1.1. ISO/IEC 27002:2005 (Bộ luật thực thi về quản lý an toàn thông tin)
Đây là tiêu chuẩn quốc tế được đưa ra bởi Viện Tiêu chuẩn Anh quốc (BSI), là một bộ quy định thực thi về quản lý an toàn thông tin và được coi như là hướng dẫn cơ bản chung, có thể phát triển thành các tiêu chuẩn an toàn thông tin và quản lý hiệu quả hoạt động của tổ chức.
Tiêu chuẩn này bao gồm các hướng dẫn và các khuyến nghị về các trường hợp triển khai cho 10 lĩnh vực về an toàn thông tin bao gồm: Chính sách an toàn; Tổ chức thực hiện an toàn thông tin; Quản lý đánh giá; An toàn nguồn nhân lực; An toàn môi trường và vật lý; quản lý vận hành và giao tiếp; điều kiện truy nhập; duy trì, phát triển và thu thập thông tin; quản lý các vụ việc về an toàn thông tin; quản lý tính liên tục trong hoạt động sản xuất, kinh doanh; và tính tương thích.
Trong số 10 vấn đề về an toàn này, có tổng số 39 mục tiêu và hàng trăm biện pháp điều hành an toàn thông tin tốt nhất được khuyến nghị cho các tổ chức để thỏa mãn các mục tiêu kiểm soát và bảo vệ quyền sở hữu thông tin, chống lại các nguy cơ xâm phạm đến tính bảo mật, tính toàn vẹn và sẵn sàng của thông tin.
1.2. ISO/IEC 27001:2005 (Các yêu cầu – Hệ thống quản lý an toàn thông tin)
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 xuất phát từ nội dung của tiêu chuẩn BSI (BS7799 phần 2:2002). Nó chỉ ra các yêu cầu để thiết lập, thực thi, vận hành, giám sát, rà soát, duy trì và cải thiện Hệ thống quản lý an toàn thông tin (ISMS) trong một tổ chức. Nó được thiết kế để đảm bảo cho việc chọn lựa và điều hành phù hợp và đầy đủ nhằm bảo vệ tài sản thông tin của tổ chức. Tiêu chuẩn này thường được áp dụng đối với tất cả các tổ chức, bao gồm các doanh nghiệp, cơ quan nhà nước,...
Tiêu chuẩn này giới thiệu một mô hình tuần hoàn là “Lập kế hoạch – Thực hiện –Kiểm tra – Thi hành” (“Plan-Do-Check-Act” - PDCA) có mục đích thiết lập, thực thi, giám sát và cải thiện hiệu quả Hệ thống quản lý an toàn thông tin. Chu trình PDCA có 4 pha:
Thông thường, ISO/IEC 27001:2005 được thực hiện cùng với ISO/IEC 27002:2005. ISO/IEC 27001 định nghĩa các yêu cầu cho hệ thống ISMS và sử dụng ISO/IEC 27002 để đưa ra các hoạt động kiểm soát an toàn thông tin phù hợp nhất bên trong Hệ thống ISMS.
ISO/IEC 27002 là một bộ quy tắc thực thi cung cấp các hoạt động kiểm soát mà tổ chức có thể ban hành để khuyến cáo các nguy cơ về an toàn thông tin. Các hoạt động kiểm soát này là không bắt buộc. Vì vậy mà không có việc chứng nhận cho ISO/IEC 27002, nhưng một tổ chức có thể được chứng nhận phù hợp với tiêu chuẩn ISO/IEC 27001 nếu quy trình quản lý tuân thủ tiêu chuẩn hệ thống ISMS. Danh sách các cơ quan chứng nhận chính thức có thể chứng nhận một tổ chức tuân thủ tiêu chuẩn ISMS trên wesite về dịch vụ chỉ định của UK.
1.3. ISO/IEC 15408 (Tiêu chuẩn đánh giá cho an toàn công nghệ thông tin)
Tiêu chuẩn quốc tế ISO/IEC 15408 được coi là Tiêu chuẩn chung “Common Criteria - CC”. Tiêu chuẩn này bao gồm 03 phần: ISO/IEC 15408-1:2005 (giới thiệu và mô hình chung), ISO/IEC 15408-2:2005 (các yêu cầu tính năng an toàn) và ISO/IEC 15408-3:2005 (các yêu cầu bảo đảm an toàn). Tiêu chuẩn này giúp tính toán, phê chuẩn và xác nhận việc bảo đảm an toàn cho một sản phẩm công nghệ phù hợp với một số các thông số như là các yêu cầu tính năng an toàn được chỉ ra trong tiêu chuẩn.
Phần cứng và phần mềm được đánh giá phù hợp với các yêu cầu tiêu chuẩn chung (CC) tại các phòng thí nghiệm đo kiểm được chỉ định để chứng nhận Mức độ bảo đảm ước lượng EAL cho các sản phẩm và hệ thống thông tin. Có 7 loại EAL: EAL1 – đo tính năng, EAL2 – đo cấu trúc, EAL3- Đo kiểm theo phương pháp, EAL4 - thiết kế, đo và đánh giá theo phương pháp, EAL5- thiết kế và thử nghiệm bán chính thức, EAL6- thiết kế, thử nghiệm và xác nhận, EAL7- thiết kế, đo, xác nhận chính thức.
Danh sách các cơ quan chỉ định và các sản phẩm đã được đánh giá trên Website tiêu chuẩn chung. Danh sách các sản phẩm được đánh giá tại Mỹ có trên website của Hệ thống đánh giá và xác nhận cho an toàn công nghệ thông tin (CCEVS).
1.4. Tiêu chuẩn ISO/IEC 13335 (Quản lý an toàn công nghệ thông tin)
Tiêu chuẩn ISO/IEC 13335 ban đầu là một Báo cáo kỹ thuật (TR) trước khi trở thành một tiêu chuẩn ISO/IEC đầy đủ. Tiêu chuẩn này bao gồm tập hợp các hướng dẫn về các biện pháp kỹ thuật kiểm soát an toàn:
a) ISO/IEC 13335-1:2004: Dẫn chứng những khái niệm và mô hình cho quản lý an toàn công nghệ thông tin và truyền thông;
b) ISO/IEC TR 13335-3:1998 dẫn chứng những kỹ thuật cho an toàn thông tin.
c) ISO/IEC TR 13335-4:2000 bao gồm các lựa chọn cho hoạt động bảo vệ (kiểm soát kỹ thuật an toàn), phần này đang được xem xét lại và có thể được thay thế bởi ISO/IEC 27005.
d) ISO/IEC TR 13335-5:2001 gồm việc hướng dẫn quản lý về an toàn mạng. Phần này đang được xem xét lại và có thể được hợp nhất vào tiêu chuẩn ISO/IEC 18028-1 và ISO/IEC 27005.
(còn tiếp)
07:00 | 07/06/2018
10:00 | 10/04/2024
Bộ Y tế Hoa Kỳ đã đưa ra cảnh báo rằng tin tặc hiện đang sử dụng các chiến thuật lừa đảo để nhắm mục tiêu vào các bộ phận trợ giúp công nghệ thông tin (CNTT) trong lĩnh vực Chăm sóc sức khỏe và Y tế Công cộng.
08:00 | 09/04/2024
Sáng ngày 08/4, tại Hà Nội đã diễn ra Hội nghị thượng đỉnh về Công nghệ thông tin và Nguồn mở châu Á - FOSSASIA Summit 2024. Sự kiện năm nay sẽ diễn ra trong ba ngày 08-10/4 và được tổ chức bởi FOSSASIA, Hiệp hội Internet Việt Nam (VIA), Học viện Công nghệ Bưu chính Viễn thông và Câu lạc bộ phần mềm tự do nguồn mở Việt Nam (VFOSSA).
15:00 | 04/04/2024
Chính quyền Đức đã tuyên bố đánh sập một thị trường ngầm bất hợp pháp có tên Nemesis Market chuyên buôn bán các mặt hàng như ma túy, dữ liệu bị đánh cắp và các dịch vụ tội phạm mạng khác.
08:00 | 25/03/2024
Theo thông báo chính thức từ website của VNDIRECT, Công ty Cổ phần Chứng khoán nổi tiếng tại Việt Nam xác nhận bị tấn công mạng, gây ngưng trệ hoạt động.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024