Hệ thống pháp luật

TIÊU CHUẨN QUỐC GIA

TCVN 27008:2018

ISO/IEC TR 27008:2011

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN CHUYÊN GIA ĐÁNH GIÁ VỀ KIỂM SOÁT AN TOÀN THÔNG TIN

Information technology - Security techniques - Guidelines for auditors on information security controls

Lời nói đầu

TCVN 27008:2018 hoàn toàn tương đương với ISO/IEC TR 27008:2011.

TCVN 27008:2018 do Học viện Công nghệ Bưu chính viễn thông biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Tiêu chuẩn này hỗ trợ quy trình quản lý rủi ro hệ thống quản lý an toàn thông tin (ISMS) được xác định trong phạm vi các tiêu chuẩn TCVN ISO/IEC 27001:2009, TCVN 10295:2014 và các biện pháp kiểm soát trong TCVN ISO/IEC 27002:2011.

Tiêu chuẩn này cung cấp hướng dẫn để soát xét các biện pháp kiểm soát an toàn thông tin cho một tổ chức ví dụ trong tổ chức, quy trình nghiệp vụ và môi trường hệ thống, bao gồm cả kiểm thử việc tuân thủ kỹ thuật.

Tham khảo thêm tiêu chuẩn ISO/IEC 27007 đưa ra các chỉ dẫn để đánh giá các thành phần hệ thống quản lý và TCVN ISO/IEC 27006:2017 về soát xét tuân thủ ISMS cho mục đích chứng nhận.

 

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN CHUYÊN GIA ĐÁNH GIÁ V KIỂM SOÁT AN TOÀN THÔNG TIN

Information technology - Security techniques - Guidelines for auditors on information security controls

1  Phạm vi áp dụng

Tiêu chuẩn này cung cấp hướng dẫn soát xét việc triển khai và vận hành các biện pháp kiểm soát, bao gồm kiểm tra sự tuân thủ kỹ thuật theo các biện pháp kiểm soát của các hệ thống thông tin theo các tiêu chuẩn an toàn thông tin đã được tổ chức thiết lập.

Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình và quy mô của tổ chức kể cả các cơ quan nhà nước, doanh nghiệp và các tổ chức phi lợi nhuận có thể tiến hành các soát xét biện pháp kiểm soát an toàn thông tin và kiểm tra sự tuân thủ kỹ thuật. Tiêu chuẩn này không phải là tiêu chuẩn sử dụng để đánh giá các hệ thống quản lý.

2  Tài liệu viện dẫn

Tài liệu viện dẫn dưới đây rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng bản mới nhất, bao gồm cả các sửa đổi.

ISO/IEC 27000, Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng.

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ, định nghĩa được đưa ra trong TCVN 11238:2015 và một số thuật ngữ, định nghĩa dưới đây:

3.1

Đối tượng soát xét (review object)

Hạng mục cụ thể được soát xét.

3.2

Mục tiêu soát xét (review objective)

Tuyên bố mô tả kết quả cần đạt được sau soát xét.

3.3

Tiêu chuẩn thực thi an toàn (security implementation standard)

Tài liệu quy định các cách thức được phép để thực hiện an toàn.

3.4

Hệ thống quản lý an toàn thông tin (ISMS: Information Security Management Systems)

Hệ thống bao gồm các chính sách, thủ tục, hướng dẫn và các nguồn lực và các hoạt động liên quan, được quản lý chung bởi một tổ chức, trong việc theo đuổi bảo vệ tài sản thông tin của mình

4  Cấu trúc tiêu chuẩn

Tiêu chuẩn này mô tả về quy trình soát xét biện pháp kiểm soát an toàn thông tin bao gồm cả việc kiểm tra sự tuân thủ kỹ

HIỆU LỰC VĂN BẢN

Tiêu chuẩn quốc gia TCVN 27008:2018 (ISO TR 27008:2011) về Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn chuyên gia đánh giá về kiểm soát an toàn thông tin

  • Số hiệu: TCVN27008:2018
  • Loại văn bản: Tiêu chuẩn Việt Nam
  • Ngày ban hành: 01/01/2018
  • Nơi ban hành: ***
  • Người ký: ***
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: Kiểm tra
  • Tình trạng hiệu lực: Kiểm tra
Tải văn bản