0976.389.199
Hỏi - đáp: Những câu hỏi thường gặp về tiêu chuẩn ISO / IEC 27000

Hỏi - đáp: Những câu hỏi thường gặp về tiêu chuẩn ISO / IEC 27000

Ở phần này, những câu hỏi thường gặp về tiêu chuẩn ISO / IEC 27000 chủ yếu xoay quanh việc giải quyết các câu hỏi chung, cơ bản liên quan đến tiêu chuẩn ISO / IEC 27000. Hãy tham khảo bài viết dưới đây của ISOCERT để có cho mình lời giải đáp chính xác nhất.

Câu hỏi 1: Tiêu đề của nhiều tiêu chuẩn ISO 27000 thường đề cập đến “Công nghệ thông tin - Kỹ thuật bảo mật”. Điều này có nghĩa là chúng dành riêng cho CNTT đúng hay không?

Giải đáp: Không, chắc chắn là không! Các chức danh chính thức chỉ đơn giản phản ánh tên ban đầu của ủy ban ISO và IEC chung giám sát sản xuất của họ, đó là SC 27 “Công nghệ thông tin - Kỹ thuật bảo mật”, bản thân nó là một tiểu ban của JTC 1 “Công nghệ thông tin”.

ISO / IEC JTC 1 / SC 27 đã thông qua một tên mới vào năm 2019 trở thành “Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư”. Tên mới sẽ dần dần đi vào các tiêu chuẩn khi chúng được sửa đổi và xuất bản.

Phạm vi của các tiêu chuẩn ISO 27000 đương nhiên bao gồm nhiều khía cạnh của CNTT nhưng không dừng lại ở đó. Phần giới thiệu ISO / IEC 27002:2013 nêu rõ ràng:

”Giá trị của thông tin vượt ra ngoài những từ ngữ, con số và hình ảnh được viết ra: Kiến ​​thức, khái niệm, ý tưởng và thương hiệu là những ví dụ về các dạng thông tin vô hình. Trong một thế giới liên kết, thông tin và các quy trình liên quan, hệ thống, mạng lưới và nhân sự tham gia vào việc vận hành, xử lý và bảo vệ chúng là những tài sản, giống như các tài sản kinh doanh quan trọng khác, có giá trị đối với hoạt động kinh doanh của tổ chức và do đó xứng đáng hoặc cần được bảo vệ khỏi các mối nguy hiểm khác nhau . ”

Nói chung, tài sản thông tin có giá trị nhất của một tổ chức thuộc về các đơn vị kinh doanh, phòng ban hoặc các chức năng khác ngoài Phòng CNTT. CNTT thường sở hữu, quản lý và chịu trách nhiệm bảo vệ cơ sở hạ tầng CNTT được chia sẻ (tức là các hệ thống CNTT chính của công ty và mạng cung cấp các dịch vụ CNTT được chia sẻ cho doanh nghiệp) là một tài sản thông tin quan trọng theo đúng nghĩa của nó. Tuy nhiên, trong điều khoản bảo mật thông tin, CNTT thường đóng vai trò là người giám sát (nhưng không phải chủ sở hữu) đối với hầu hết dữ liệu kinh doanh trên hệ thống và mạng, bao gồm nội dung thuộc về các bộ phận khác của tổ chức hoặc nhà cung cấp, khách hàng, đối tác kinh doanh, khách hàng tiềm năng, các bên liên quan, và các bên thứ ba khác.

Sự phân biệt này có ý nghĩa quan trọng. Chủ sở hữu tài sản thông tin có trách nhiệm đảm bảo rằng tài sản thông tin của họ được bảo vệ đầy đủ, giống như các tài sản khác của doanh nghiệp. Mặc dù các chủ sở hữu tài sản thông tin thường ủy thác các trách nhiệm chính về bảo mật thông tin cho Bảo mật thông tin và / hoặc CNTT, họ vẫn phải chịu trách nhiệm và phải đảm bảo rằng an ninh thông tin được cấp vốn, chỉ đạo và hỗ trợ đầy đủ để đạt được mức độ bảo vệ cần thiết. Tương tự như vậy, CNTT và An ninh Thông tin nói chung hoạt động như những cố vấn và người giám sát với nhiệm vụ bảo vệ thông tin / dữ liệu được họ chăm sóc, nhưng cuối cùng họ không chịu trách nhiệm về hầu hết các sự cố, vi phạm và tác động về an toàn thông tin xảy ra do rủi ro không khôn ngoan quyết định quản lý (chẳng hạn như bảo mật dưới mức tài trợ hoặc chấp nhận rủi ro) do chủ sở hữu tài sản thông tin thực tế đưa ra.

Hướng giải quyết: Khi đánh giá và xử lý rủi ro thông tin, hãy tập trung chủ yếu vào các quy trình kinh doanh quan trọng và thông tin kinh doanh có giá trị hơn là các hệ thống và dữ liệu CNTT hỗ trợ. Cách tiếp cận hiện đại đối với quản trị doanh nghiệp có nghĩa là các nhà quản lý doanh nghiệp thiếu kinh nghiệm không còn có thể đổ lỗi và thu mình lại phía sau CNTT nếu họ đưa ra các quyết định không phù hợp hoặc không hành động để xác định và bảo vệ các tài sản thông tin quan trọng. Tuy nhiên, họ thường cần được giúp đỡ để đánh giá cao và hoàn thành các nghĩa vụ bảo mật của mình.

Câu hỏi 2: Có thể mua các tiêu chuẩn về ISO 27000 ở đâu? 

Giải đáp: ISO / IEC 27000, ISO / IEC 27001, ISO / IEC 27002 và tất cả các tiêu chuẩn về ISO 27000 đã được công bố khác có thể được mua trực tiếp từ cửa hàng ISO hoặc từ các cơ quan tiêu chuẩn quốc gia và tổ chức thương mại khác nhau.

Tuy nhiên, cần kiểm tra các phiên bản được bản địa hóa / quốc gia của các tiêu chuẩn. Một số cơ quan tiêu chuẩn quốc gia phát hành các phiên bản dịch của tiêu chuẩn bằng ngôn ngữ địa phương của họ. Họ đã cố gắng hết sức để đảm bảo rằng các bản dịch vẫn đúng với bản gốc, mặc dù điều này đương nhiên là mất thời gian.

Các tiêu chuẩn ISO 27000 có thể được mua dưới dạng tài liệu điện tử hoặc bìa cứng in. Ngoài các tệp PDF dành cho một người dùng, các cơ quan tiêu chuẩn có thể cấp phép cho các phiên bản điện tử của tiêu chuẩn để nhiều người dùng sử dụng trong nội bộ công ty - tiện lợi để cung cấp các tiêu chuẩn cuối cùng khả dụng trên mạng nội bộ của bạn.

Hướng giải quyết: Bạn có thể đặt mua ở trên google hoặc những cửa hàng xung quanh ( nơi có giá ưu đãi tốt nhất). 

Câu hỏi 3: Tôi muốn trở thành nhà tư vấn ISO 27000. Vậy tôi nên tìm kiếm sách hoặc các khóa học, kỳ thi về ISO 27000 ở đâu?

Giải đáp: Các nguồn tham khảo tốt nhất về tiêu chuẩn ISO 27000 là chính các tiêu chuẩn - nói cách khác, bạn nên mua và đọc các tiêu chuẩn (xem giải đáp ở câu hỏi thứ 2). Là tiêu chuẩn, chúng khá trang trọng về văn phong nhưng dễ đọc và hữu ích. Nếu bạn định thực hiện chúng, hãy viết các chính sách dựa trên chúng, tham khảo ý kiến ​​xung quanh chúng, v.v. chắc chắn bạn sẽ phải làm quen với chúng, vì vậy hãy mua các tiêu chuẩn và bắt đầu đọc!

Bạn có thể tham khảo và nghiên cứu các tiêu chuẩn ISO 27000 dưới đây: 

  • ISO / IEC 27000 giới thiệu và cung cấp một cái nhìn tổng quan về toàn bộ bộ tiêu chuẩn ISO 27000, đồng thời cung cấp bảng thuật ngữ xác định các thuật ngữ bảo mật thông tin khác nhau cụ thể khi chúng được sử dụng trong ngữ cảnh của tiêu chuẩn.
  • ISO / IEC 27001 chính thức quy định hệ thống quản lý bảo mật thông tin. Cùng với ISO / IEC 27006, điều cần thiết nếu bạn có ý định trở thành đánh giá viên chứng nhận ISMS bằng cách tham gia khóa đào tạo “Đánh giá viên trưởng ISO / IEC 27001” được cung cấp bởi các công ty đào tạo, tư vấn và chứng nhận ISO khác nhau và hoàn thành số lượng tuân thủ cần thiết đánh giá dưới sự điều hành của chuyên gia đánh giá chứng nhận ISMS có đủ năng lực. Nếu bạn đang tìm cách thực hiện thay vì chứng nhận sự tuân thủ với tiêu chuẩn, bạn cũng nên nghiên cứu ISO / IEC 27002 và các tiêu chuẩn khác.
  • ISO / IEC 27002 là ‘Quy tắc thực hành, một tiêu chuẩn thực tế cung cấp vô số lời khuyên cho những người lựa chọn / thiết kế và thực hiện các biện pháp kiểm soát an toàn thông tin. Cách tốt nhất để tìm hiểu ISO / IEC 27002 từ trong ra ngoài là sử dụng nó cho thực tế, có nghĩa là thực hiện tất cả các bước thông qua một hoặc nhiều triển khai ISMS từ lập kế hoạch đến vận hành, đánh giá và bảo trì. Nếu bạn chưa có kinh nghiệm trước về bảo mật thông tin, bạn nên cố gắng tìm một người cố vấn hoặc hướng dẫn có kinh nghiệm hoặc tham gia khóa học “Người triển khai ISO / IEC 27001”. 
  • ISO / IEC 27003 giải thích quy trình thực hiện ISO 27000
  • ISO / IEC 27004 liên quan đến các chỉ số - một chủ đề nâng cao sẽ trở nên quan trọng hơn khi trải nghiệm của bạn được xây dựng.
  • ISO / IEC 27005 liên quan đến việc quản lý (phân tích, đánh giá và xử lý) rủi ro thông tin và đây là nền tảng của tất cả các tiêu chuẩn ISO 27000

Tuy nhiên, bạn cũng nên biết các tiêu chuẩn ISO 27000 còn lại và hiểu rõ về các tiêu chuẩn, phương pháp, luật, v.v. tương tự / liên quan khác để có những kiến thức sâu hơn cho mình. 

Để trở thành một nhà tư vấn, bạn nên bắt đầu bằng cách xây dựng hiểu biết kỹ thuật vững chắc về các khái niệm quản trị, rủi ro và kiểm soát, đồng thời thiết lập chuyên môn, kinh nghiệm, năng lực cũng như độ uy tín của bạn. 

Hướng giải quyết: Bạn có thể tham gia các Diễn đàn về ISO 27000. Nếu bạn đang gặp khó khăn với các vấn đề cụ thể liên quan đến ISMS, thì kho lưu trữ các tin nhắn trên Diễn đàn rất đáng để duyệt hoặc tìm kiếm (đó là một nhóm của Google nên chức năng tìm kiếm hoạt động tốt) và các thành viên luôn có thể tìm kiếm câu trả lời mới cho các vấn đề và thách thức hiện tại.

Câu hỏi 4: ISO là gì? ISO / IEC nghĩa là gì?

Giải đáp: ISO là tên viết tắt của International Organization for Standardization có nghĩa là Tổ chức Tiêu chuẩn hóa quốc tế. 

IEC là Ủy ban Kỹ thuật Điện Quốc tế, một cơ quan tiêu chuẩn quốc tế khác hợp tác chặt chẽ với ISO về các tiêu chuẩn kỹ thuật điện, điện tử và liên quan. Các tiêu chuẩn được phát triển cùng với ISO có tiền tố là “ISO / IEC”.

ISO / IEC cũng hợp tác về một số tiêu chuẩn với các tổ chức quốc tế khác (cả chính phủ và khu vực tư nhân) như Liên minh Viễn thông Quốc tế, một cơ quan thương mại điều phối các tổ chức và thông lệ Telecoms để cho phép truyền thông trên toàn thế giới.

Hướng giải quyết: Việc sử dụng “ISO / IEC” là một điều khó hiểu, tuy nhiên chúng tôi đã cố gắng sử dụng “ISO / IEC” một cách nhất quán trên toàn bộ trang web này khi đề cập đến các tiêu chuẩn hiện hành. 

Câu hỏi 5: “WD”, “CD”, “FDIS” và những từ viết tắt khác được thêm vào trước các tiêu chuẩn ISO thực sự có nghĩa là gì?

Giải đáp: Các từ viết tắt chỉ ra tiến trình của các Tiêu chuẩn Quốc tế tuần tự qua các giai đoạn soạn thảo và phê duyệt:

  • PWI: Hạng mục công việc sơ bộ - tính khả thi ban đầu và các hoạt động xác định phạm vi phác thảo
  • SP: Giai đoạn nghiên cứu - nghiên cứu khu vực, tìm kiếm các tiêu chuẩn và đầu vào liên quan khác, đánh giá nhu cầu thị trường, xác định các bên liên quan, v.v.
  • NWIP hoặc NP: Đề xuất hạng mục công việc mới - chuẩn bị phạm vi và phác thảo của một tiêu chuẩn được đề xuất, mở đường cho một dự án phát triển tiêu chuẩn mới 
  • WD: Bản thảo làm việc (WD thứ nhất, WD thứ hai, v.v.) - giai đoạn phát triển nội dung tiêu chuẩn (“chuẩn bị”), tạo nội dung
  • CD: Dự thảo của Ủy ban (CD thứ nhất, CD thứ hai, v.v.) - giai đoạn kiểm soát chất lượng, giải quyết các vấn đề biên tập và lỗi chính tả
  • FCD: Dự thảo của Ủy ban Cuối cùng - sẵn sàng để được phê duyệt lần cuối (bỏ phiếu) 
  • DIS: Dự thảo Tiêu chuẩn Quốc tế
  • DAM: Bản thảo phụ lục
  • FDIS: Bản thảo cuối cùng / Tiêu chuẩn quốc tế về phân phối 
  • FDAM: Bản sửa đổi dự thảo cuối cùng 
  • IS: Tiêu chuẩn Quốc tế
  • TR: Báo cáo kỹ thuật 
  • TS: Đặc điểm kỹ thuật 
  • COR: CORigendum - về mặt kỹ thuật, một sự hiệu chỉnh

* Ở một số giai đoạn trong quá trình xây dựng tiêu chuẩn, các cơ quan tiêu chuẩn quốc gia thuộc ISO / IEC JTC 1 / SC 27 được mời bỏ phiếu chính thức về các tiêu chuẩn và gửi ý kiến, đặc biệt để giải thích lý do tại sao họ không chấp nhận bất kỳ điều gì.

Quá trình từ PWI đến IS thường mất từ ​​2 đến 4 năm với trung bình là 2,8 năm, được chú ý đến từng chi tiết ở mọi giai đoạn và sự cần thiết của sự hợp tác và đồng thuận trên quy mô toàn cầu, ví dụ: khi WD được ban hành để lấy ý kiến, đại diện của các cơ quan tiêu chuẩn quốc gia thuộc ISO hoặc IEC (được gọi là Cơ quan thành viên trong ISO hoặc Ủy ban quốc gia trong IEC) thường có ~ 3 tháng để xem xét tài liệu, thảo luận với nhau và gửi chính thức phiếu bầu và nhận xét. Nếu các nhận xét không thuận lợi hoặc phức tạp, một WD cập nhật thường được phát hành cho một vòng nhận xét tiếp theo. Khi các tài liệu đã ổn định, chúng được lưu hành để biểu quyết. Bất kỳ ai trong số các bạn có kinh nghiệm trong việc nhận các tài liệu chính thức, chẳng hạn như chính sách bảo mật do ban quản lý của bạn chuẩn bị, xem xét và phê duyệt chắc chắn sẽ đánh giá cao sự ‘thú vị’ khi thực hiện việc này trên trường quốc tế!

Một quá trình theo dõi nhanh đôi khi được sử dụng để áp dụng một tiêu chuẩn quốc gia hiện có làm tiêu chuẩn ISO. Khoảng 6 tháng được phép lấy ý kiến ​​và không quá một phần tư số phiếu có thể bị âm nếu tiêu chuẩn được chấp thuận.

Các tiêu chuẩn đã xuất bản được xem xét 5 năm một lần, hoặc sớm hơn nếu các báo cáo khiếm khuyết được đệ trình. 

Câu hỏi 6: Ngoài các Tiêu chuẩn Quốc tế, TR và PAS có nghĩa là gì? 

Giải đáp: ISO / IEC xuất bản nhiều loại tiêu chuẩn khác nhau về nhiều đối tượng:

Tiêu chuẩn quốc tế (IS) là hình thức phổ biến nhất của tiêu chuẩn ISO / IEC, bao gồm tiêu chuẩn sản phẩm / kỹ thuật, phương pháp thử nghiệm, 'quy tắc thực hành' (thực hành tốt) và tiêu chuẩn quản lý. IS “cung cấp các quy tắc, hướng dẫn hoặc đặc điểm cho các hoạt động hoặc cho kết quả của chúng, nhằm đạt được mức độ trật tự tối ưu trong một bối cảnh nhất định”. Hầu hết đều nhằm mục đích mô tả mục tiêu cuối cùng mà không quy định phương pháp đạt được mục tiêu đó (mặc dù không phải tất cả chúng đều đạt được mục tiêu đó!). Chu kỳ xem xét là 5 năm (tối đa).

Đặc điểm kỹ thuật (TS) là một tiêu chuẩn về một đối tượng chưa trưởng thành vẫn đang được phát triển và chưa hoàn toàn sẵn sàng để trở thành một IS đầy đủ. Phản hồi được khuyến khích để thúc đẩy sự phát triển hơn nữa và dẫn đến việc phát hành IS. Trong nội bộ ủy ban, các dự thảo cuối cùng được gọi là Thông số Kỹ thuật Dự thảo Đề xuất của PDTS.

Báo cáo Kỹ thuật (TR) là một hướng dẫn chứ không phải là một đặc điểm kỹ thuật. Nó có thể dựa trên các cuộc khảo sát và 'báo cáo cung cấp thông tin' và có thể cố gắng mô tả 'trạng thái của nghệ thuật'. Trong nội bộ ủy ban, các dự thảo cuối cùng được gọi là Báo cáo Kỹ thuật Dự thảo Đề xuất PDTR.

Thông số kỹ thuật có sẵn công khai (PAS) đáp ứng nhu cầu cấp thiết nhằm thúc đẩy sự đồng thuận về một số chủ đề mới nổi. Các quan điểm thay thế và có lẽ không tương thích có thể được thể hiện bằng các PAS song song từ các luồng chuyên gia khác nhau. Một PAS phải được thay thế bằng TS hoặc IS, hoặc bị rút lại, trong vòng 6 năm.

Thỏa thuận Hội thảo Quốc tế (IWA) về cơ bản là một PAS ngoại lai được sản xuất bên ngoài thế giới ISO / IEC - ví dụ như bởi một số cơ quan kỹ thuật hoặc công nghiệp. Nó cũng có tuổi thọ tối đa là 6 năm.

Câu hỏi 7: Ý nghĩa của JTC 1 / SC 27 và WG’s là gì?

Giải đáp: Như bạn có thể mong đợi, một tổ chức quốc tế phát triển và điều phối một loạt các tiêu chuẩn kỹ thuật trên toàn cầu đã phát triển một bộ máy hành chính rộng lớn tương ứng để quản lý và chia sẻ công việc. Các cơ quan thành viên (nghĩa là các thành viên của ISO, hay nói cách khác là các cơ quan tiêu chuẩn quốc gia) thường tham gia vào việc phát triển các tiêu chuẩn thông qua các Ủy ban kỹ thuật do tổ chức tương ứng thành lập để giải quyết các lĩnh vực hoạt động kỹ thuật cụ thể. Ủy ban Kỹ thuật ISO và IEC thường hợp tác trong các lĩnh vực mà hai bên cùng quan tâm. Tiêu chuẩn hóa CNTT đưa ra các yêu cầu và thách thức riêng do tốc độ đổi mới, do đó, vào năm 1987, ISO và IEC đã thành lập Ủy ban kỹ thuật chung ISO / IEC JTC 1 chịu trách nhiệm về các tiêu chuẩn CNTT.

Mục đích của JTC 1 là “Tiêu chuẩn hóa trong lĩnh vực Công nghệ Thông tin”, “bao gồm việc đặc tả, thiết kế và phát triển các hệ thống và công cụ xử lý việc nắm bắt, đại diện, xử lý, bảo mật, chuyển giao, trao đổi, trình bày, quản lý, tổ chức, lưu trữ và truy xuất thông tin. ” Mặc dù có sự thống nhất chung rằng bảo mật thông tin là một tập hợp bảo mật CNTT, nhưng thực tế không may là ủy ban ISO / IEC đã đặt CNTT trong chức danh chính thức của mình có nghĩa là các tiêu chuẩn an toàn thông tin ISO27k thường bị nhầm với các tiêu chuẩn CNTT.

Nói theo cách nói của ISO, “SC” là một Tiểu ban. SC 27 là một trong số các Tiểu ban của ISO / JTC 1 chịu trách nhiệm về các tiêu chuẩn an toàn thông tin. Những người khác bao gồm:

  • SC 6 - Viễn thông và trao đổi thông tin giữa các hệ thống
  • SC 7 - Kỹ thuật phần mềm và hệ thống
  • SC 17 - Thẻ và nhận dạng cá nhân
  • SC 25 - Kết nối thiết bị công nghệ thông tin
  • SC 29 - Mã hóa thông tin âm thanh, hình ảnh, đa phương tiện và siêu phương tiện
  • SC 31 - Kỹ thuật nhận dạng và thu thập dữ liệu tự động
  • SC 32 - Quản lý và trao đổi dữ liệu
  • SC 36 - Công nghệ thông tin phục vụ học tập, giáo dục và đào tạo
  • SC 37 - Sinh trắc học

Tài liệu thường trực 1 của SC 27 trình bày các quy trình chính của nó trong 50 trang chi tiết.

SC 27 sở hữu và duy trì hơn 200 tiêu chuẩn, trong đó khoảng một phần tư tiêu chuẩn đang tích cực tiến triển tại bất kỳ thời điểm nào. Đến lượt mình, SC 27 đã khắc phục khối lượng công việc của mình qua năm Nhóm công tác:

  • SC 27 / WG1 - Hệ thống quản lý an toàn thông tin: chịu trách nhiệm phát triển và duy trì các tiêu chuẩn và hướng dẫn ISMS, xác định các yêu cầu đối với các tiêu chuẩn và hướng dẫn ISMS trong tương lai, duy trì lộ trình WG1 và liên lạc / cộng tác với các tổ chức và ủy ban khác liên quan đến ISMS;
  • SC 27 / WG2 - Cơ chế bảo mật và mật mã: mật mã, thuật toán mật mã, mã hóa, xác thực, quản lý khóa, chữ ký số và tất cả những thứ đó;
  • SC 27 / WG3 - Đánh giá, Kiểm tra và Đặc điểm kỹ thuật bảo mật: Tiêu chí chung, phương pháp đánh giá, hồ sơ bảo vệ, mô hình trưởng thành khả năng bảo mật, v.v.;
  • SC 27 / WG4 - Kiểm soát và Dịch vụ Bảo mật: chịu trách nhiệm về nhiều tiêu chuẩn bao gồm phát hiện xâm nhập, bảo mật mạng CNTT, quản lý sự cố, khắc phục thảm họa CNTT-TT, sử dụng bên thứ ba đáng tin cậy, tính liên tục trong kinh doanh, bảo mật ứng dụng, an ninh mạng và thuê ngoài. Một số trong số này cũng rơi vào ISO27k;
  • SC 27 / WG5 - Công nghệ quản lý danh tính và quyền riêng tư: thực hiện khá chính xác 'những gì nó nói trên tin' (tiêu đề tự giải thích). Bao gồm sinh trắc học.

Bài viết liên quan