Giải đáp những thắc mắc về hệ thống quản lý ISO 27000

Câu hỏi 1: Tiêu đề của nhiều tiêu chuẩn ISO 27000 thường đề cập đến “Công nghệ thông tin – Kỹ thuật bảo mật”. Điều này có nghĩa là chúng dành riêng cho CNTT đúng hay không?

Giải đáp: Không, chắc chắn là không! Các chức danh chính thức chỉ đơn giản phản ánh tên ban đầu của ủy ban ISO và IEC chung giám sát sản xuất của họ, đó là SC 27 “Công nghệ thông tin – Kỹ thuật bảo mật”, bản thân nó là một tiểu ban của JTC 1 “Công nghệ thông tin”.

ISO / IEC JTC 1 / SC 27 đã thông qua một tên mới vào năm 2019 trở thành “Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư”. Tên mới sẽ dần dần đi vào các tiêu chuẩn khi chúng được sửa đổi và xuất bản. Phạm vi của các tiêu chuẩn ISO 27000 đương nhiên bao gồm nhiều khía cạnh của CNTT nhưng không dừng lại ở đó. Phần giới thiệu ISO / IEC 27002:2013 nêu rõ ràng

“Giá trị của thông tin vượt ra ngoài những từ ngữ, con số và hình ảnh được viết ra: Kiến thức, khái niệm, ý tưởng và thương hiệu là những ví dụ về các dạng thông tin vô hình. Trong một thể giới liên kết, thông tin và các quy trình liên quan, hệ thống, mạng lưới và nhân sự tham gia vào việc vận hành, xử lý và bảo vệ chúng là những tài sản, giống như các tài sản kinh doanh quan trọng khác, có giá trị đối với hoạt động kinh doanh của tổ chức và do đó xứng đăng hoặc cần được bảo vệ khỏi các mối nguy hiểm khác nhau . ”

Nói chung, tài sản thông tin có giá trị nhất của một tổ chức thuộc về các đơn vị kinh doanh, phòng ban hoặc các chức năng khác ngoài Phòng CNTT. CNTT thường sở hữu, quản lý và chịu trách nhiệm bảo vệ cơ sở hạ tầng CNTT được chia sẻ (tức là các hệ thống CNTT chính của công ty và mạng cung cấp các dịch vụ CNTT được chia sẻ cho doanh nghiệp) là một tài sản thông tin quan trọng theo đúng nghĩa của nó. Tuy nhiên, trong điều khoản bảo mật thông tin, CNTT thường đóng vai trò là người giám sát (nhưng không phải chủ sở hữu) đối với hầu hết dữ liệu kinh doanh trên hệ thống và mạng, bao gồm nội dung thuộc về các bộ phận khác của tổ chức hoặc nhà cung cấp, khách hàng, đối tác kinh doanh, khách hàng tiềm năng, các bên liên quan, và các bên thứ ba khác.

Sự phân biệt này có ý nghĩa quan trọng. Chủ sở hữu tài sản thông tin có trách nhiệm đảm bảo rằng tài sản thông tin của họ được bảo vệ đầy đủ, giống như các tài sản khác của doanh nghiệp. Mặc dù các chủ sở hữu tài sản thông tin thường ủy thác các trách nhiệm chính về bảo mật thông tin cho Bảo mật thông tin và / hoặc CNTT, họ vẫn phải chịu trách nhiệm và phải đảm bảo rằng an ninh thông tin được cấp vốn, chỉ đạo và hỗ trợ đầy đủ để đạt được mức độ bảo vệ cần thiết. Tương tự như vậy, CNTT và An ninh Thông tin nói chung hoạt động như những cố vấn và người giảm sát với nhiệm vụ bảo vệ thông tin / dữ liệu được họ chăm sóc, nhưng cuối cùng họ không chịu trách nhiệm về hầu hết các sự cổ, vi phạm và tác động về an toàn thông tin xảy ra do rủi ro không khôn ngoan quyết định quản lý (chẳng hạn như bảo mật dưới mức tài trợ hoặc chấp nhận rủi ro) do chủ sở hữu tài sản thông tin thực tế đưa ra.

Câu hỏi 2: Có thể mua các tiêu chuẩn về ISO 27000 ở đâu?

Giải đáp: ISO / IEC 27000, ISO / IEC 27001, ISO / IEC 27002 và tất cả các tiêu chuẩn về ISO 27000 đã được công bố khác có thể được mua trực tiếp từ của hãng ISO hoặc từ các cơ quan tiêu chuẩn quốc gia và tổ chức thương mại khác nhau.

Tuy nhiên, cần kiểm tra các phiên bản được bản địa hóa / quốc gia của các tiêu chuẩn. Một số cơ quan tiêu chuẩn quốc gia phát hành các phiên bản dịch của tiêu chuẩn bằng ngôn ngữ địa phương của họ. Họ đã cố gắng hết sức để đảm bảo rằng các bản dịch vẫn đúng với bản gốc, mặc dù điều này đương nhiên là mất thời gian.

Các tiêu chuẩn ISO 27000 có thể được mua dưới dạng tài liệu điện tử hoặc bìa cứng in. Ngoài các tệp PDF dành cho một người dùng, các cơ quan tiêu chuẩn có thể cấp phép cho các phiên bản điện tử của tiêu chuẩn để nhiễu người dùng sử dụng trong nội bộ công ty – tiện lợi để cung cấp các tiêu chuẩn cuối cùng khả dụng trên mạng nội bộ của bạn

Câu hỏi 3: ISO là gì? ISO / IEC nghĩa là gì?

Giải đáp: ISO là tên viết tắt của International Organization for Standardization có nghĩa là Tổ chức Tiêu chuẩn hóa quốc tế.

IEC là Ủy ban Kỹ thuật Điện Quốc tế, một cơ quan tiêu chuẩn quốc tế khác hợp tác chặt chẽ với ISO về các tiêu chuẩn kỹ thuật điện, điện tử và liên quan. Các tiêu chuẩn được phát triển cùng với ISO có tiền tổ là ISO / IEC”.

ISO / IEC cũng hợp tác về một số tiêu chuẩn với các tổ chức quốc tế khác (cả chính phủ và khu vực tư nhân) như Liên minh Viễn thông Quốc tế, một cơ quan thương mại điều phối các tổ chức và thông lệ Telecoms để cho

phép truyền thông trên toàn thế giới.

Hướng giải quyết: Việc sử dụng “ISO / IEC” là một điều khó hiểu, tuy nhiên chúng tôi đã cố gắng sử dụng “ISO / IEC” một cách nhất quán trên toàn bộ trang web này khi đề cập đến các tiêu chuẩn hiện hành.

Câu hỏi 4: “WD”, “CD”, “FDIS” và những từ viết tắt khác được thêm vào trước các tiêu chuẩn ISO thực sự có nghĩa là gì?

Giải đáp: Các từ viết tắt chỉ ra tiến trình của các Tiêu chuẩn Quốc tế tuần tự qua các giai đoạn soạn thảo và phê duyệt

PWI: Hạng mục công việc sơ bộ – tính khả thi ban đầu và các hoạt động xác định phạm vi phác thảo

SP: Giai đoạn nghiên cứu – nghiên cứu khu vực, tìm kiếm các tiêu chuẩn và đầu vào liên quan khác, đánh giá nhu cầu thị trường, xác định các bên liên quan, vv.
NWIP hoặc NP: Đề xuất hạng mục công việc mới – chuẩn bị phạm vi và phác thảo của một tiêu chuẩn được đề xuất, mở đường cho một dự án phát triển tiêu chuẩn mới
WD: Bản thảo làm việc (WD thứ nhất, WD thứ hai, vv.) – giai đoạn phát triển nội dung tiêu chuẩn (“chuẩn bị”), tạo nội dung
CD: Dự thảo của Ủy ban (CD thứ nhất, CD thứ hai, vv.) – giai đoạn kiểm soát chất lượng, giải quyết các vấn đề biên tập và lỗi chính tả
FCD: Dự thảo của Ủy ban Cuối cùng – sẵn sàng để được phê duyệt lần cuối (bỏ phiếu)
DIS: Dự thảo Tiêu chuẩn Quốc tế
DAM: Bản thảo phụ lục
FDIS: Bản thảo cuối cùng / Tiêu chuẩn quốc tế về phân phổi FDAM. Bản sửa đổi dự thảo cuối cùng .
IS; Tiêu chuẩn Quốc tế
TR: Báo cáo kỹ thuật
TS: Đặc điểm kỹ thuật
COR: CORigendum – về mặt kỹ thuật, một sự hiệu chỉnh

Câu hỏi 5: Ngoài các Tiêu chuẩn Quốc tế, TR và PAS có nghĩa là gì?

Giải đáp ISO / IEC xuất bản nhiều loại tiêu chuẩn khác nhau về nhiều đối tượng.

Tiêu chuẩn quốc tế (IS) là hình thức phổ biến nhất của tiêu chuẩn ISO / IEC, bao gồm tiêu chuẩn sản phẩm / kỹ thuật, phương pháp thử nghiệm, ‘quy tắc thực hành’ (thực hành tốt) và tiêu chuẩn quản lý. IS “cung cấp các quy tắc, hướng dẫn hoặc đặc điểm cho các hoạt động hoặc cho kết quả của chúng, nhằm đạt được mức độ trật tự tối ưu trong một bối cảnh nhất định”. Hầu hết đều nhằm mục đích mô tả mục tiêu cuối cùng mà không quy định phương pháp đạt được mục tiêu đó (mặc dù không phải tất cả chúng đều đạt được mục tiêu đó!). Chu kỳ xem xét là 5 năm (tối đa).

Đặc điểm kỹ thuật (TS) là một tiêu chuẩn về một đối tượng chưa trưởng thành vẫn đang được phát triển và chưa hoàn toàn sẵn sàng để trở thành một IS đầy đủ. Phản hồi được khuyến khích để thúc đẩy sự phát triển hơn nữa và dẫn đến việc phát hành IS. Trong nội bộ ủy ban, các dự thảo cuối cùng được gọi là Thông số Kỹ thuật Dự thảo Đề xuất của PDTS.

Báo cáo Kỹ thuật (TR) là một hướng dẫn chứ không phải là một đặc điểm kỹ thuật. Nó có thể dựa trên các cuộc khảo sát và báo cáo cung cấp thông tin’ và có thể cố gắng mô tả trạng thái của nghệ thuật. Trong nội bộ ủy ban, các dự thảo cuối cùng được gọi là Báo cáo Kỹ thuật Dự thảo Đề xuất PDTR.

Thông số kỹ thuật có sẵn công khai (PAS) đáp ứng nhu cầu cấp thiết nhằm thúc đẩy sự đồng thuận về một số chủ đề mới nổi. Các quan điểm thay thế và có lẽ không tương thích có thể được thể hiện bằng các PAS song song từ các luồng chuyên gia khác nhau. Một PAS phải được thay thế bằng TS hoặc IS, hoặc bị rút lại, trong vòng 6 năm.

Thỏa thuận Hội thảo Quốc tế (IWA) về cơ bản là một PAS ngoại lại được sản xuất bên ngoài thế giới ISO / IEC – ví dụ như bởi một số cơ quan kỹ thuật hoặc công nghiệp. Nó cũng có tuổi thọ tối đa là 6 năm.

Câu hỏi 6 : Ý nghĩa của JTC 1 / SC 27 và WG’s là gì?

Giải đáp. Như bạn có thể mong đợi, một tổ chức quốc tế phát triển và điều phối một loạt các tiêu chuẩn kỹ thuật trên toàn cầu đã phát triển một bộ máy hành chính rộng lớn tương ứng để quản lý và chia sẻ công việc. Các cơ quan thành viên (nghĩa là các thành viên của ISO, hay nói cách khác là các cơ quan tiêu chuẩn quốc gia) thường tham gia vào việc phát triển các tiêu chuẩn thông qua các Ủy ban kỹ thuật do tổ chức tương ứng thành lập để giải quyết các lĩnh vực hoạt động kỹ thuật cụ thể. Ủy ban Kỹ thuật ISO và IEC thường hợp tác trong các lĩnh vực mà hai bên cùng quan tâm. Tiêu chuẩn hóa CNTT đưa ra các yêu cầu và thách thức riêng do tốc độ đổi mới, do đó, vào năm 1987, ISO và IEC đã thành lập Ủy ban kỹ thuật chung ISO / IEC JTC 1 chịu trách nhiệm về các tiêu chuẩn CNTT.

Mục đích của JTC 1 là “Tiêu chuẩn hóa trong lĩnh vực Công nghệ Thông tin”, “bao gồm việc đặc tả, thiết kế và phát triển các hệ thống và công cụ xử lý việc nắm bắt, đại diện, xử lý, bảo mật, chuyển giao, trao đổi, trình bày, quản lý, tổ chức, lưu trữ và truy xuất thông tin. ” Mặc dù có sự thống nhất chung rằng bảo mật thông tin là một tập hợp bảo mật CNTT, nhưng thực tế không may là ủy ban ISO / IEC đã đặt CNTT trong chức danh chính thức của mình có nghĩa là các tiêu chuẩn an toàn thông tin ISO27k thường bị nhầm với các tiêu chuẩn CNTT.

Nói theo cách nói của ISO, “SC” là một Tiểu ban. SC 27 là một trong số các Tiểu ban của ISO / JTC 1 chịu trách nhiệm về các tiêu chuẩn an toàn thông tin. Những người khác bao gồm: