1.1. ISO/IEC 27002:2005 (Bộ luật thực thi về quản lý an toàn thông tin)
Đây là tiêu chuẩn quốc tế được đưa ra bởi Viện Tiêu chuẩn Anh quốc (BSI), là một bộ quy định thực thi về quản lý an toàn thông tin và được coi như là hướng dẫn cơ bản chung, có thể phát triển thành các tiêu chuẩn an toàn thông tin và quản lý hiệu quả hoạt động của tổ chức.
Tiêu chuẩn này bao gồm các hướng dẫn và các khuyến nghị về các trường hợp triển khai cho 10 lĩnh vực về an toàn thông tin bao gồm: Chính sách an toàn; Tổ chức thực hiện an toàn thông tin; Quản lý đánh giá; An toàn nguồn nhân lực; An toàn môi trường và vật lý; quản lý vận hành và giao tiếp; điều kiện truy nhập; duy trì, phát triển và thu thập thông tin; quản lý các vụ việc về an toàn thông tin; quản lý tính liên tục trong hoạt động sản xuất, kinh doanh; và tính tương thích.
Trong số 10 vấn đề về an toàn này, có tổng số 39 mục tiêu và hàng trăm biện pháp điều hành an toàn thông tin tốt nhất được khuyến nghị cho các tổ chức để thỏa mãn các mục tiêu kiểm soát và bảo vệ quyền sở hữu thông tin, chống lại các nguy cơ xâm phạm đến tính bảo mật, tính toàn vẹn và sẵn sàng của thông tin.
1.2. ISO/IEC 27001:2005 (Các yêu cầu – Hệ thống quản lý an toàn thông tin)
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 xuất phát từ nội dung của tiêu chuẩn BSI (BS7799 phần 2:2002). Nó chỉ ra các yêu cầu để thiết lập, thực thi, vận hành, giám sát, rà soát, duy trì và cải thiện Hệ thống quản lý an toàn thông tin (ISMS) trong một tổ chức. Nó được thiết kế để đảm bảo cho việc chọn lựa và điều hành phù hợp và đầy đủ nhằm bảo vệ tài sản thông tin của tổ chức. Tiêu chuẩn này thường được áp dụng đối với tất cả các tổ chức, bao gồm các doanh nghiệp, cơ quan nhà nước,...
Tiêu chuẩn này giới thiệu một mô hình tuần hoàn là “Lập kế hoạch – Thực hiện –Kiểm tra – Thi hành” (“Plan-Do-Check-Act” - PDCA) có mục đích thiết lập, thực thi, giám sát và cải thiện hiệu quả Hệ thống quản lý an toàn thông tin. Chu trình PDCA có 4 pha:
Thông thường, ISO/IEC 27001:2005 được thực hiện cùng với ISO/IEC 27002:2005. ISO/IEC 27001 định nghĩa các yêu cầu cho hệ thống ISMS và sử dụng ISO/IEC 27002 để đưa ra các hoạt động kiểm soát an toàn thông tin phù hợp nhất bên trong Hệ thống ISMS.
ISO/IEC 27002 là một bộ quy tắc thực thi cung cấp các hoạt động kiểm soát mà tổ chức có thể ban hành để khuyến cáo các nguy cơ về an toàn thông tin. Các hoạt động kiểm soát này là không bắt buộc. Vì vậy mà không có việc chứng nhận cho ISO/IEC 27002, nhưng một tổ chức có thể được chứng nhận phù hợp với tiêu chuẩn ISO/IEC 27001 nếu quy trình quản lý tuân thủ tiêu chuẩn hệ thống ISMS. Danh sách các cơ quan chứng nhận chính thức có thể chứng nhận một tổ chức tuân thủ tiêu chuẩn ISMS trên wesite về dịch vụ chỉ định của UK.
1.3. ISO/IEC 15408 (Tiêu chuẩn đánh giá cho an toàn công nghệ thông tin)
Tiêu chuẩn quốc tế ISO/IEC 15408 được coi là Tiêu chuẩn chung “Common Criteria - CC”. Tiêu chuẩn này bao gồm 03 phần: ISO/IEC 15408-1:2005 (giới thiệu và mô hình chung), ISO/IEC 15408-2:2005 (các yêu cầu tính năng an toàn) và ISO/IEC 15408-3:2005 (các yêu cầu bảo đảm an toàn). Tiêu chuẩn này giúp tính toán, phê chuẩn và xác nhận việc bảo đảm an toàn cho một sản phẩm công nghệ phù hợp với một số các thông số như là các yêu cầu tính năng an toàn được chỉ ra trong tiêu chuẩn.
Phần cứng và phần mềm được đánh giá phù hợp với các yêu cầu tiêu chuẩn chung (CC) tại các phòng thí nghiệm đo kiểm được chỉ định để chứng nhận Mức độ bảo đảm ước lượng EAL cho các sản phẩm và hệ thống thông tin. Có 7 loại EAL: EAL1 – đo tính năng, EAL2 – đo cấu trúc, EAL3- Đo kiểm theo phương pháp, EAL4 - thiết kế, đo và đánh giá theo phương pháp, EAL5- thiết kế và thử nghiệm bán chính thức, EAL6- thiết kế, thử nghiệm và xác nhận, EAL7- thiết kế, đo, xác nhận chính thức.
Danh sách các cơ quan chỉ định và các sản phẩm đã được đánh giá trên Website tiêu chuẩn chung. Danh sách các sản phẩm được đánh giá tại Mỹ có trên website của Hệ thống đánh giá và xác nhận cho an toàn công nghệ thông tin (CCEVS).
1.4. Tiêu chuẩn ISO/IEC 13335 (Quản lý an toàn công nghệ thông tin)
Tiêu chuẩn ISO/IEC 13335 ban đầu là một Báo cáo kỹ thuật (TR) trước khi trở thành một tiêu chuẩn ISO/IEC đầy đủ. Tiêu chuẩn này bao gồm tập hợp các hướng dẫn về các biện pháp kỹ thuật kiểm soát an toàn:
a) ISO/IEC 13335-1:2004: Dẫn chứng những khái niệm và mô hình cho quản lý an toàn công nghệ thông tin và truyền thông;
b) ISO/IEC TR 13335-3:1998 dẫn chứng những kỹ thuật cho an toàn thông tin.
c) ISO/IEC TR 13335-4:2000 bao gồm các lựa chọn cho hoạt động bảo vệ (kiểm soát kỹ thuật an toàn), phần này đang được xem xét lại và có thể được thay thế bởi ISO/IEC 27005.
d) ISO/IEC TR 13335-5:2001 gồm việc hướng dẫn quản lý về an toàn mạng. Phần này đang được xem xét lại và có thể được hợp nhất vào tiêu chuẩn ISO/IEC 18028-1 và ISO/IEC 27005.
(còn tiếp)
07:00 | 07/06/2018
10:00 | 08/05/2024
Theo thống kê, chỉ trong 3 tuần đầu tháng 4/2024, hệ thống Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) của Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) đã tiếp nhận gần 630 phản ánh của người dùng về các trường hợp lừa đảo trực tuyến. Các chuyên gia của Cục An toàn thông tin đã phát hiện nhiều trường hợp lừa đảo giả mạo các mạng xã hội, ngân hàng, thư điện tử, cổng dịch vụ công quốc gia...
19:00 | 30/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
09:00 | 01/04/2024
Mới đây, các nhà nghiên cứu của nhóm bảo mật Unit42 tới từ công ty an ninh mạng Palo Alto Networks (Mỹ) cho biết một số nhóm tin tặc APT có liên kết với Trung Quốc đã được quan sát nhắm mục tiêu vào các thực thể và các nước thành viên của Hiệp hội các quốc gia Đông Nam Á (ASEAN), như một phần của chiến dịch gián điệp mạng kéo dài trong ba tháng qua.
14:00 | 13/03/2024
Sáng ngày 13/3, tại Hà Nội, Đoàn công tác của Bộ Quốc phòng do Thượng tướng Lê Huy Vịnh, Ủy viên Ban Chấp hành Trung ương Đảng, Thứ trưởng Bộ Quốc phòng làm trưởng đoàn đến thăm và làm việc tại Học viện Kỹ thuật mật mã về công tác đào tạo nguồn nhân lực chuyển đổi số.
Chiều ngày 15/5, tại Hà Nội, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn cùng đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban đã đến thăm và làm việc với Tòa án nhân dân tối cao nhằm phối hợp triển khai các nhiệm vụ về bảo mật và an toàn thông tin trong tình hình mới.
10:00 | 16/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 8/5, Intel cho biết doanh số bán hàng của công ty sẽ bị ảnh hưởng sau khi Mỹ thu hồi một số giấy phép xuất khẩu của nhà sản xuất chip này đối với một khách hàng ở Trung Quốc.
16:00 | 18/05/2024