TIÊU CHUẨN QUỐC GIA

TCVN 10542:2014

ISO/IEC 27004:2009

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUẢN LÝ AN TOÀN THÔNG TIN - ĐO LƯỜNG

lnformation technology - Security techniques - lnformation security management - Measurement

Lời nói đầu

TCVN 10542:2014 hoàn toàn tương đương với ISO/IEC 27004:2009

TCVN 10542:2014 do Viện Khoa học Kỹ thuật Bưu điện biên soạn, Bộ Thông tin và truyền thông tổ chức xây dựng và đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUẢN LÝ AN TOÀN THÔNG TIN - ĐO LƯỜNG

lnformation technology - Security techniques - Intormation security management - Measurement

1. Phạm vi áp dụng

Tiêu chuẩn này cung cấp hướng dẫn cho việc phát triển và sử dụng các số đo, phép đo để đánh giá hiệu lực của một hệ thống quản lý an toàn thông tin (ISMS) đã triển khai và các biện pháp quản lý hay nhóm các biện pháp quản lý, theo quy định tại tiêu chuẩn TCVN ISO/IEC 27001:2009.

Tiêu chuẩn này khuyến nghị áp dụng đối với tất cả các tổ chức ở mọi loại hình và quy mô.

CHÚ THÍCH: Tài liệu này sử dụng các dạng bằng lời cho việc diễn tả các điều khoản (như “phải", “phải không”, “nên”, “không nên", “cần”, “không cần", “có thể” và “không thể") được chuẩn hóa trong chỉ dẫn ISO/IEC, Phần 2, 2004, Phụ lục H. Xem ISO/IEC 27000:2009, Phụ lục A.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

ISO/IEC 27000:2009, Information technology - Security techniques - lnformation security management systems - Overview and vocabulary (Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng);

TCVN ISO/IEC 27001:2009, Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Các yêu cầu (Information technology - Security techniques - Information security management systems - Requirements).

3. Thuật ngữ và định nghĩa

3.1. Mô hình phân tích (analytical model)

Thuật toán hoặc phép tính kết hợp một hay nhiều số đo cơ bản (base measure) và/hoặc số đo dẫn xuất với các tiêu chí quyết định đi kèm.

[ISO/IEC 15939:2007]

3.2. Thuộc tính (attribute)

Các đặc tính hoặc đặc điểm của một đối tượng mà có thể phân biệt một cách định lượng hoặc định tính bởi con người hoặc thiết bị tự động (automated means).

THIẾU TRANG 6

3.11. Hàm đo (measurement function)

Thuật toán hoặc tính toán được thực hiện để kết hợp hai hoặc nhiều số đo cơ bản.

[ISO/IEC 15939:2007]

3.12. Phương pháp đo (measurement method)

Trình tự logic của các phép toán, được mô tả một cách tổng quát, được sử dụng trong việc định lượng một thuộc tính đối với một thang đo xác định.

[ISO/IEC 15939:2007]

CHÚ THÍCH: Loại phương pháp đo phụ thuộc vào bản chất của các phép toán được sử dụng để định lượng một thuộc tính. Hai loại phương pháp được phân biệt:

- Chủ quan: việc định lượng liên quan tới chủ định của con người;

- Khách quan: việc định lượng dựa trên các nguyên tắc số học.

3.13. Kết quả đo (measu