tiết lộ cho những cá nhân,
thực thể hoặc quy trình (3.54) không được phép.
3.11 tính tuân thủ

Đáp ứng một yêu cầu (3.56).
3.12 hậu quả

Kết quả của một sự kiện (3.21) ảnh hưởng tới các mục tiêu (3.49).
Chú thích 1: Một sự kiện có thể dẫn tới một loạt các hậu quả.
Chú thích 2: Một hậu quả có thể là chắc chắn hoặc không chắc chắn và, trong bối
cảnh bảo mật thông tin, thường là tiêu cực.
Chú thích 3: Các hậu quả có thể được thể hiện một cách định tính hoặc định lượng.
GHI CHÚ 4 to entry: Những hậu quả ban đầu có thể leo thang thông qua hiệu ứng
gõ-cửa
[NGUỒN: Hướng dẫn ISO 73:2009, 3.6.1.3, đã điều chỉnh – Chú thích 2 đã được
thay đổi sau từ “và”].
9|Page
3.13 cải thiện liên tục

Lặp lại hành động để tăng cường hiệu suất (3.52).
3.14 kiểm soát

Phương pháp mà đang làm giảm bớt rủi ro (3.61).
Chú thích 1: Các kiểm soát bao gồm bất kỳ quy trình (3.54), chính sách (3.53),
thiết bị, thực hành, hoặc những hành động khác làm giảm bớt rủi ro (3.61).
Chú thích 2: Có khả năng rằng các kiểm soát không thường tạo ra hiệu ứng điều
chỉnh đã định hoặc giả định.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.8.1.1 – Chú thích 2 đã được thay đổi].
3.15 mục tiêu kiểm soát

Tuyên bố mô tả điều cần đạt được từ kết quả của việc triển khai các kiểm soát
(3.14).
3.16 sự khắc phục

Hành động để loại bỏ một tình trạng không phù hợp đã được phát hiện (3/47).
3.17 hành động khắc phục

Hành động để loại bỏ nguyên nhân của một tình trạng không phù hợp (3.47) và để
ngăn ngừa sự tái diễn.
3.18 thước đo bắt nguồn

Thước đo (3.42) được định nghĩa như là một chức năng của hai hoặc nhiều giá trị
của cơ sở đo lường (3.8).
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.8, đã điều chỉnh – Chú thích 1 đã được
xóa].
3.18 thông tin được lập thành văn bản

Thông tin đòi hỏi được kiểm soát và duy trì bởi một tổ chức (3.50) và phương tiện
mà nó được bao gồm.
Chú thích 1: Thông tin được lập thành văn bản có thể là bất kỳ định dạng và
phương tiện nào và bất kỳ nguồn nào.
Chú thích 2: Thông tin được lập thành văn bản có thể tham chiếu tới:
 hệ thống quản lý (3.41), bao gồm cái quy trình liên quan (3.54);
 thông tin đã được để tổ chức (3.50) vận hành (tài liệu);
 bằng chứng về các kết quả đã đạt được (hồ sơ).
3.20 hiệu quả

Mức độ các hoạt động đã được hoạch định và các kết quả đạt được thực tế so với
hoạch định.
3.21 sự kiện
Việc xảy ra hoặc thay đổi của một tập hợp các hoàn cảnh cụ thể.
10 | P a g e
Chú thích 1: Một sự kiện có thể là một hoặc nhiều sự việc xảy ra và có thể có
nhiều nguyên nhân.
Chú thích 2: Một sự kiện có thể bao gồm điều gì đó không xảy ra.
Chú thích 3: Một sự kiện thỉnh thoảng có thể được gọi là “sự cố” hoặc “tai nạn”.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.5.1.3, đã điều chỉnh – GHI CHÚ 4 to entry
đã được xóa].
3.22 bối cảnh bên ngoài

Môi trường bên ngoài mà tổ chức tìm cách để đạt được các mục tiêu của mình
(3.49)
Chú thích 1: Bối cảnh bên ngoài có thể bao gồm những điều sau đây:
 văn hóa, xã hội, chính trị, luật pháp, quy định, tài chính, công nghệ, kinh tế,
tự nhiên và môi trường cạnh tranh, bất kể quốc tế, quốc gia, vùng hoặc địa
phương;
 định hướng và xu thế chủ yếu có ảnh hưởng tới các mục tiêu của tổ chức
(3.59);
 quan hệ với, và nhận thức và giá trị của, các bên liên quan bên ngoài (3.37).
[NGUỒN: Hướng dẫn ISO 73:2009, 3.3.1.1).
3.23 quản trị bảo mật thông tin

Hệ thống mà theo đó, các hành động bảo mật thông tin (3.28) của tổ chức (3.50)
được định hướng và kiểm soát.
3.24 hội đồng quản trị

Người hoặc nhóm người chịu trách nhiệm về hiệu suất (3.52) và tuân thủ của tổ
chức (3.50).
Chú thích 1: Hội đồng quản trị có thể, trong một vài khu vực pháp lý, là một Ban
Giám đốc.
3.25 chỉ số
Thước đo (3.42) cung cấp một ước lượng hoặc sự đánh giá.
3.26 thông tin cần

Cái nhìn sâu sắc cần thiết để quản lý các mục tiêu (3.49) , mục đích, rủi ro và vấn
đề.
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.1.2].
3.27 các thiết bị xử lý thông tin

Bất kỳ hệ thống, dịch vụ hoặc cơ sở hạ tầng xử lý thông tin nào, hoặc vi trí vật lý
mà thông tin đang cư trú.
3.28 bảo mật thông tin

Sự duy trì tính bảo mật (3.10), tính toàn vẹn (3.36) và tính sẵn sàng (3.7) của
thông tin.
11 | P a g e
Chú thích 1: Ngoài ra, các thuộc tính khác, chẳng hạn như tính xác thực (3.6), tính
trách nhiệm, không-từ chối (3.48) và độ tin cậy (3.55) có thể được tính đến.
3.29 bảo mật thông tin liên tục
Các quy trình (3.54) và thủ tục nhằm đảm bảo các hoạt động bảo mật thông tin
(3.28) được liên tục.
3.30 sự kiện bảo mật thông tin

Sự kiện đã được xác định của một hệ thống, dịch vụ hoặc tình trạng mạng chỉ ra
một khả năng vi phạm chính sách (3.53) bảo mật thông tin (3.28) hoặc thất bại của
các kiểm soát (3.14), hoặc một tình huống chưa biết trước đó mà có thể liên quan
tới bảo mật.
3.31 sự cố bảo mật thông tin

Một hoặc một chuỗi các sự kiện bảo mật thông tin (3.30) không mong muốn hoặc
không dự kiến mà có khả năng ảnh hưởng đáng kể đến hoạt động kinh doanh và đe
dọa bảo mật thông tin (3.28)
3.32 quản lý sự cố bảo mật thông tin

Một bộ các quy trình (3.54) để nhận diện, báo cáo, đánh giá, ứng phó, xử lý, và
học hỏi từ các sự cố bảo mật thông tin (3.31).
3.33 chuyên gia hệ thống quản lý bảo mật thông tin (isms)
Người thiết lập, triển khai, duy trì và liên tục cải thiện một hoặc nhiều quy trình
(3.54) hệ thống quản lý bảo mật thông tin.
3.34 cộng đồng chia sẻ thông tin

Nhóm các tổ chức (3.50) đồng ý chia sẻ thông tin.
Chú thích 1: Một tổ chức cũng có thể là một cá nhân.
3.35 hệ thống thông tin

Bộ các ứng dụng, dịch vụ, tài sản công nghệ thông tin, hoặc các thành phần xử lý
thông tin khác.
3.36 tính toàn vẹn

Thuộc tính về tính chính xác và đầy đủ.
3.37 bên liên quan (thuật ngữ được ưa thích)

cổ đông (thuật ngữ được thừa nhận)
Cá nhân hoặc tổ chức (3.50) có thể ảnh hưởng đến, hoặc bị ảnh hưởng bởi, hoặc tự
nhận thấy bản t thân bị ảnh hưởng bởi một quyết định hoặc hành động.
3.38 bối cảnh nội bộ

Môi trường nội bộ mà tổ chức (3.50) tìm cách đạt được mục tiêu của mình.
Chú thích 1: Bối cảnh nội bộ có thể bao gồm:
12 | P a g e
quản trị, cấu trúc tổ chức, các vai trò và trách nhiệm;
các chính sách (3.53), các mục tiêu (3.49), và các chiến lược được đặt ra để
đạt được chúng;
 những năng lực, được hiểu trong các thuật ngữ về tài nguyên và kiến thức
(ví dụ, nguồn vốn, thời gian, con người, các quy trình (3.54), các hệ thống
và công nghệ);
 các hệ thống thông tin (3.35), luồng thông tin và các quy trình ra quyết định
(chính thức và không chính thức);
 quan hệ với, và sự nhận thức và giá trị của, các cổ đông (3.37) nội bộ;
 văn hóa của tổ chức;
 các tiêu chuẩn, hướng dẫn và mô hình được thừa nhận bởi tổ chức;
 hình thái và mức độ của các quan hệ hợp đồng.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.3.1.2].
3.39 mức độ rủi ro

Mức của một rủi ro (3.61) được biểu lộ bằng khái niệm kết hợp giữa các hậu quả
(3.12) và khả năng xảy ra (3.40) của chúng.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.6.1.8. đã điều chỉnh – “hoặc sự kết hợp các
rủi ro” đã được xóa bỏ khỏi định nghĩa].
3.40 khả năng xảy ra

Cơ hội để điều gì đó xảy ra
[NGUỒN: Hướng dẫn ISO 73:2009, 3.6.1.1, đã được điều chỉnh – Chú thích 1 và
Chú thích 2 đã được xóa bỏ].
3.41 hệ thống quản lý

Tập hợp các yếu tố có liên quan hoặc có tương tác của một tổ chức (3.50) để thiết
lập các chính sách (3.53) và các mục tiêu (3.49) và các quy trình (3.54) để đạt
được những mục tiêu đó.
Chú thích 1: Một hệ thống quản lý có thể giải quyết một hoặc vài lĩnh vực.
Chú thích 2: Các thành phần hệ thống bao gồm cấu trúc của tổ chức, các vai trò
và trách nhiệm, hoạch định và vận hành.
Chú thích 3: Phạm vi của một hệ thống quản lý có thể bảo gồm toàn bộ tổ chức,
các chức năng cụ thể và đã được xác định của tổ chức, các bộ phận cụ thể và đã
được xác định của tổ chức, hoặc một hay nhiều chức năng xuyên suốt các nhóm
của các tổ chức.
3.42 đo lường
Biến số mà một giá trị được ấn định như là kết quả của phép đo (3.43).
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.15, đã được điều chỉnh – Chú thích 2 đã
được xóa bỏ].
3.43 phép đo
Quy trình (3.54) để xác định giá trị.
13 | P a g e
3.44 chức năng đo lường

Thuật toán hoặc tính toán được hoàn thành để kết hợp hai hay nhiều cơ sở đo
lường (3.8).
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.20].
3.45 phương pháp đo lường

Chuỗi logic các hoạt động logic, được mô tả chung chung, được sử dụng để định
lượng một thuộc tính liên quan đến một thang đo cụ thể.
Chú thích 1: Kiểu của phương pháp đo lường tùy thuộc vào bản chất của các hoạt
động được sử dụng để định lượng một thuộc tính (3.4). Hai kiểu (phương pháp) có
thể được nhận biết:
 chủ quan: định lượng bởi sự đánh giá của con người, và
 khách quan: định lượng dựa trên các quy tắc số học.
[NGUỒN: ISO/IEC/IEEE 15939:2017, 3.21, đã được điều chỉnh – Chú thích 2 đã
3.46 sự giám sát

Việc xác định trạng thái của một hệ thống, một quy trình (3.54) hoặc một hoạt
động.
Chú thích 1: Để xác định trạng thái, có thể cần phải kiểm tra, giám sát hoặc quan
sát một cách nghiêm túc.
3.47 không phù hợp

Không đáp ứng một yêu cầu (3.56).
3.48 không-khước từ
Khả năng chứng minh sự xảy ra của một sự kiên (3.21) hoặc hành động đã được
tuyên bố và các thực thể khởi nguồn của nó.
3.49 mục tiêu

Kết quả đạt được
Chú thích 1: Một mục tiêu có thể là chiến lược, chiến thuật hoặc vận hành.
Chú thích 2: Các mục tiêu có thể liên quan đến các lĩnh vực khác nhau (chẳng hạn
như tài chính, an toàn và sức khỏe, và các mục tiêu môi trường) và có thể áp dụng
tại các cấp độ khác nhau [chẳng hạn như chiến lược, quy mô tổ chức, dự án, sản
phẩm và quy trình (3.54)].
Chú thích 3: Một mục tiêu có thể được biểu lộ theo nhiều cách khác, ví dụ, một
kết quả dự định, một mục đích, một ưu tiên tổ chức, như là một mục tiêu bảo mật
thông tin, hoặc bởi việc sử dụng các từ ngữ khác có ý nghĩa tương tự (ví dụ, ý
định, mục đích, hoặc mục tiêu nhắm đến).
Chú thích 4: Trong bối cảnh hệ thống quản lý bảo mật thông tin, các mục tiêu bảo
mật thông tin được thiết lập bởi tổ chức, nhất quán với chính sách bảo mật thông
tin, để đạt được những kết quả cụ thể.
14 | P a g e
3.50 tổ chức
Cá nhân hoặc nhóm cá nhân có những chức năng của mình cùng với trách nhiệm,
quyền hạn và các mối quan hệ để đạt được các mục tiêu (3.49) của mình.
Chú thích 1: Khái niệm về tổ chức bao gồm nhưng không giới hạn thương nhân cá
thể, công ty, tập đoàn, hãng, xí nghiệp, cơ quan thẩm quyền, quan hệ đối tác, tổ
chức từ thiện hoặc học viện, hoặc một phần hoặc sự kết hợp của các khái niệm
trên, cho dù được hợp thành hay không, bất kể công cộng hay tư nhân.
3.51 thuê ngoài

Tiến hành một thỏa thuận trong đó một tổ chức (3.50) hoàn thành một phần của
các chức năng hoặc quy trình (3.54) của một tổ chức (khác).
Chú thích 1: Một tổ chức bên ngoài nằm ngoài phạm vi của hệ thống quản lý
(3.41), cho dù chức năng hoặc quy trình được thuê ngoài vẫn nằm trong phạm vi
(của hệ thống quản lý (3.41)).
3.52 hiệu suất

Kết quả có thể đo lường được.
Chú thích 1: Hiệu suất có thể liên quan đến những kết quả định tính hoặc định
lượng.
Chú thích 2: Hiệu suất có thể liên quan đến việc quản lý các hành động, các quy
trình (3.54), các sản phẩm (bao gồm các dịch vụ), các hệ thống hoặc các tổ chức
(3.50).
3.53 chính sách

Những dự định và định hướng của một tổ chức (3.50), thường được biểu lộ một
cách chính thức bởi quản lý cấp cao nhất (3.75) của nó (tổ chức).
3.54 quy trình

Tập hợp các hành động có liên quan hoặc có tương tác với nhau để chuyển đổi các
đầu vào thành các đầu ra.
3.55 độ tin cậy

Thuộc tính về tính nhất quán đã dự định của hành vi và các kết quả.
3.56 yêu cầu

Nhu cầu hoặc mong muốn được tuyên bố, thường được ngụ ý hoặc bắt buộc.
Chú thích 1: “Thường được ngụ ý” có nghĩa là thông lệ hoặc thực tiễn phổ biến
đối với tổ chức và các bên liên quan rằng nhu cầu hoặc mong muốn đang được xem
xét là được ngụ ý.
Chú thích 2: Một yêu cầu được chỉ định là một (yêu cầu) được tuyên bố, ví dụ,
trong một thông tin được lập thành văn bản.
3.57 rủi ro còn lại

Rủi ro (3.61) vẫn đang tồn tại sau khi xử lý rủi ro (3.72).
15 | P a g e
Chú thích 1: Rủi ro còn lại có thể bao gồm rủi ro không xác định được.
Chú thích 2: Rủi ro còn lại cũng có thể được gọi là “rủi ro bị giữ lại”.
3.58 đánh giá

Hoạt động được thực hiện để xác định tính phù hợp, đầy đủ và hiệu quả (3.20) của
vấn đề để đạt được các mục tiêu (3.49) đã thiết lập.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.8.2.2, đã được điều chỉnh – Chú thích 1 đã
3.59 chủ thể đánh giá

Mục cụ thể đang được đánh giá.
3.60 mục tiêu đánh giá

Tuyên bố mô tả về những gì cần đạt được từ kết quả của một đánh giá (3.59).
3.61 rủi ro
ảnh hưởng của tình trạng không rõ ràng (không chắc chắn) lên các mục tiêu
(3.49).
Chú thích 1: Một ảnh hưởng là một độ lệch so với kỳ vọng – tiêu cực hoặc tích
cực.
Chú thích 2: Không rõ ràng (không chắc chắn) là trạng thái, ngay cả chỉ một phần,
của sự thiếu hụt thông tin liên quan đến, sự hiểu biết hoặc kiến thức về một sự
kiện, hậu quả của nó, hoặc khả năng xảy ra.
Chú thích 3: Rủi ro thường được đặc trưng bởi sự tham chiếu đến “các sự kiện”
tiềm ẩn (như được định nghĩa trong Hướng dẫn ISO 73:2009, 3.5.1.3) và “các hậu
quả” (như được định nghĩa trong Hướng dẫn ISO 73:2009, 3.6.1.3), hoặc sự kết
hợp của cả hai.
Chú thích 4: Rủi ro thường được biểu lộ bằng khái niệm về sự kết hợp của các hậu
quả của một sự kiện (bao gồm những thay đổi trong hoàn cảnh) và “khả năng xảy
ra” tương ứng (như được định nghĩa trong Hướng dẫn ISO 73:2009, 3.6.1.1) về sự
xảy ra.
Chú thích 5: Trong bối cảnh hệ thống quản lý bảo mật thông tin, những rủi ro
trong bảo mật thông tin có thể được biểu lộ như là ảnh hưởng của tình trạng không
rõ ràng (không chắc chắn) đối với các mục tiêu bảo mật thông tin.
Chú thích 6: Rủi ro bảo mật thông tin tương xứng với tiềm năng mà các mối đe
dọa sẽ khai thác những lỗ hổng của một hoặc một nhóm tài sản thông tin và từ đó,
gây ra thiệt hại cho một tổ chức.
3.62 chấp thuận rủi ro

Quyết định được thông báo để chấp nhận rủi ro (3.61) cụ thể.
Chú thích 1: Chấp thuận rủi ro có thể xảy ra mà không có xử lý rủi ro (3.67) và
hoặc trong suốt quy trình (3.54) về xử lý rủi ro.
Chú thích 2: Những rủi ro đã được chấp thuận là chủ thể của giám sát (3.46) và
đánh giá (3.58)..
16 | P a g e
3.63 phân tích rủi ro

Quy trình (3.54) để nhận thức thấu đáo bản chất của rủi ro (3.61) và để xác định
mức độ của rủi ro (3.39).
Chú thích 1: Phân tích rủi ro cung cấp nền tảng cho đánh giá rủi ro (3.67) và các
quyết định về xử lý rủi ro (3.72).
Chú thích 2: Phân tích rủi ro bao gồm ước lượng rủi ro.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.6.1].
3.64 Đánh giá rủi ro

Quy trình (3.54) tổng thể về xác định rủi ro (3.68), phân tích rủi ro (3.63) và
đánh giá rủi ro (3.67).
3.65 truyền thông và tham vấn rủi ro

Các quy trình liên tục (3.54) và lặp đi lặp lại mà một tổ chức tiến hành để cung
cấp, chia sẻ hoặc có được thông tin, và để tham gia đối thoại với các bên liên quan
(3.37) liên quan đến việc quản lý rủi ro (3.61).
Chú thích 1: Thông tin có thể liên quan đến sự tồn tại, bản chất, hình thái, khả
năng xảy ra (3.41), ý nghĩa, đánh giá, khả năng chấp nhận và xử lý rủi ro.
Chú thích 2: Tham vấn là một quá trình thông tin liên lạc hai chiều giữa một tổ
chức (3.50) và các bên liên quan của mình về một vấn đề trước khi đưa ra quyết
định hoặc xác định một định hướng cho vấn đề đó. Tham vấn là:
 một quy trình mà có tác động đến một quyết định thông qua ảnh hưởng hơn
là quyền lực, và
 một đầu vào để ra quyết định, không cùng ra quyết định.
3.66 tiêu chí rủi ro

Các khái niệm tham chiếu đối với tầm quan trọng của rủi ro được đánh giá.
Chú thích 1: Tiêu chí rủi ro dựa trên các mục tiêu của tổ chức, và bối cảnh bên
ngoài (3.22) và bối cảnh bên trong (3.38).
Chú thích 2: Tiêu chí rủi ro có thể được khởi nguồn từ các tiêu chuẩn, luật lệ,
chính sách (3.53) và các yêu cầu (3.56) khác.
3.67 đánh giá rủi ro

Quy trình (3.54) so sánh các kết quả của phân tích rủi ro (3.63) với tiêu chí rủi ro
(3.66) để xác định liệu rủi ro (3.61) và/hoặc độ lớn của nó có thể chấp nhận được
hoặc có thể chịu đựng được.
Chú thích 1: Đánh giá rủi ro trợ giúp trong các quyết định xử lý rủi ro (3.72).
3.68 xác định rủi ro

Quy trình (3.54) tìm kiếm, nhận thức và mô tả các rủi ro (3.61).
17 | P a g e
Chú thích 1: Xác định rủi ro tham gia vào việc xác định nguồn rủi ro, các sự kiện
(3.21), các nguyên nhân của rủi ro, và hậu quả (3.12) tiềm tàng của chúng (rủi ro).
Chú thích 2: Xác định rủi ro có thể tham gia vào dữ liệu lịch sử, phân tích lý
thuyết, các ý kiến được thông báo và ý kiến của chuyên gia, và nhu cầu của các
bên liên quan (3.37).
3.69 quản lý rủi ro

Các hành động phối hợp để định hướng và kiểm soát một tổ chức (3.50) liên quan
tới rủi ro (3.61).
[NGUỒN: Hướng dẫn ISO 73:2009, 2.1].
3.70 quy trình quản lý rủi ro

ứng dụng một cách có hệ thống các chính sách (3.53), các thủ tục và thực tiễn
quản lý vào những hành động truyền thông, tham vấn, thiết lập bối cảnh và xác
định, phân tích, đánh giá, xử lý, giám sát và xem xét rủi ro (3.61).
Chú thích 1: ISO/IEC 27005 sử dụng thuật ngữ “quy trình” (3.54) để mô tả về tổng
thể quản lý rủi ro. Các thành phần trong quy trình quản lý rủi ro (3.69) còn được
gọi là “ các hành động”.
[NGUỒN: Hướng dẫn ISO 73:2009, 3.1], đã được điều chỉnh – Ghi chú 1 đã được
thêm vào].
3.71 chủ sở hữu (của) rủi ro

Người hoặc thực thể với trách nhiệm và quyền hạn để quản lý một rủi ro (3.61).
3.72 xử lý rủi ro
Quy tình (3.54) để làm giảm rủi ro (3.61).
Chú thích 1: Xử lý rủi ro có thể tham gia vào:
 tránh rủi ro bằng cách quyết định không bắt đầu hoặc tiếp tục với hành động
làm gia tăng rủi ro;
 chấp nhận hoặc gia tăng rủi ro để theo đuổi cơ hội;
 loại bỏ nguồn rủi ro;
 thay đổi khả năng xảy ra (3.40);
 chia sẻ rủi ro với bên khác hoặc các bên khác (bao gồm các rủi ro hợp đồng
và rủi ro tài chính);
 giữ lại rủi ro bằng lựa chọn đã thông báo.
3.73 tiêu chuẩn triển khai bảo mật

Tài liệu chỉ định phương pháp đã được cấp phép để hiện thực hóa bảo mật.
3.74 nguy cơ
Nguyên nhân tiềm ẩn của một sự cố không mong muốn mà có thể dẫn đến nguy
hiểm cho một hệ thống hoặc một tổ chức (3.50).
18 | P a g e
3.75 quản lý hàng đầu

Người hoặc một nhóm người định hướng và kiểm soát một tổ chức (3.50) ở mức độ
cao nhất.
Chú thích 1: Quản lý hàng đầu (cấp cao nhất) có quyền ủy thác quyền hạn và cung
cấp nguồn lực trong một tổ chức.
Chú thích 2: Nếu phạm vi của hệ thống quản lý (3.41) chỉ bao hàm một phần của
tổ chức, khi đó quản lý hàng đầu là để chỉ những người định hướng và kiểm soát
phần đó của tổ chức.
Chú thích 3: Quản lý hàng đầu thỉnh thoảng còn được gọi là quản lý điều hành và
có thể bao gồm Giám đốc điều hành, Giám đốc tài chính, Giám đốc CNTT, và các
vai trò khác tương đương.
3.76 thực thể truyền thông thông tin đáng tin cậy
Tổ chức (3.50) tự trị hỗ trợ việc trao đổi thông tin trong một cộng đồng chia sẻ
thông tin.
3.77 lỗ hổng
Điểm yếu của một tài sản hoặc kiểm soát mà có thể bị khai thác bởi một hoặc
nhiều nguy cơ (3.74)
4 Các hệ thống quản lý bảo mật thông tin

4.1 Tổng quan
Các tổ chức với mọi quy mô và hình thái đều:
a) thu thập, xử lý, lưu trữ và truyền tải thông tin;
b) nhận thức rằng thông tin, và các quy trình, hệ thống, mạng, và con người
liên quan là những tài sản quan trọng để đạt được các mục tiêu của tổ chức;
c) đối mặt với một loạt các rủi ro mà có thể ảnh hưởng đến chức năng của các
tài sản, và
d) giải quyết những rủi ro được nhận thức của họ bằng cách triển khai các
kiểm soát bảo mật thông tin.
Tất cả thông tin được nắm giữ và xử lý bởi một tổ chức là đối tượng của
những mối đe dọa về tấn công, lỗi, tự nhiên (ví dụ, lũ lụt hoặc cháy nổ), v.v… và
là đối tượng của các lỗ hổng cố hữu trong việc sử dụng chúng. Thuật ngữ bảo mật
thông tin nói chung được dựa trên thông tin đang được cân nhắc như là một tài sản
có giá trị, đòi hỏi sự bảo vệ thích đáng, ví dụ, chống lại sự mất tính sẵn sàng, bảo
mật và toàn vẹn. Đảm bảo thông tin chính xác và đầy đủ để sẵn sàng một cách kịp
thời cho những người với nhu cầu đã được cấp phép là một chất xúc tác cho tính
hiệu quả kinh doanh.
Bảo vệ những tài sản thông tin thông qua việc xác định, đạt được, duy trì,
và cải thiện bảo mật thông tin một cách hiệu quả là điều thiết yếu để cho phép tổ
chức đạt được những mục tiêu của mình, và duy trì và tăng cường mức độ tuân thủ
luật pháp cũng như hình ảnh của mình. Những hành động được phối hợp này định
hướng cho sự triển khai các kiểm soát phù hợp và xử lý những rủi ro bảo mật
19 | P a g e
thông tin không thể chấp nhận được thường được biết đến như là một thành phần
của quản lý bảo mật thông tin.
Vì các rủi ro bảo mật thông tin và tính hiệu quả của các kiểm soát thay đổi
tùy thuộc vào sự thay đổi của tình huống, các tổ chức cần phải:
a) giám sát và đánh giá tính hiệu quả của các kiểm soát và thủ tục đã được
triển khai;
b) xác định những rủi ro khẩn cấp để được xử lý, và
c) lựa chọn, triển khai và cải thiện các kiểm soát tương ứng khi cần thiết.
Để liên kết và phối hợp các hành động bảo mật thông tin như vậy, mỗi tổ
chức cần phải thiết lập chính sách và các mục tiêu của mình về bảo mật thông tin
và đạt được những mục tiêu đó một cách hiệu quả bằng cách sử dụng một hệ thống
quản lý.
4.2 Một ISMS là gì?

4.2.1 Tổng quan và các nguyên tắc
Một ISMS bao gồm các chính sách, thủ tục, hướng dẫn, và những nguồn lực
và hành động tương ứng được quản lý tổng thể bởi một tổ chức, trong việc theo
đuổi việc bảo vệ các tài sản thông tin của mình. Một ISMS là một phương pháp
tiếp cận mang tính hệ thống để thiết lập, triển khai, vận hành, giám sát, đánh giá,
duy trì và cải thiện bảo mật thông tin của tổ chức nhằm đạt được những mục tiêu
của mình. Việc này căn cứ trên sự đánh giá rủi ro và những mức độ chấp nhận rủi
ro của tổ chức để xử lý và quản lý các rủi ro một cách hiệu quả. Các yêu cầu phân
tích về bảo vệ các tài sản thông tin và áp dụng những kiểm soát tương ứng để đảm
bảo sự bảo vệ cho các tài sản thông tin đó, khi được yêu cầu, đóng góp vào sự
thành công của việc triển khai một hệ thống ISMS. Những nguyên tắc cơ bản dưới
đây cũng đóng góp cho sự thành công của việc triển khai ISMS:
a) nhận thức về nhu cầu bảo mật thông tin;
b) chỉ định trách nhiệm trong bảo mật thông tin;
c) sự kết hợp cam kết của cấp quản lý và mối quan tâm của các bên liên
quan;
d) tăng cường các giá trị xã hội;
e) các đánh giá rủi ro xác định các kiểm soát tương ứng để đạt được các
mức độ rủi ro chấp thuận được của rủi ro;
f) bảo mật được kết hợp như là một thành phần thiết yếu của các mạng và
hệ thống thông tin;
g) chủ động nhận diện và ngăn ngừa các sự cố bảo mật thông tin;
h) đảm bảo một phương pháp tiếp cận toàn diện để quản lý bảo mật thông
tin;
i) liên tục tái đánh giá bảo mật thông tin và thực hiện các điều chỉnh một
cách thích đáng.
4.2.2 Thông tin
Thông tin là một tài sản, giống như những tài sản quan trọng khác của tổ
chức, là thiết yếu đối với việc kinh doanh của tổ chức và, kết quả là, cần được bảo
20 | P a g e
vệ một cách phù hợp. Thông tin có thể được lưu trữ dưới nhiều hình thức, bao
gồm: hình thức kỹ thuật số (ví dụ như các tập tin dữ liệu được lưu trữ trong các
phương tiện quang học hoặc điện tử), hình thức tài liệu (ví dụ, bằng giấy), và cũng
như là những thông tin vô hình dưới dạng kiến thức của nhân viên. Thông tin có
thể được truyền tải bằng nhiều phương tiện khác nhau như: chuyển phát, truyền
thông điện tử hoặc giao tiếp bằng lời nói. Bất kể hình thức thể hiện nào của thông
tin, hoặc bất kỳ phương tiện nào mà nó được truyền tải, nó luôn cần được bảo vệ
thích đáng.
Trong rất nhiều tổ chức, thông tin phụ thuộc và thông tin và công nghệ
truyền tải. Công nghệ này thường là một thành phần thiết yếu trong tổ chức và hỗ
trợ điều kiện cho việc tạo ra, xử lý, lưu trữ, truyền tải, bảo vệ và phá hủy thông
tin.
4.2.3 Bảo mật thông tin
Bảo mật thông tin đảm bảo tính bảo mật, sẵn sàng và toàn vẹn của thông tin.
Bảo mật thông tin có sự tham gia của việc ứng dụng và quản lý các kiểm soát phù
hợp liên quan đến việc xem xét một loạt các mối đe dọa, với mục đích nhằm đảm
bảo hoạt động kinh doanh bền vững và liên tục, và tối thiểu hóa các hậu quả của
các sự cố bảo mật thông tin.
Bảo mật thông tin đạt được thông qua việc triển khai một bộ các kiểm soát
có thể được áp dụng, được lựa chọn thông qua quy trình quản lý rủi ro đã được
chọn, và được quản lý bằng cách sử dụng một ISMS, bao gồm các chính sách, quy
trình, thủ tục, cấu trúc tổ chức, phần mềm và phần cứng để bảo vệ những tài sản
thông tin đã được xác định. Các kiểm soát này cần được xác định rõ, triển khai,
giám sát, đánh giá và cải thiện khi cần thiết, để đảm bảo rằng bảo mật thông tin cụ
thể và các mục tiêu kinh doanh của tổ chức được đáp ứng. Các kiểm soát bảo mật
thông tin liên quan được kỳ vọng để được tích hợp một cách liền lạc với các quy
trình kinh doanh của tổ chức.
4.2.4 Quản lý
Cấp quản lý tham gia và những hành động để định hướng, kiểm soát, và liên
tục cải tiến tổ chức trong những cấu trúc tương xứng. Các hành động của cấp quản
lý bao gồm hành động, cách thức, hoặc thực hành sự tổ chức, xử lý, định hướng,
giám sát, và kiểm soát các tài nguyên. Cấu trúc quản lý mở rộng từ một cá nhân
trong một tổ chức nhỏ đến các cấu trúc quản lý phân cấp bao gồm nhiều cá nhân
trong một tổ chức lớn.
Đối với ISMS, cấp quản lý tham gia vào việc giám sát và đưa ra những
quyết định cần thiết để đạt được các mục tiêu kinh doanh thông qua việc bảo vệ
những tài sản thông tin của tổ chức. Quản lý bảo mật thông tin được biểu lộ thông
qua sự xây dựng và sử dụng những chính sách, thủ tục và hướng dẫn bảo mật
thông tin, vốn sau đó được áp dụng trong toàn bộ tổ chức bởi tất cả các cá nhân có
liên quan tới tổ chức.
21 | P a g e
4.2.5 Hệ thống quản lý

Một hệ thống quản lý sử dụng một khuôn khổ các tài nguyên để đạt được các
mục tiêu của một tổ chức. Hệ thống quản lý bao gồm cấu trúc tổ chức, các chính
sách, các hoạt động hoạch định, trách nhiệm, thực tiễn, thủ tục, quy trình và tài
nguyên.
Về mặt bảo mật thông tin, một hệ thống quản lý cho phép một tổ chức:
a) thỏa mãn các yêu cầu bảo mật thông tin của khách hàng và các bên liên
quan khác;
b) cải thiện các kế hoạch và hành động của một tổ chức;
c) đáp ứng các mục tiêu bảo mật thông tin của tố chức;
d) tuân thủ các luật lệ, quy định, các chỉ thị ngành, và
e) quản lý những tài sản thông tin trong một phương pháp được tổ chức tạo
điều kiện cho sự cải tiến và điều chỉnh liên tục đối với các mục tiêu hiện
tại của tổ chức.
4.3 Phương pháp tiếp cận kiểu quy trình

Tổ chức cần phải xác định và quản lý nhiều hành động nhằm vận hành một
cách năng suất và hiệu quả. Bất kỳ hành động nào sử dụng tài nguyên đều cần
được quản lý để cho phép sự chuyển đổi các đầu vào thành các đầu ra sử dụng một
tập hợp các hành động liên quan và có tương tác với nhau, điều này còn được gọi
là quy trình. Đầu ra từ một quy trình này có thể trực tiếp tạo ra một đầu vào của
một quy trình khác và nói chung, sự chuyển đổi này được được thực hiện dưới các
điều kiện được hoạch định và kiểm soát. Sự ứng dụng một hệ thống các quy trình
trong một tổ chức, cùng với sự xác định và tương tác của các quy trình đó, và sự
quản lý, còn được gọi là “phương pháp tiếp cận kiểu quy trình”.
4.4 Tại sao ISMS lại quan trọng

Rủi ro tương ứng với những tài sản thông tin của một tổ chức cần phải được
giải quyết. Đạt được bảo mật thông tin đòi hỏi sự quản lý rủi ro, và bao trùm rủi
ro từ những mối đe dọa vật lý, con người và công nghệ liên quan tới mọi hình thái
thông tin trong phạm vi hoặc được sử dụng bởi tổ chức.
Việc thông qua một ISMS được kỳ vọng trở thành một quyết định chiến lược
cho một tổ chức và điều cần thiết là quyết định này được tích hợp một cách liền
lạc, mở rộng và cập nhật tương xứng với tổ chức.
Thiết kế và triển khai một ISMS cho tổ chức bị ảnh hưởng bởi nhu cầu và
các mục tiêu của tổ chức, các yêu cầu bảo mật, các quy trình kinh doanh và quy
mô và cấu trúc của tổ chức. Thiết kế và vận hành một ISMS cần phải phản ảnh
được những mối quan tâm và các yêu cầu bảo mật của tất cả các bên liên quan của
tổ chức bao gồm khách hàng, nhà cung cấp, đối tác kinh doanh, cổ đông và các
bên thứ ba liên quan khác.
22 | P a g e
Trong một thế giới được liên kết, thông tin và các quy trình, hệ thống, và
mạng hợp thành những tài sản quan trọng đối với doanh nghiệp. Các tổ chức và hệ
thống thông tin cũng như hệ thống mạng của họ đối mặt với những mối đe dọa từ
một phạm vi rộng rãi các nguồn, bao gồm lừa đảo được máy tính trợ giúp, gián
điệp, phá hoại, cháy nổ và lũ lụt. Thiệt hại đối với các hệ thống thông tin và mạng
gây ra bởi mã độc, xâm nhập máy tính, và từ chối dịch vụ trở nên phổ biến hơn,
tham lam hơn và tinh vi hơn.
Hệ thống ISMS quan trọng đối với cả doanh nghiệp trong lĩnh vực công và
tư nhân. Trong bất kỳ ngành nghề nào, ISMS là một công cụ hỗ trợ kinh doanh
điện tử và là điều thiết yếu cho các hoạt động quản lý rủi ro. Sự kết nối giữa các
mạng công cộng và riêng tư và sự chia sẻ tài sản thông tin làm gia tăng sự khó
khăn trong việc kiểm soát việc truy cập và xử lý thông tin. Ngoài ra, việc phân
phối các thiết bị lưu trữ di động có chứa tài sản thông tin có thể làm suy yếu tính
hiệu quả của các biện pháp kiểm soát truyền thống. Khi các tổ chức thông qua họ
tiêu chuẩn ISMS, khả năng áp dụng các nguyên tắc bảo mật thông tin nhất quán và
có thể nhận biết lẫn nhau có thể được chứng minh cho các đối tác kinh doanh và
các bên quan tâm khác.
Bảo mật thông tin không phải lúc nào cũng được tính đến trong quá trình
thiết kế và phát triển các hệ thống thông tin. Hơn nữa, bảo mật thông tin thường
được cho là một giải pháp kỹ thuật. Tuy nhiên, bảo mật thông tin mà có thể đạt
được thông qua các phương tiện kỹ thuật vẫn còn hạn chế và có thể không hiệu
quả nếu không được hỗ trợ bởi các thủ tục và biện pháp quản lý thích hợp trong
bối cảnh của ISMS. Việc tích hợp bảo mật vào một hệ thống thông tin hoàn chỉnh
về mặt chức năng có thể khó khăn và tốn kém. Một ISMS liên quan đến việc xác
định các biện pháp kiểm soát nào được áp dụng và đòi hỏi sự hoạch định cẩn thận
và chú ý đến chi tiết. Ví dụ: các biện pháp kiểm soát truy cập, có thể là kỹ thuật
(logic), vật lý, hành chính (quản lý) hoặc kết hợp, cung cấp một phương tiện để
đảm bảo rằng quyền truy cập vào tài sản thông tin được ủy quyền và hạn chế dựa
trên các yêu cầu kinh doanh và các yêu cầu bảo mật thông tin.
Việc thông qua thành công một ISMS là quan trọng để bảo vệ những tài sản
thông tin cho phép một tổ chức:
a) có được sự đảm bảo lớn hơn rằng những tài sản thông tin của mình được
bảo vệ đầy đủ trước các mối đe dọa liên tục;
b) duy trì một khuôn khổ được cấu trúc và toàn diện để xác định và đánh giá
những rủi ro bảo mật thông tin, chọn lựa và áp dụng các kiểm soát có thể
áp dụng được, và đo lường và cải thiện tính hiệu quả của chúng (các
kiểm soát – người dịch);
c) liên tục cải tiến môi trường kiểm soát của mình, và
d) đạt được tuân thủ các luật lệ và quy định một cách hiệu quả.
23 | P a g e
4.5 Thiết lập, giám sát, duy trì và cải thiện một ISMS
4.5.1 Tổng quan
Một tổ chức cần phải trải qua những bước dưới đây trong thiết lập, giám sát,
duy trì và cải thiện ISMS của mình:
a) xác định những tài sản thông tin và các yêu cầu bảo mật thông tin tương
xứng (xem 4.5.2);
b) đánh giá các rủi ro bảo mật thông tin (xem 4.5.3) và xử lý các rủi ro bảo
mật thông tin (xem 4.5.4);
c) lựa chọn và triển khai các kiểm soát liên quan để quản lý những rủi ro
không thể chấp nhận (xem 4.5.5);
d) giám sát, duy trì và cải thiện tính hiệu quả của các kiểm soát tương xứng
với những tài sản thông tin của tổ chức (xem 4.5.6).
Để đảm bảo rằng ISMS đang bảo vệ những tài sản thông tin của tổ chức một
cách hiệu quả trên cơ sở liên tục, điều cần thiết là bước a) và b) liên tục được lặp
đi lặp lại để xác định những thay đổi trong rủi ro hoặc trong chiến lược của tổ
chức hoặc các mục tiêu kinh doanh.
4.5.2 Xác định các yêu cầu bảo mật thông tin
Trong chiến lược tổng thể và các mục tiêu kinh doanh của tổ chức, quy mô
và mức độ mở rộng phạm vi địa lý của mình, các yêu cầu bảo mật thông tin có thể
được xác định thông qua một hiểu biết về những điều dưới đây:
a) xác định những tài sản thông tin và giá trị của chúng;
b) các nhu cầu kinh doanh đối với xử lý, lưu trữ và truyền tải thông tin;
c) các yêu cầu pháp lý, quy định và hợp đồng.
Việc tiến hành một đánh giá có phương pháp về các rủi ro tương xứng với
những tài sản thông tin của tổ chức bao gồm việc phân tích các mối đe dọa đến tài
sản thông tin, những lỗ hổng và khả năng xảy ra của một mối đe dọa cụ thể đối với
tài sản thông tin, và tác động tiềm tàng của bất kỳ sự cố bảo mật thông tin nào đến
tài sản thông tin. Chi phí cho các kiểm soát liên quan được sự kiến sẽ tương ứng
với tác động kinh doanh được nhận thức của rủi ro hiện hữu.
4.5.3 Đánh giá rủi ro bảo mật thông tin

Việc quản lý các rủi ro bảo mật thông tin đòi hỏi một phương pháp đánh giá
và xử lý rủi ro phù hợp có thể bao gồm một ước lượng về chi phí và lợi ích, các
yêu cầu pháp lý, những mối quan tâm của các bên liên quan, và các đầu vào và
biến số khác tương ứng.
Đánh giá rủi ro nên xác định, định lượng, và ưu tiên các rủi ro so với các
tiêu chí chấp nhận rủi ro và các mục tiêu liên quan của tổ chức. Các kết quả nên
hướng dẫn cho và xác định những hành động quản lý tương xứng và các ưu tiên
quản lý rủi ro bảo mật thông tin và cho việc triển khai những kiểm soát đã được
lựa chọn để bảo vệ chống lại những rủi ro đó.
Đánh giá rủi ro nên bao gồm:

24 | P a g e
a) phương pháp tiếp cận mang tính hệ thống về ước lượng độ lớn của rủi ro
(phân tích rủi ro), và
b) quy trình so sánh các rủi ro đã được ước lượng với các tiêu chí rủi ro để
xác định ý nghĩa của rủi ro (đánh giá rủi ro).
Đánh giá rủi ro nên được thực hiện một cách định kỳ để giải quyết những
thay đổi trong các yêu cầu bảo mật thông tin và tình huống của rủi ro, ví dụ như
về các tài sản, mối đe dọa, các lỗ hổng, tác động, đánh giá rủi ro, và khi các thay
đổi quan trọng xảy ra. Những đánh giá rủi ro này nên được tiến hành một cách có
phương pháp có khả năng tạo ra những kết quả có thể so sánh được và tái lập
được.
Đánh giá rủi ro bảo mật thông tin nên có một phạm vi được xác định một
cách rõ ràng để có hiệu quả và nên bao gồm các mối quan hệ với những đánh giá
rủi ro trong các khu vực khác, nếu thích hợp.
ISO/IEC 27005 cung cấp hướng dẫn đánh giá rủi ro bảo mật thông tin, bao
gồm khuyến cáo về đánh giá rủi ro, xử lý rủi ro, chấp thuận rủi ro, báo cáo rủi ro,
giám sát và xem xét rủi ro. Các ví dụ về các phương pháp đánh giá rủi ro cũng
được bao gồm (trong ISO/IEC 27005).
4.5.4 Xử lý các rủi ro bảo mật thông tin

Trước khi xem xét việc xử lý rủi ro, tổ chức nên định nghĩa các tiêu chí để
xác định liệu rằng các rủi ro có thể được chấp thuận hay không. Các rủi ro có thể
được chấp thuận nếu, ví dụ, nó đã được đánh giá là thấp hoặc chi phí xử lý không
hiệu quả đối với tổ chức. Những quyết định như vậy nên được ghi nhận lại.
Đối với mỗi một rủi ro đã được xác định theo đánh giá rủi ro, một quyết
định xử lý rủi ro cần được đưa ra. Các lựa chọn có thể để xử lý rủi ro bao gồm
những điều dưới đây:
a) áp dụng các kiểm soát thích hợp để làm giảm thiểu rủi ro;
b) chấp thuận rủi ro một cách có chủ ý và khách quan, với điều kiện chúng
(rủi ro) đáp ứng một cách rõ ràng chính sách và tiêu chí chấp thuận rủi ro
của tổ chức;
c) tránh rủi ro bằng cách không cho phép những hành động là nguyên nhân
có thể làm cho rủi ro xảy ra;
d) chia sẻ các rủi ro tương ứng với các bên khác, ví dụ, bảo hiểm hoặc nhà
cung cấp.
Đối với những rủi ro mà quyết định xử lý rủi ro là áp dụng các kiểm soát
tương xứng, những kiểm soát đó nên được lựa chọn và triển khai.
4.5.5 Lựa chọn và triển khai các kiểm soát

Khi các yêu cầu bảo mật thông tin đã được xác định (xem 4.5.2), những rủi
ro bảo mật thông tin đối với tài sản thông tin đã được xác định đã được xác định
25 | P a g e
và đánh giá (xem 4.5.3) và quyết định xử lý rủi ro bảo mật thông tin đã được đưa
ra (xem 4.5.4), sau đó áp dụng lựa chọn và triển khai các kiểm soát giảm thiểu rủi
ro.
Các kiểm soát nên đảm bảo rằng những rủi ro được giảm thiểu đến mức có
thể chấp nhận được có tính đến những điều dưới đây:
a) các yêu cầu và những hạn chế của luật pháp và yêu cầu quốc gia và quốc
tế;
b) các mục tiêu của tổ chức;
c) các yêu cầu và hạn chế trong vận hành;
d) chi phí của chúng (các kiểm soát) cho việc triển khai và vận hành liên
quan đến những rủi ro được giảm thiểu, và duy trì tỷ lệ với các yêu cầu
và hạn chế của tổ chức;
e) những mục tiêu của chúng để giám sát, đánh giá và cải thiện hiệu quả và
hiệu lực của các biện pháp kiểm soát bảo mật thông tin để hỗ trợ các mục
tiêu của tổ chức. Việc lựa chọn và triển khai các kiểm soát nên được lập
thành văn bản trong một tuyên bố về khả năng áp dụng để hỗ trợ các yêu
cầu tuân thủ.
f) nhu cầu cân bằng giữa các khoản đầu tư trong triển khai và vận hành các
kiểm soát đối với khả năng mất mát từ kết quả của các sự cố bảo mật
thông tin.
Các biện pháp kiểm soát đã xác định trong ISO / IEC 27002 được thừa nhận
là thực tiễn tốt nhất áp dụng cho hầu hết các tổ chức và sẵn sàng điều chỉnh để
phù hợp với các tổ chức với quy mô và mức độ phức tạp khác nhau. Các tiêu chuẩn
khác trong họ tiêu chuẩn ISMS cung cấp hướng dẫn về việc lựa chọn và áp dụng
các kiểm soát ISO/IEC 27002 cho ISMS.
Các biện pháp kiểm soát bảo mật thông tin cần được xem xét ở giai đoạn
thiết kế và đặc tả kỹ thuật các yêu cầu của hệ thống và dự án. Nếu không làm như
vậy có thể dẫn đến chi phí bổ sung và các giải pháp kém hiệu quả hơn, và trong
trường hợp xấu nhất, không thể đạt được bảo mật đầy đủ. Các kiểm soát có thể
được chọn từ ISO/IEC 27002 hoặc từ các bộ kiểm soát khác. Ngoài ra, các biện
pháp kiểm soát mới có thể được thiết kế để đáp ứng các nhu cầu cụ thể của tổ
chức. Cần phải nhận ra khả năng rằng một số biện pháp kiểm soát không thể áp
dụng cho mọi hệ thống hoặc môi trường thông tin và không khả thi cho mọi tổ
chức.
Đôi khi, việc thực hiện một nhóm các biện pháp kiểm soát đã chọn cần
nhiều thời gian và trong thời gian đó, mức độ rủi ro có thể cao hơn mức có thể
chấp nhận được về lâu dài. Tiêu chí rủi ro phải bao hàm khả năng chấp nhận rủi ro
trên cơ sở ngắn hạn trong khi các biện pháp kiểm soát đang được thực hiện. Các
bên quan tâm cần được thông báo về các mức độ rủi ro được ước tính hoặc dự
đoán tại các thời điểm khác nhau khi các biện pháp kiểm soát được thực hiện dần
dần.
26 | P a g e
Cần lưu ý rằng không có bộ kiểm soát nào có thể đạt được an toàn thông tin
hoàn toàn. Các hành động quản lý bổ sung cần được thực hiện để giám sát, đánh
giá và cải thiện hiệu quả và hiệu lực của các biện pháp kiểm soát an toàn thông tin
nhằm hỗ trợ các mục tiêu của tổ chức.
Việc lựa chọn và thực hiện các biện pháp kiểm soát phải được lập thành văn
bản trong một tuyên bố về khả năng áp dụng để hỗ trợ các yêu cầu tuân thủ.
4.5.6 Giám sát, duy trì và cải thiện tính hiệu quả của ISMS
Một tổ chức cần phải duy trì và cải thiện ISMS thông qua việc giám sát và
đánh giá hiệu suất so với các chính sách và mục tiêu của tổ chức, và báo cáo các
kết quả cho cấp quản lý để xem xét. Việc xem xét ISMS kiểm tra rằng ISMS bao
gồm các kiểm soát đã được chỉ định là phù hợp để xử lý rủi ro trong phạm vi của
ISMS. Hơn nữa, dựa trên hồ sơ về những khu vực được giám sát đó, nó cung cấp
bằng chứng xác minh và truy xuất nguồn gốc của những hành động khắc phục,
ngăn ngừa và cải thiện.
4.5.7 Liên tục cải tiến

Mục tiêu của việc liên tục cải tiến một ISMS là để tăng cường khả năng đạt
được những mục tiêu liên quan đến sự duy trì tính bảo mật, sẵn sàng và toàn vẹn
của thông tin. Trọng tâm của cải tiến liên tục là tìm kiếm cơ hội để cải thiện và
không giả định rằng các hành động quản lý hiện hữu là đủ tốt hoặc tốt nhất có thể.
Những hành động cải thiện bao gồm:

a) phân tích và đánh giá tình huống hiện tại để xác định những khu vực cần
cải thiện;
b) thiết lập các mục tiêu của việc cải thiện;
c) tìm kiếm các giải pháp khả dĩ để đạt được các mục tiêu;
d) đánh giá những giải pháp đó và đưa ra sự lựa chọn;
e) triển khai giải pháp đã chọn;
f) đo lường, xác minh, phân tích và đánh giá kết quả của việc triển khai để
xác định rằng các mục tiêu đã được đáp ứng;
g) chính thức hóa những thay đổi.
Các kết quả được xem xét, nếu cần thiết, để xác định những cơ hội cải tiến
hơn nữa. Theo cách này, cải tiến là một hành động liên tục, tức là những hành
động được lặp đi lặp lại một cách thường xuyên. Phản hồi từ khách hàng và các
bên liên quan khác, kiểm toán và xem xét hệ thống bảo mật thông tin cũng có thể
được sử dụng để xác định các cơ hội cải thiện.
4.6 Các yếu tố thành công quan trọng của ISMS

Một lượng lớn các yếu tố là rất quan trọng cho việc triển khai thành công
một ISMS để cho phép một tổ chức đạt được các mục tiêu kinh doanh của mình.
Các ví dụ về các yếu tố thành công quan trọng bao gồm:
27 | P a g e
a) chính sách, các mục tiêu bảo mật thông tin và các hành động liên kết với
các mục tiêu;
b) một phương pháp tiếp cận và khuôn khổ trong thiết kế, triển khai, giám
sát, duy trì, và cải thiện sự nhất quán giữa bảo mật thông tin với văn hóa
tổ chức;
c) sự hỗ trợ và cam kết rõ ràng từ các cấp quản lý, đặc biệt là quản lý hàng
đầu;
d) một sự hiểu biết về các yêu cầu bảo vệ tài sản thông tin thông qua việc
áp dụng quản lý rủi ro bảo mật thông tin (xem ISO/IEC 27005);
e) một chương trình hiệu quả trong nâng cao nhận thức, đào tạo và giáo dục
về bảo mật thông tin, thông báo cho toàn bộ nhân viên và các bên liên
quan khác về nghĩa vụ bảo mật thông tin của họ được quy định trong các
chính sách, tiêu chuẩn bảo mật thông tin, v.v… và thúc đẩy họ hành động
một cách phù hợp;
f) một quy trình quản lý sự cố bảo mật thông tin hiệu quả;
g) một phương pháp tiếp cận quản lý kinh doanh liên tục hiệu quả;
h) một hệ thống đo lường được sử dụng để đánh giá hiệu suất trong quản lý
bảo mật thông tin và những đề xuất phản hồi cho việc cải thiện.
Một ISMS gia tăng khả năng một tổ chức đạt được một cách nhất quán
những yếu tố thành công quan trọng được yêu cầu để bảo vệ tài sản thông tin của
mình.
4.7 Những lợi ích của họ các tiêu chuẩn ISMSs

Những lợi ích của việc triển khai một ISMS chủ yếu là kết quả từ việc giảm
thiểu rủi ro bảo mật thông tin (ví dụ, giảm khả năng và/hoặc tác động gây ra bởi
các sự cố bảo mật thông tin). Đặc biệt, những lợi ích có thể thấy rõ đối với một tổ
chức để đạt được thành công bền vững từ việc thông qua họ các tiêu chuẩn ISMS
bao gồm:
a) một khuôn khổ có cấu trúc hỗ trợ quy trình xác định, triển khai, vận hành
và duy trì một ISMS toàn diện, hiệu quả về chi phí, tạo ra giá trị, được
tích hợp và được liên kết, đáp ứng được các yêu cầu của tổ chức về các
hoạt động và địa điểm khác nhau;
b) hỗ trợ cấp quản lý trong việc quản lý một cách nhất quán và vận hành
một cách có trách nhiệm phương pháp tiếp cận của họ đối với quản lý
bảo mật thông tin, trong bối cảnh quản lý và quản trị rủi ro doanh
nghiệp, bao gồm đào tạo và giáo dục chủ sở hữu doanh nghiệp và hệ
thống về quản lý toàn diện bảo mật thông tin;
c) thúc đẩy các thực tiễn bảo mật thông tin tốt và được chấp nhận toàn cầu
theo một cách bất quy tắc, mang lại cho tổ chức một phạm vi rộng rãi để
thông qua và cải thiện các kiểm soát liên quan phù hợp với hoàn cảnh cụ
thể của họ và để duy trì chúng khi đối mặt với những thay đổi trong nội
bộ và bên ngoài;
d) cung cấp một ngôn ngữ phổ biến và có cơ sở khái niệm về bảo mật thông
tin, làm cho nó trở nên dễ dàng để tạo niềm tin nơi các đối tác kinh
28 | P a g e
doanh về sự tuân thủ ISMS, đặc biệt nếu họ (đối tác kinh doanh – người
dịch) yêu cầu chứng nhận đối với ISO/IEC 27001 bởi một tổ chức chứng
nhận được công nhận;
e) gia tăng niềm tin của các bên liên quan đối với tổ chức;
f) thỏa mãn những kỳ vọng và nhu cầu xã hội;
g) quản lý kinh tế hiệu quả hơn đối với các khoản đầu tư cho bảo mật thông
tin.
5 Họ các tiêu chuẩn ISMS

5.1 Thông tin tổng quát
Họ các tiêu chuẩn ISMS được cấu thành từ các tiêu chuẩn có liên quan với
nhau, đã được công bố hoặc đang được phát triển, và bao gồm một số các thành
phần cấu trúc quan trọng. Những thành phần đó tập trung vào:
 các tiêu chuẩn mô tả các yêu cầu đối với ISMS (ISO/IEC 27001);
 các yêu cầu của tổ chức chứng nhận (ISO/IEC 27006) đối với những
yêu cầu chứng nhận sự tuân thủ với ISO/IEC 27002, và
 khuôn khổ yêu cầu bổ sung cho việc triển khai ISMS theo ngành nghề
cụ thể (ISO/IEC 27009).
Những tài liệu khác cung cấp hướng dẫn cho nhiều khía cạnh khác của việc
triển khai một ISMS, giải quyết một quy trình chung cũng như hướng dẫn cụ thể
theo ngành nghề.
Mối quan hệ giữa họ các tiêu chuẩn ISMS được minh họa trong Hình 1.
Hình 1: Mối quan hệ giữa họ các tiêu chuẩn ISMS
29 | P a g e
Mỗi một (tiêu chuẩn) trong họ các tiêu chuẩn ISMS được mô tả dưới đây
theo kiểu (hoặc vai trò) của nó trong họ các tiêu chuẩn ISMS và số tham chiếu của
nó.
5.2 Tiêu chuẩn mô tả tổng quan và thuật ngữ: ISO/IEC 27000 (tài liệu
này)
Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý bảo mật thông
tin - Tổng quan và từ vựng
Phạm vi: Tài liệu này cung cấp cho các tổ chức và cá nhân:
a) tổng quan về họ các tiêu chuẩn ISMS;
b) giới thiệu về hệ thống quản lý bảo mật thông tin; và
c) các thuật ngữ và định nghĩa được sử dụng trong họ các tiêu chuẩn ISMS.
Mục đích: Tài liệu này mô tả các nguyên tắc cơ bản của hệ thống quản lý
bảo mật thông tin, tạo thành chủ đề của họ các tiêu chuẩn ISMS và định nghĩa các
thuật ngữ liên quan.
5.3 Các tiêu chuẩn để xác định các yêu cầu

5.3.1 ISO/IEC 27001
Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý bảo mật thông
tin - Yêu cầu
Phạm vi: Tài liệu này chỉ rõ các yêu cầu đối với việc thiết lập, triển khai,
vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống quản lý bảo mật
thông tin (ISMS) đã được chính thức hóa trong bối cảnh rủi ro kinh doanh
tổng thể của tổ chức. Nó chỉ định rõ các yêu cầu đối với việc thực hiện các
biện pháp kiểm soát bảo mật thông tin được tùy chỉnh theo nhu cầu của các
tổ chức riêng lẻ hoặc các bộ phận của chúng. Tài liệu này có thể được sử
dụng bởi tất cả các tổ chức, bất kể loại hình, quy mô và bản chất.
Mục đích: ISO/IEC 27001 đưa ra các yêu cầu quy chuẩn cho việc phát triển
và vận hành hệ thống ISMS, bao gồm một tập hợp các biện pháp kiểm soát
để kiểm soát và giảm thiểu rủi ro liên quan đến tài sản thông tin mà tổ chức
tìm cách bảo vệ bằng việc vận hành ISMS của mình. Các tổ chức vận hành
một ISMS có thể được đánh giá và chứng nhận sự tuân thủ của nó. Các mục
tiêu kiểm soát và các biện pháp kiểm soát từ ISO/IEC 27001:2013, Phụ lục
A sẽ được lựa chọn như một phần của quá trình ISMS này khi phù hợp để
bao hàm các yêu cầu đã xác định. Các mục tiêu kiểm soát và các biện pháp
kiểm soát được liệt kê trong ISO/IEC 27001:2013, Bảng A.1 có nguồn gốc
trực tiếp và liên kết với các mục tiêu được liệt kê trong ISO/IEC
27002:2013, các Điều từ 5 đến 18.
30 | P a g e
5.3.2 ISO/IEC 27006

Công nghệ thông tin - Kỹ thuật bảo mật - Yêu cầu đối với cơ quan cung cấp
dịch vụ kiểm toán và chứng nhận hệ thống quản lý bảo mật thông tin
Phạm vi: Tài liệu này xác định các yêu cầu và cung cấp hướng dẫn cho các
tổ chức cung cấp đánh giá và chứng nhận ISMS theo ISO/IEC 27001, ngoài
các yêu cầu đã bao gồm trong ISO/IEC 17021. Nó chủ yếu nhằm hỗ trợ việc
công nhận các tổ chức chứng nhận cung cấp chứng chỉ ISMS theo tiêu chuẩn
ISO/IEC 27001.
Các yêu cầu được bao hàm trong tài liệu này cần phải được chứng minh về
năng lực và độ tin cậy bởi bất kỳ ai cung cấp chứng chỉ ISMS, và hướng dẫn
được bao hàm trong tài liệu này cung cấp diễn giải bổ sung về các yêu cầu
này cho bất kỳ tổ chức nào cung cấp chứng chỉ ISMS.
Mục đích: ISO/IEC 27006 bổ sung cho ISO/IEC 17021 trong việc cung cấp
các yêu cầu mà các tổ chức chứng nhận được công nhận, do đó cho phép các
tổ chức này cung cấp các chứng nhận tuân thủ một cách nhất quán so với các
yêu cầu đặt ra trong ISO/IEC 27001.
5.3.3 ISO/IEC 27009

Công nghệ thông tin - Kỹ thuật bảo mật - Ứng dụng ISO/IEC 27001 cho
ngành cụ thể - Các yêu cầu
Phạm vi: Tài liệu này xác định những yêu cầu về việc sử dụng ISO/IEC
27001 trong bất kỳ ngành nghề cụ thể nào (lĩnh vực, lĩnh vực ứng dụng hoặc
khu vực thị trường). Nó giải thích cách làm thế nào để bao gồm các yêu cầu
bổ sung vào những yêu cầu trong ISO/IEC 27001, cách tinh chỉnh bất kỳ yêu
cầu nào trong ISO/IEC 27001, và làm thế nào bao gồm các kiểm soát hoặc
các bộ kiểm soát ngoài các kiểm soát trong ISO/IEC 27001:2013, Phụ lục A.
Mục đích: ISO/IEC 27009 đảm bảo rằng các yêu cầu bổ sung hoặc được tinh
chỉnh không xung đột với các yêu cầu trong ISO/IEC 27001.
5.4 Các tiêu chuẩn mô tả hướng dẫn chung

5.4.1 ISO/IEC 27002
Công nghệ thông tin – Kỹ thuật bảo mật – Quy tắc thực hành kiểm soát bảo
mật thông tin.
Phạm vi: Tài liệu này cung cấp một danh sách các mục tiêu kiểm soát đã
được chấp thuận phổ biến và các thực tiễn kiểm soát tốt nhất để được sử
dụng như là hướng dẫn triển khai khi lựa chọn và triển khai các kiểm soát
để đạt được bảo mật thông tin.
31 | P a g e
Mục đích: ISO/IEC 27002 cung cấp hướng dẫn về việc triển khai các kiểm
soát bảo mật thông tin. Đặc biệt, từ Điều 5 đến Điều 18 cung cấp những lời
khuyên và hướng dẫn triển khai cụ thể về những thực tiễn tốt nhất để hỗ trợ
các biện pháp kiểm soát cụ thể trong ISO/IEC 27001:2013, A.5 đến A.18.
5.4.2 ISO/IEC 27003

Công nghệ thông tin – Kỹ thuật bảo mật – Quản lý bảo mật thông tin –
Hướng dẫn.
Phạm vi: Tài liệu này cung cấp sự giải thích và hướng dẫn về ISO/IEC
27001:2013.
Mục đích: ISO/IEC 27003 cung cấp một nền tảng để triển khai thành công
ISMS thích hợp với ISO/IEC 27001.
5.4.3 ISO/IEC 27004

Công nghệ thông tin – Kỹ thuật bảo mật – Quản lý bảo mật thông tin – Giám
sát, đo lường, phân tích và đánh giá.
Phạm vi: Tài liệu này cung cấp hướng dẫn với dự định nhằm hỗ trợ tổ chức
để đánh giá hiệu suất bảo mật thông tin và tính hiệu quả của ISMS, từ đó
hoàn thành các yêu cầu của ISO/IEC 27001:2013, 9.1. Nó giải quyết:
a) việc giám sát và đo lường hiệu suất bảo mật thông tin;
b) việc giám sát và đo lường tính hiệu quả của một hệ thống quản lý bảo
mật thông tin (ISMS) bao gồm các quy trình và kiểm soát của nó;
c) phân tích và đánh giá các kết quả của giám sát và đo lường.
Mục đích: ISO/IEC 27004 cung cấp một khuôn khổ cho phép một đánh giá
tính hiệu quả ISMS được đo lường và đánh giá tương ứng với ISO/IEC
27001.
5.4.4 ISO/IEC 27005

Công nghệ thông tin – Kỹ thuật bảo mật – Quản lý rủi ro bảo mật thông tin.
Phạm vi: Tài liệu này cung cấp những hướng dẫn trong việc quản lý rủi ro
bảo mật thông tin. Phương pháp tiếp cận được mô tả trong tài liệu này hỗ
trợ những khái niệm tổng thể được xác định trong ISO/IEC 27001.
Mục đích: ISO/IEC 27005 cung cấp hướng dẫn về việc triển khai một
phương pháp tiếp cận quản lý rủi ro theo hướng quy trình để hỗ trợ trong
việc thỏa mãn các yêu cầu triển khai và hoàn thành quản lý rủi ro bảo mật
thông tin trong ISO/IEC 27001.
32 | P a g e
5.4.5 ISO/IEC 27007

Công nghệ thông tin - Kỹ thuật bảo mật - Hướng dẫn kiểm toán hệ thống
quản lý bảo mật thông tin
Phạm vi: Tài liệu này cung cấp hướng dẫn về việc thực hiện kiểm toán
ISMS, cũng như hướng dẫn về năng lực của kiểm toán viên hệ thống quản lý
bảo mật thông tin, ngoài hướng dẫn đã bao hàm trong ISO 19011, có thể áp
dụng được cho các hệ thống quản lý nói chung.
Mục đích: ISO/IEC 27007 sẽ cung cấp hướng dẫn cho các tổ chức đang cần
tiến hành kiểm toán nội bộ hoặc kiểm toán bên ngoài về ISMS hoặc để quản
lý chương trình kiểm toán ISMS theo các yêu cầu được quy định trong
ISO/IEC 27001.
5.4.6 ISO/IEC TR 27008

Công nghệ thông tin - Kỹ thuật bảo mật - Hướng dẫn cho kiểm toán viên về
các kiểm soát bảo mật thông tin.
Phạm vi: Tài liệu này cung cấp hướng dẫn về việc xem xét việc triển khai
và vận hành các biện pháp kiểm soát, bao gồm cả việc kiểm tra sự tuân thủ
kỹ thuật của các biện pháp kiểm soát hệ thống thông tin, tuân thủ các tiêu
chuẩn an toàn thông tin đã được thiết lập của một tổ chức.
Mục đích: Tài liệu này tập trung vào việc xem xét các biện pháp kiểm soát
bảo mật thông tin, bao gồm kiểm tra sự tuân thủ kỹ thuật, dựa trên tiêu
chuẩn triển khai bảo mật thông tin được thiết lập bởi tổ chức. Nó không có ý
định cung cấp bất kỳ hướng dẫn cụ thể nào về việc kiểm tra tuân thủ liên
quan đến đo lường, đánh giá rủi ro hoặc kiểm toán một ISMS như được quy
định trong ISO/IEC 27004, ISO/IEC 27005 hoặc ISO/IEC 27007, một cách
tương ứng. Tài liệu này không dành cho việc kiểm toán hệ thống quản lý.
5.4.7 ISO/IEC 27013

Công nghệ thông tin - Kỹ thuật bảo mật - Hướng dẫn triển khai được tích
hợp ISO/IEC 27001 và ISO/IEC 20000-1
Phạm vi: Tài liệu này cung cấp hướng dẫn về việc triển khai được tích hợp
ISO/IEC 27001 và ISO/IEC 20000-1 cho các tổ chức đang có ý định:
a) triển khai ISO/IEC 27001 khi ISO/IEC 20000-1 đã được triển khai, hoặc
ngược lại;
b) triển khai cả ISO/IEC 27001 và ISO/IEC 20000-1 cùng nhau;
c) tích hợp các hệ thống quản lý hiện có dựa trên ISO/IEC 27001 và
ISO/IEC 20000-1.
Tài liệu này tập trung hoàn toàn vào việc triển khai tích hợp hệ thống quản
lý bảo mật thông tin (ISMS) như được quy định trong ISO/IEC 27001 và hệ
thống quản lý dịch vụ (SMS) như được quy định trong ISO/IEC 20000-1.
33 | P a g e
Trên thực tế, ISO/IEC 27001 và ISO/IEC 20000-1 cũng có thể được tích hợp
với các tiêu chuẩn hệ thống quản lý khác, chẳng hạn như ISO 9001 và ISO
14001.
Mục đích: Cung cấp cho các tổ chức sự hiểu biết tốt hơn về các đặc điểm,
điểm tương đồng và khác biệt giữa ISO/IEC 27001 và ISO/IEC 20000-1 để
hỗ trợ việc hoạch định một hệ thống quản lý tích hợp phù hợp với cả hai
Tiêu chuẩn Quốc tế.
5.4.8 ISO/IEC 27014

Công nghệ thông tin - Kỹ thuật bảo mật - Quản trị bảo mật thông tin
Phạm vi: Tài liệu này sẽ cung cấp hướng dẫn về các nguyên tắc và quy trình
quản trị bảo mật thông tin, qua đó các tổ chức có thể đánh giá, định hướng
và giám sát việc quản lý bảo mật thông tin.
Mục đích: Bảo mật thông tin đã trở thành một vấn đề then chốt đối với các
tổ chức. Không chỉ ngày càng có nhiều yêu cầu về quy định mà thất bại
trong việc áp dụng các biện pháp bảo mật thông tin của tổ chức cũng có thể
có tác động trực tiếp đến danh tiếng của tổ chức. Do đó, các cơ quan quản
lý, với tư cách là một phần trách nhiệm quản trị của mình, ngày càng được
yêu cầu phải có sự giám sát về an toàn thông tin để đảm bảo đạt được các
mục tiêu của tổ chức.
5.4.9 ISO/IEC TR 27016

Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý bảo mật thông tin - Kinh
tế tổ chức
Phạm vi: Tài liệu này cung cấp một phương pháp luận cho phép các tổ chức
hiểu rõ hơn về mặt kinh tế cách thức đánh giá chính xác hơn các tài sản
thông tin đã được xác định của họ, đánh giá rủi ro tiềm ẩn đối với các tài
sản thông tin đó, đề cao giá trị mà các biện pháp kiểm soát bảo vệ thông tin
mang lại cho các tài sản thông tin này và xác định mức tối ưu nguồn lực sẽ
được áp dụng để bảo mật các tài sản thông tin này.
Mục đích: Tài liệu này bổ sung cho họ các tiêu chuẩn ISMS bằng cách phủ
lên một quan điểm kinh tế học trong việc bảo vệ tài sản thông tin của một tổ
chức trong bối cảnh môi trường xã hội rộng lớn hơn, mà tổ chức vận hành
trong đó, và cung cấp hướng dẫn về cách áp dụng kinh tế học tổ chức vào
bảo mật thông tin thông qua sử dụng các mô hình và ví dụ.
5.4.10 ISO/IEC 27021

Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý bảo mật thông tin - Yêu
cầu năng lực đối với chuyên gia hệ thống quản lý bảo mật thông tin
34 | P a g e
Phạm vi: Tài liệu này chỉ định các yêu cầu về năng lực đối với các chuyên
gia ISMS dẫn đầu hoặc tham gia vào việc thiết lập, triển khai, duy trì và cải
tiến liên tục một hoặc nhiều quy trình của hệ thống quản lý an toàn thông
tin phù hợp với ISO/IEC 27001: 2013.
Mục đích: Tài liệu này được thiết kế để sử dụng bởi:

a) những cá nhân muốn chứng tỏ năng lực của mình với tư cách là chuyên
gia hệ thống quản lý an ninh thông tin (ISMS), hoặc những người mong
muốn hiểu và đạt được năng lực cần thiết để làm việc trong lĩnh vực này,
cũng như mong muốn mở rộng kiến thức của họ,
b) các tổ chức tìm kiếm các ứng viên ISMS chuyên nghiệp tiềm năng để xác
định năng lực cần thiết cho các vị trí trong các vai trò liên quan đến ISMS,
c) các cơ quan xây dựng chứng chỉ cho các chuyên gia ISMS cần một cơ sở
kiến thức (Body Of Knowledge) cho các nguồn kiểm tra, và
d) các tổ chức giáo dục và đào tạo, chẳng hạn như các trường đại học và các
cơ sở dạy nghề, để liên kết các giáo trình và khóa học của họ phù hợp với
yêu cầu năng lực đối với các chuyên gia ISMS.
5.5 Các tiêu chuẩn mô tả hướng dẫn theo ngành nghề

5.5.1 ISO/IEC 27010
Công nghệ thông tin - Kỹ thuật bảo mật - Quản lý bảo mật thông tin cho
truyền thông liên ngành và liên tổ chức
Phạm vi: Tài liệu này cung cấp các hướng dẫn bổ sung cho hướng dẫn được
đưa ra trong bộ tiêu chuẩn ISO/IEC 27000 để triển khai quản lý bảo mật
thông tin trong các cộng đồng chia sẻ thông tin.
Tài liệu này cung cấp các biện pháp kiểm soát và hướng dẫn cụ thể liên
quan đến việc khởi tạo, triển khai, duy trì và cải thiện bảo mật thông tin
trong truyền thông liên tổ chức và liên ngành.
Mục đích: Tài liệu này áp dụng cho mọi hình thức trao đổi và chia sẻ thông
tin nhạy cảm, cả (trong khu vực) công và tư nhân, trong nước và quốc tế,
trong cùng một ngành hoặc lĩnh vực thị trường hoặc giữa các lĩnh vực. Cụ
thể, nó có thể được áp dụng cho việc trao đổi và chia sẻ thông tin liên quan
đến việc cung cấp, duy trì và bảo vệ cơ sở hạ tầng quan trọng của một tổ
chức hoặc tiểu bang.
5.5.2 ISO/IEC 27011

Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát
bảo mật thông tin dựa trên ISO/IEC 27002 cho các tổ chức viễn thông
Phạm vi: Tài liệu này cung cấp các hướng dẫn hỗ trợ việc thực hiện các
biện pháp kiểm soát bảo mật thông tin trong các tổ chức viễn thông.
35 | P a g e
Mục đích: ISO/IEC 27011 cho phép các tổ chức viễn thông đáp ứng các yêu
cầu quản lý bảo mật thông tin cơ bản về tính bảo mật, tính toàn vẹn, tính
khả dụng và bất kỳ thuộc tính bảo mật liên quan nào khác.
5.5.3 ISO/IEC 27017

Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành về kiểm soát
bảo mật thông tin dựa trên ISO/IEC 27002 cho các dịch vụ đám mây
Phạm vi: ISO/IEC 27017 đưa ra các hướng dẫn về kiểm soát bảo mật thông
tin có thể được áp dụng cho việc cung cấp và sử dụng các dịch vụ đám mây
bằng cách cung cấp:
 hướng dẫn triển khai bổ sung đối với các biện pháp kiểm soát liên
quan được quy định trong ISO/IEC 27002;
 các biện pháp kiểm soát bổ sung với hướng dẫn triển khai liên quan
một cách đặc biệt đến các dịch vụ đám mây.
Mục đích: Tài liệu này cung cấp các kiểm soát và hướng dẫn triển khai cho
cả nhà cung cấp dịch vụ đám mây và khách hàng dịch vụ đám mây.
5.5.4 ISO/IEC 27018

Công nghệ thông tin - Kỹ thuật bảo mật - Quy tắc thực hành để bảo vệ thông
tin nhận dạng cá nhân (PII) trên các đám mây công cộng hoạt động như bộ
xử lý PII
Phạm vi: ISO/IEC 27018 thiết lập các mục tiêu kiểm soát được chấp nhận
phổ biến và các hướng dẫn để thực hiện các biện pháp bảo vệ thông tin nhận
dạng cá nhân (PII) phù hợp với các nguyên tắc bảo mật trong ISO/IEC
29100 cho môi trường điện toán đám mây công cộng.
Mục đích: Tài liệu này áp dụng cho các tổ chức, bao gồm các công ty (trong
lĩnh vực) công và tư nhân, các tổ chức chính phủ và các tổ chức phi lợi
nhuận, cung cấp dịch vụ xử lý thông tin dưới dạng bộ xử lý thông tin nhận
dạng cá nhân thông qua điện toán đám mây theo hợp đồng với các tổ chức
khác. Các hướng dẫn trong tài liệu này cũng có thể liên quan đến các tổ
chức hoạt động với tư cách là người kiểm soát thông tin nhận dạng cá nhân.
Tuy nhiên, có thể người kiểm soát thông tin nhận dạng cá nhân phải tuân
theo luật, quy định và nghĩa vụ bổ sung về bảo vệ thông tin nhận dạng cá
nhân mà không áp dụng cho người xử lý thông tin nhận dạng cá nhân, và
những điều đó không được đề cập trong tài liệu này.
5.5.5 ISO/IEC 27019

Công nghệ thông tin - Kỹ thuật bảo mật - Kiểm soát bảo mật thông tin cho
ngành công nghiệp năng lượng
36 | P a g e
Phạm vi: Tài liệu này cung cấp hướng dẫn dựa trên ISO/IEC 27002: 2013 áp
dụng cho các hệ thống kiểm soát quy trình được sử dụng bởi ngành công
nghiệp năng lượng để kiểm soát và giám sát quá trình sản xuất hoặc tạo ra,
truyền tải, lưu trữ và phân phối năng lượng điện, khí đốt, dầu và nhiệt, và
để kiểm soát các quá trình hỗ trợ liên quan. Điều này đặc biệt bao gồm
những điều sau:
 công nghệ kiểm soát, giám sát và tự động hóa quy trình tập trung và
phân tán cũng như các hệ thống thông tin được sử dụng cho việc vận
hành của chúng, chẳng hạn như các thiết bị lập trình và tham số hóa;
 bộ điều khiển kỹ thuật số và các thành phần tự động hóa như thiết bị
kiểm soát và thiết bị thực địa hoặc bộ kiểm soát logic có khả năng lập
trình được (PLC), bao gồm các cảm biến kỹ thuật số và các phần tử
khởi động;
 tất cả các hệ thống thông tin hỗ trợ thêm được sử dụng trong miền
kiểm soát quy trình, ví dụ: cho các tác vụ trực quan hóa dữ liệu bổ
sung và cho các mục đích kiểm soát, giám sát, lưu trữ dữ liệu, ghi
nhật ký lịch sử, báo cáo và tài liệu;
 công nghệ truyền thông được sử dụng trong miền kiểm soát quy trình,
ví dụ: mạng, phép đo từ xa, ứng dụng điều khiển từ xa và công nghệ
điều khiển từ xa;
 các thành phần cơ sở hạ tầng đo lường tiên tiến (AMI), ví dụ: máy đo
thông minh;
 thiết bị đo lường, ví dụ đối với các giá trị phát ra chất thải;
 hệ thống bảo vệ và an toàn kỹ thuật số, ví dụ: rơ le bảo vệ, PLC an
toàn, cơ cấu điều tốc khẩn cấp;
 hệ thống quản lý năng lượng, ví dụ tài nguyên năng lượng phân tán
(DER), cơ sở hạ tầng sạc điện, trong các hộ gia đình tư nhân, tòa nhà
dân cư hoặc cơ sở lắp đặt của khách hàng công nghiệp;
 các thành phần phân tán của hệ thống mạng lưới môi trường thông
minh, ví dụ: trong lưới điện, trong các hộ gia đình tư nhân, các tòa
nhà dân cư hoặc các cơ sở lắp đặt của khách hàng công nghiệp;
 tất cả phần mềm, firmware và ứng dụng được cài đặt trên các hệ thống
được đề cập ở trên, ví dụ: các ứng dụng DMS (hệ thống quản lý phân
phối) hoặc OMS (hệ thống quản lý ngừng hoạt động);
 bất kỳ cơ sở nào có các thiết bị và hệ thống được đề cập ở trên;
 hệ thống bảo trì từ xa cho các hệ thống nói trên.
Tài liệu này không áp dụng cho lĩnh vực kiểm soát quy trình của các cơ sở
hạt nhân. Khu vực này được đề cập trong IEC 62645.
Tài liệu này cũng bao gồm một yêu cầu để thích nghi các quy trình đánh giá
và xử lý rủi ro được mô tả trong ISO/IEC 27001: 2013 với hướng dẫn cụ thể
của ngành công nghiệp năng lượng được cung cấp trong tài liệu này.
37 | P a g e
Mục đích: Ngoài các mục tiêu và biện pháp bảo mật được quy định trong
ISO/IEC 27002, tài liệu này cung cấp hướng dẫn cho các hệ thống được sử
dụng bởi các tiện ích năng lượng và nhà cung cấp năng lượng về các biện
pháp kiểm soát an toàn thông tin đề cập đến các yêu cầu đặc biệt hơn.
5.5.6 ISO 27799

Tin học y tế - Quản lý an toàn thông tin trong y tế theo tiêu chuẩn ISO/IEC
27002
Phạm vi: Tài liệu này cung cấp các hướng dẫn về các tiêu chuẩn bảo mật
thông tin của tổ chức và các thực tiễn quản lý bảo mật thông tin bao gồm
việc lựa chọn, triển khai và quản lý các biện pháp kiểm soát có tính đến
(các) môi trường rủi ro bảo mật thông tin của tổ chức.
Tài liệu này cung cấp hướng dẫn triển khai đối với các biện pháp kiểm soát
được mô tả trong ISO/IEC 27002 và bổ sung chúng khi cần thiết để chúng
có thể được sử dụng một cách hiệu quả trong việc quản lý bảo mật thông tin
y tế.
Mục đích: ISO 27799 cung cấp cho các tổ chức y tế sự thích ứng của các
hướng dẫn ISO/IEC 27002 dành riêng cho lĩnh vực công nghiệp của họ, bổ
sung cho hướng dẫn đã được cung cấp nhằm đáp ứng các yêu cầu của
ISO/IEC 27001: 2013, Phụ lục A.
38 | P a g e
Nguồn tham khảo

[1] ISO 9000:2015, Quality management systems — Fundamentals and vocabulary
[2] ISO/IEC/IEEE 15939:2017, Systems and software engineering — Measurement process
[3] ISO/IEC 17021, Conformity assessment — Requirements for bodies providing audit and
certification of management systems
[4] ISO 19011:2011, Guidelines for auditing management systems
[5] ISO/IEC 20000-1:2011, Information technology — Service management — Part 1: Service
management system requirements
[6] ISO/IEC 27001, Information technology — Security techniques — Information security
management systems — Requirements
[7] ISO/IEC 27002, Information technology — Security techniques — Code of practice for
information security controls
management — Guidance
management — Monitoring, measurement, analysis and evaluation
[10] ISO/IEC 27005, Information technology — Security techniques — Information security risk
management
[11] ISO/IEC 27006, Information technology — Security techniques — Requirements for bodies
providing audit and certification of information security management systems
[12] ISO/IEC 27007, Information technology — Security techniques — Guidelines for information
security management systems auditing
[13] ISO/IEC TR 27008, Information technology — Security techniques — Guidelines for auditors
on information security controls
[14] ISO/IEC 27009, Information technology — Security techniques — Sector-specific application
of ISO/IEC 27001 — Requirements
management for inter-sector and inter-organizational communications
information security controls based on ISO/IEC 27002 for telecommunications organizations
[17] ISO/IEC 27013, Information technology — Security techniques — Guidance on the integrated
implementation of ISO/IEC 27001 and ISO/IEC 20000-1
[18] ISO/IEC 27014, Information technology — Security techniques — Governance of information
security
[19] ISO/IEC TR 27016, Information technology — Security techniques — Information security
management — Organizational economics
information security controls based on ISO/IEC 27002 for cloud services
protection of personally identifiable information (PII) in public clouds acting as PII processors
39 | P a g e

controls for the energy utility industry
[23] ISO/IEC 27021, Information technology — Security techniques — Competence requirements
for information security management systems professionals
[24] ISO 27799, Health informatics — Information security management in health using ISO/IEC
27002
[25] ISO Guide 73:2009, Risk management — Vocabulary
40 | P a g e

ISO 27000-2018-Vi

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ISO 27000-2018-Vi

Uploaded by

Copyright:

Available Formats

Công nghệ thông tin – Các kỹ thuật bảo mật – Quy tắc thực hành các kiểm soát

bảo mật thông tin

TIÊU CHUẨN ISO 27000:2018(E)

3.25 chỉ số ..................................................................................................................................11

3.59 chủ thể đánh giá ..............................................................................................................16

4.5.5 Lựa chọn và triển khai các kiểm soát ..............................................................25

0.2 Mục đích của tài liệu này

0.3 Nội dung của tài liệu này

2 Quy phạm tham chiếu

3 Khái niệm và định nghĩa

3.2 tấn công

3.3 kiểm toán

3.4 phạm vi kiểm toán

3.5 xác minh

3.6 tính xác thực

3.8 tính sẵn sàng

3.9 trình độ chuyên môn

3.10 tính bảo mật

3.11 tính tuân thủ

3.12 hậu quả

3.13 cải thiện liên tục

3.14 kiểm soát

3.15 mục tiêu kiểm soát

3.16 sự khắc phục

3.17 hành động khắc phục

3.18 thước đo bắt nguồn

3.18 thông tin được lập thành văn bản

3.20 hiệu quả

3.22 bối cảnh bên ngoài

3.23 quản trị bảo mật thông tin

3.24 hội đồng quản trị

3.26 thông tin cần

3.27 các thiết bị xử lý thông tin

3.28 bảo mật thông tin

3.30 sự kiện bảo mật thông tin

3.31 sự cố bảo mật thông tin

3.32 quản lý sự cố bảo mật thông tin

3.34 cộng đồng chia sẻ thông tin

3.35 hệ thống thông tin

3.36 tính toàn vẹn

3.37 bên liên quan (thuật ngữ được ưa thích)

3.38 bối cảnh nội bộ

3.39 mức độ rủi ro

3.40 khả năng xảy ra

3.41 hệ thống quản lý

3.44 chức năng đo lường

3.45 phương pháp đo lường

3.46 sự giám sát

3.47 không phù hợp

3.49 mục tiêu

3.51 thuê ngoài

3.52 hiệu suất

3.53 chính sách

3.54 quy trình

3.55 độ tin cậy

3.56 yêu cầu

3.57 rủi ro còn lại

3.58 đánh giá

3.59 chủ thể đánh giá

3.60 mục tiêu đánh giá

3.62 chấp thuận rủi ro

3.63 phân tích rủi ro

3.64 Đánh giá rủi ro