0976.389.199
ISO / IEC 19896-3: 2018 - Kỹ thuật bảo mật CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 3: Yêu cầu về kiến ​​thức, kỹ năng và hiệu quả đối với người đánh giá ISO / IEC 15408

ISO / IEC 19896-3: 2018 - Kỹ thuật bảo mật CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 3: Yêu cầu về kiến ​​thức, kỹ năng và hiệu quả đối với người đánh giá ISO / IEC 15408

Tài liệu này cung cấp các yêu cầu chuyên biệt để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá bảo mật sản phẩm CNTT theo tiêu chuẩn ISO / IEC 15408 (tất cả các phần) và ISO / IEC 18045.

Giới thiệu

Bộ tiêu chuẩn ISO / IEC 15408 cho phép so sánh giữa các kết quả của các đánh giá bảo mật độc lập. Nó làm như vậy bằng cách cung cấp một tập hợp các yêu cầu chung cho chức năng bảo mật của các sản phẩm CNTT và các biện pháp đảm bảo được áp dụng cho các sản phẩm CNTT này trong quá trình đánh giá bảo mật. Nhiều chương trình chứng nhận và đánh giá cũng như các cơ quan đánh giá đã được phát triển bằng cách sử dụng bộ tiêu chuẩn ISO / IEC 15408 và ISO / IEC 18045 làm cơ sở, cho phép so sánh giữa các kết quả của các dự án đánh giá.

Một yếu tố quan trọng trong việc đảm bảo khả năng so sánh của các kết quả của các đánh giá đó là hiểu rằng quá trình đánh giá bao gồm việc đặc tả các biện pháp đảm bảo khách quan và chủ quan. Do đó, năng lực của từng người đánh giá là rất quan trọng khi khả năng so sánh và tính lặp lại của các kết quả đánh giá là nền tảng để công nhận lẫn nhau.

ISO / IEC 17025, đưa ra các yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn. Trong tiêu chuẩn ISO / IEC 17025: 2017, 5.2.1, có nêu rằng 'Nhân viên thực hiện các nhiệm vụ cụ thể phải có đủ tiêu chuẩn trên cơ sở giáo dục, đào tạo, kinh nghiệm và / hoặc kỹ năng đã được chứng minh'.

Tài liệu này thiết lập một đường cơ sở cho năng lực tối thiểu của các chuyên gia đánh giá ISO / IEC 15408 với mục tiêu thiết lập sự phù hợp trong các yêu cầu đối với việc đào tạo các chuyên gia đánh giá ISO / IEC 15408 liên quan đến các cơ quan và chương trình đánh giá sản phẩm CNTT. Nó cung cấp các yêu cầu chuyên biệt để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá bảo mật sản phẩm CNTT theo ISO / IEC 15408 (tất cả các phần) và ISO / IEC 18045. ISO / IEC 15408-1 mô tả khuôn khổ chung về năng lực bao gồm các yếu tố khác nhau Năng lực; Kiến thức, kỹ năng, kinh nghiệm, giáo dục và hiệu quả. Tài liệu này bao gồm các kiến ​​thức và kỹ năng đặc biệt trong các lĩnh vực sau.

- Bảo mật thông tin

Kiến thức: Các nguyên tắc bảo mật thông tin, các thuộc tính bảo mật thông tin, các mối đe dọa và lỗ hổng bảo mật thông tin

Kỹ năng: Hiểu các yêu cầu về bảo mật thông tin, hiểu ngữ cảnh

- Đánh giá an toàn thông tin

Kiến thức: Kiến thức về ISO / IEC 15408 (tất cả các phần) và ISO / IEC 18045, hệ thống quản lý phòng thí nghiệm

Kỹ năng: Kỹ năng đánh giá cơ bản, kỹ năng đánh giá cốt lõi, kỹ năng cần thiết khi đánh giá các lớp đảm bảo an ninh cụ thể, các kỹ năng cần thiết khi đánh giá các lớp yêu cầu chức năng bảo mật cụ thể

- Kiến trúc hệ thống thông tin

Kiến thức: Công nghệ đang được đánh giá

Kỹ năng: Hiểu sự tương tác của các thành phần bảo mật và thông tin

- Kiểm tra bảo mật thông tin

Kiến thức: Kỹ thuật kiểm tra bảo mật thông tin, công cụ kiểm tra an toàn thông tin, vòng đời phát triển sản phẩm, các loại kiểm tra

Kỹ năng: Tạo và quản lý kế hoạch kiểm tra an toàn thông tin, thiết kế kiểm tra an toàn thông tin, chuẩn bị và tiến hành kiểm tra an toàn thông tin

Đối tượng của tài liệu này bao gồm các cơ quan thẩm định và chứng nhận, các cơ quan công nhận phòng thử nghiệm, các chương trình đánh giá, các phòng thí nghiệm, người đánh giá và các tổ chức cung cấp chứng chỉ chuyên nghiệp.

Phạm vi

Tài liệu này cung cấp các yêu cầu chuyên biệt để chứng minh năng lực của các cá nhân trong việc thực hiện đánh giá bảo mật sản phẩm CNTT theo tiêu chuẩn ISO / IEC 15408 (tất cả các phần) và ISO / IEC 18045.

Tài liệu viện dẫn

Các tài liệu sau đây được đề cập đến trong văn bản theo cách mà một số hoặc tất cả nội dung của chúng tạo thành các yêu cầu của tài liệu này. Đối với tài liệu ghi năm chỉ bản được nêu áp dụng. Đối với các tài liệu tham khảo không ghi ngày tháng, phiên bản mới nhất của tài liệu được tham chiếu (bao gồm mọi sửa đổi) sẽ được áp dụng.

ISO / IEC 19896-1, Kỹ thuật bảo mật CNTT - Yêu cầu năng lực đối với người kiểm tra và đánh giá an toàn thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung

ISO / IEC 15408 (tất cả các phần), Công nghệ thông tin - Kỹ thuật bảo mật - Tiêu chí đánh giá về bảo mật CNTT

ISO / IEC 18045, Công nghệ thông tin - Kỹ thuật bảo mật - Phương pháp luận để đánh giá bảo mật CNTT

ISO / IEC 17025, Yêu cầu chung về năng lực của các phòng thử nghiệm và hiệu chuẩn

Preview tiêu chuẩn

Download tài liệu miễn phí tại đây!

Để xem được bản full, quý khách có thể đăng ký mua bản full tiêu chuẩn ngay thông qua dịch vụ của chúng tôi. Việc mua tiêu chuẩn từ ISOCERT là cách nhanh và dễ nhất để truy cập trực tiếp vào tài liệu cụ thể mà quý khách cần. Hãy liên hệ với nhân viên của chúng tôi nếu có bất kỳ câu hỏi nào về tiêu chuẩn tại đây.

Bài viết liên quan