TIÊU CHUẨN QUỐC GIA

TCVN 10295 : 2014

ISO/IEC 27005 : 2011

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN

Information technology - Security techniques - Information security risk management

Lời nói đầu

TCVN 10295:2014 hoàn toàn tương đương với ISO/IEC 27005:2011.

TCVN 10295:2014 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN

Information technology - Security techniques - Information security risk management

1. Phạm vi áp dụng

Tiêu chuẩn này đưa ra các hướng dẫn về quản lý rủi ro an toàn thông tin.

Tiêu chuẩn này giải thích một số khái niệm cơ bản được sử dụng trong TCVN ISO/IEC 27001:2009 và được xây dựng để hỗ trợ cho việc triển khai an toàn thông tin dựa trên phương pháp tiếp cận quản lý rủi ro.

Để có thể hiểu đầy đủ hơn về nội dung tiêu chuẩn này cần tham khảo thêm các kiến thức về các khái niệm, mô hình, quy trình và các thuật ngữ được trình bày trong TCVN ISO/IEC 27001:2009 và TCVN ISO/IEC 27002:2011.

Tiêu chuẩn này có thể áp dụng cho nhiều loại hình tổ chức (như các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi lợi nhuận) nhằm mục đích quản lý những rủi ro có thể gây hại tới an toàn thông tin của tổ chức.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

ISO/IEC 27000, Information technology - Security techniques - lnformation security management systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng)

TCVN ISO/IEC 27001:2009 Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu

3. Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa trong tiêu chuẩn ISO/IEC 27000 và các thuật ngữ và định nghĩa dưới đây.

CHÚ THÍCH: Sự khác nhau trong các thuật ngữ và định nghĩa giữa tiêu chuẩn ISO/IEC 27005:2008 và tiêu chuẩn này được nêu ở Phụ lục G.

3.1. Hậu quả (consequence)

Kết quả của một sự kiện (3.3) gây ảnh hưởng đến các mục tiêu của tổ chức

[TCVN 9788:2013]

CHÚ THÍCH 1: Một sự kiện có thể dẫn đến một loạt các hậu quả.

CHÚ THÍCH 2: Một hậu quả có thể chắc chắn hoặc không chắc chắn xảy ra và trong bối cảnh an toàn thông tin thì thường mang nghĩa tiêu cực.

CHÚ THÍCH 3: Hậu quả có thể được thể hiện dưới dạng định tính hoặc định lượng.

CHÚ THÍCH 4: Hậu quả ban đầu có thể gây ảnh hưởng leo thang đến các hậu quả tiếp theo.

3.2. Biện pháp kiểm soát (control)

Biện pháp sẽ làm thay đổi rủi ro (3.9)

[TCVN 9788:2013]

CHÚ THÍCH 1: Biện pháp kiểm soát an toàn thông tin bao gồm bất kỳ quy trình, chính sách, thủ tục, hướng dẫn, phương pháp hoặc cấu trúc tổ chức trong các lĩnh vực hành chính, kỹ thuật, pháp lý hoặc quy định để thay đổi rủi ro an toàn thông tin.

CHÚ THÍCH 2: Biện pháp kiểm soát thay đổi