TIÊU CHUẨN QUỐC GIA

TCVN 10541:2014

ISO/IEC 27003:2010

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TRIỂN KHAI HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

lnformation technology - Security techniques - lnformation security management system implementation guidance

Lời nói đầu

TCVN 10541:2014 hoàn toàn tương đương với ISO/IEC 27003:2010

TCVN 10541:2014 do Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin và truyền thông tổ chức xây dựng và đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

TCVN 10541:2014

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - HƯỚNG DẪN TRIỂN KHAI HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Information security management system implementation guidance

1. Phạm vi áp dụng

Tiêu chuẩn này tập trung vào các khía cạnh then chốt để thiết kế và triển khai thành công một hệ thống quản lý an toàn thông tin (ISMS) theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005). Tiêu chuẩn này mô tả quy trình đặc tả và thiết kế ISMS từ lúc khởi đầu đến khi đưa ra các kế hoạch triển khai. Tiêu chuẩn này cũng mô tả quy trình để được ban quản lý phê chuẩn cho triển khai ISMS, xác định một dự án triển khai ISMS (trong tiêu chuẩn này được gọi là dự án ISMS), và đưa ra hướng dẫn lập kế hoạch dự án ISMS để có được kế hoạch triển khai dự án ISMS chính thức

Tiêu chuẩn này dành cho các tổ chức triển khai ISMS. Tiêu chuẩn này có thể áp dụng cho tất cả các tổ chức ở mọi loại hình (ví dụ, các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi lợi nhuận) với đủ loại quy mô. Mỗi tổ chức có tính phức tạp và các rủi ro riêng, và các yêu cầu cụ thể của tổ chức sẽ chi phối việc triển khai ISMS. Các tổ chức có quy mô nhỏ sẽ nhận thấy các hoạt động được đưa ra trong tiêu chuẩn này đều có thể áp dụng cho họ và có thể được đơn giản hóa hơn nữa. Các tổ chức phức hợp hoặc quy mô lớn có thể nhận thấy cần phải có một hệ thống quản lý hoặc tổ chức theo phân cấp để quản lý các hoạt động trong tiêu chuẩn này một cách hiệu quả. Tuy nhiên, cả hai loại tổ chức đều có thể áp dụng tiêu chuẩn này để lập kế hoạch cho các hoạt động phù hợp.

Tiêu chuẩn này đưa ra các khuyến nghị và giải thích, không chỉ rõ các yêu cầu cụ thể. Tiêu chuẩn này được sử dụng phối hợp với TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), nhưng không chủ ý thay đổi và/hoặc giảm bớt các yêu cầu trong TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) hoặc các khuyến nghị trong TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005). Không cần thiết hợp chuẩn theo tiêu chuẩn này.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

ISO/IEC 27000:2009, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng).

TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu.

3. Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa nêu trong ISO/IEC 27000:2009, TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và thuật ngữ, định nghĩa sau:

3.1. Dự án ISMS (ISMS project)

Các hoạt động có cấu trúc được một tổ chức thực hiện để triển khai ISMS.

4. Cấu trúc tiêu chuẩn