Hệ thống pháp luật

TIÊU CHUẨN QUỐC GIA

TCVN ISO/IEC 27002:2020
ISO/IEC 27002:2013

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Code of practice for information security management

 

Lời nói đầu

TCVN ISO/IEC 27002:2020 hoàn toàn tương đương với ISO/IEC 27002:2013 cùng các bản sửa chữa ISO/IEC 27002:2013/Cor.1:2014 và ISO/IEC 27002:2013/Cor.2:2015.

TCVN ISO/IEC 27002:2020 do Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

 

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH QUẢN LÝ AN TOÀN THÔNG TIN

Information technology - Security techniques - Code of practice for information security management

1  Phạm vi áp dụng

Tiêu chuẩn này đưa ra hướng dẫn cho các tiêu chuẩn an toàn thông tin và thực hành quản lý an toàn thông tin bao gồm việc lựa chọn, thực hiện và quản lý các kiểm soát có tính đến môi trường rủi ro an toàn thông tin của các tổ chức.

Tiêu chuẩn này được thiết kế để được sử dụng bởi các tổ chức có ý định:

a) chọn lựa các kiểm soát trong quá trình thực hiện một hệ thống quản lý an toàn thông tin dựa trên TCVN ISO/IEC 27001

b) thực hiện các kiểm soát an toàn thông tin được chấp nhận chung;

c) phát triển các hướng dẫn quản lý an toàn thông tin của riêng mình.

2  Tài liệu viện dẫn

Tài liệu viện dẫn sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả các sửa đổi, bổ sung).

TCVN 11238 (ISO/IEC 27000), Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng.

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa được đưa ra trong TCVN 11238.

4  Cấu trúc của tiêu chuẩn

Tiêu chuẩn này bao gồm 14 điều về kiểm soát an toàn, chứa đựng tổng số 35 phân loại an toàn và 114 biện pháp kiểm soát.

4.1  Các điều

Mỗi điều xác định các kiểm soát an toàn nằm trong một hoặc nhiều phân loại kiểm soát an toàn chính.

Thứ tự của các điều trong tiêu chuẩn này không có ý nghĩa phản ánh tầm quan trọng của chúng. Tùy thuộc vào bối cảnh, các kiểm soát an toàn từ bất kỳ hoặc tất cả các điều có thể là quan trọng, do đó mỗi tổ chức áp dụng tiêu chuẩn này cần xác định các kiểm soát cần được áp dụng, và mức độ quan trọng của những kiểm soát này và ứng dụng của chúng trong các quy trình nghiệp vụ cá nhân. Hơn nữa, các danh sách trong tiêu chuẩn này không theo thứ tự ưu tiên.

4.2  Các phân loại kiểm soát

Mỗi phân loại kiểm soát an toàn chính bao gồm:

a) một mục tiêu kiểm soát trong đó ghi những gì phải đạt được;

b) một hoặc nhiều kiểm soát có thể được áp dụng để đạt được mục tiêu kiểm soát.

Các mô tả kiểm soát được cấu trúc như sau:

Kiểm soát

Xác định các báo cáo kiểm soát cụ thể, để đáp ứng mục tiêu kiểm soát.

Hướng dẫn thi hành

Cung cấp thông tin chi tiết hơn để hỗ trợ thực hiện việc kiểm soát và đáp ứng mục tiêu kiểm soát. Các hướng dẫn có thể không hoàn toàn phù hợp hoặc đầy đủ trong mọi tình huống và có thể không đáp ứng đầy đủ các yêu cầu kiểm soát cụ thể của tổ chức.

Thông tin khác

Cung cấp thêm thông tin có thể cần được c

HIỆU LỰC VĂN BẢN

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 (ISO/IEC 27002:2013) về Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin

  • Số hiệu: TCVNISO/IEC27002:2020
  • Loại văn bản: Tiêu chuẩn Việt Nam
  • Ngày ban hành: 01/01/2020
  • Nơi ban hành: ***
  • Người ký: ***
  • Ngày công báo: Đang cập nhật
  • Số công báo: Đang cập nhật
  • Ngày hiệu lực: 06/11/2024
  • Tình trạng hiệu lực: Còn hiệu lực
Tải văn bản