Tiêu chuẩn quốc gia TCVN 9965:2013 về Công nghệ thông tin - Kỹ thuật an ninh - triển khai TCVN ISO/IEC 27001

Phụ lục B

(tham khảo)

So sánh thuật ngữ ISO/IEC 27000:2009 và ISO/IEC 20000-1:2011                     

Trong bảng B.1 của tiêu chuẩn đề cập mà không có năm xuất bản của "Ghi chú sử dụng thuật ngữ trong cả hai tiêu chuẩn" theo mục đích tối giản. Bảng B.1 cung cấp một so sánh thuật ngữ được định nghĩa trong ISO/IEC 27000:2009, là Thuật ngữ cho ISO/IEC 27001:2009, các thuật ngữ được sử dụng trong TCVN ISO/IEC 27001, và các thuật ngữ được định nghĩa hoặc được sử dụng trong ISO/IEC 20000-1:2011. Các lĩnh vực mà các thuật ngữ được định nghĩa khác nhau giữa ISO/IEC 27000 và ISO/IEC 20000-1 được thể hiện bởi màu xám nhạt.

Bảng B.1 - So sánh thuật ngữ

Thuật ngữ

ISO/IEC 27000:2009

ISO/IEC 20000-1:2011

Ghi chú sử dụng thuật ngữ trong cả hai tiêu chuẩn

...

...

...

2.1
Đảm bảo rằng truy cập tới các tài sản (2.3) được chứng nhận và giới hạn dựa trên các yêu cầu an ninh và kinh doanh.

Không được định nghĩa.

Không tương ứng trực tiếp.

Trách nhiệm giải trình

2.2
Trách nhiệm của một thực thể cho các quyết định và hành động của chính nó.

Không được định nghĩa.

Từ "trách nhiệm giải trình" được dùng trong ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường là trách nhiệm, được yêu cầu để giải thích hoặc bảo vệ các hành động của ai đó hoặc tiến hành, khuyến nghị và giả định trách nhiệm.

Từ "trách nhiệm giải trình" là quan trọng với các yêu cầu trong ISO/IEC 20000-1, Điều 4.2, ví dụ "bởi…a) mô tả tài chính cho các quy trình và thẩm quyền để yêu cầu việc tham gia các quy trình.

Tài sản

...

...

...

a) Thông tin (2.18);

b) Phần mềm, ví dụ: một chương trình máy tính;

c) Phần cứng vật lý, ví dụ: máy tính;

d) Dịch vụ;

e) Con người, và các đặc tính của họ, kỹ năng và kinh nghiệm; và

f) Tài sản vô hình, ví dụ: danh tiếng và hình ảnh.

Không được định nghĩa.

Từ "tài sản" được dùng trong ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường là bất kỳ điều gì có giá trị hoặc hiệu dụng, như kỹ năng, chất lượng, con người,… Từ "tài sản" được dùng hạn chế trong ISO/IEC 20000-1.

Điều 4.1.4: "[Đại diện quản lý] có thẩm quyền và trách nhiệm mà bao gồm: d) đảm bảo rằng các tài sản, bao gồm chứng nhận, được dùng cho các dịch vụ phân phối và được quản lý dựa trên các yêu cầu luật định và quy định và các nghĩa vụ hợp đồng.

...

...

...

Điều 6.6.2: "Bên cung cấp dịch vụ phải thực hiện và vận hành các kiểm soát an ninh kỹ thuật và quản trị, vật lý thay vì: a) Duy trì tính bảo mật, toàn vẹn và khả năng truy cập của các tài sản thông tin".

Điều 9.1:"Điều này phải là một giao diện định nghĩa giữa quy trình quản lý cấu hình và quy trình quản lý tài sản tài chính.

CHÚ THÍCH: Phạm vi của quy trình quản lý cấu hình độc nhất việc quản lý tài sản tài chính."

Tấn công

2.4
Có xu hướng bị phá hoại, nổ, thay đổi, tắt, lấy cắp hoặc gia tăng truy cập bất hợp pháp tới hoặc tạo ra việc sử dụng bất hợp pháp của một tài sản

Không được định nghĩa.

Không tương ứng trực tiếp.

Thẩm quyền

2.5
Cung cấp đảm bảo rằng một đặc điểm công bố của một thực thể là hợp thức.

...

...

...

Không trực tiếp liên quan tới thuật ngữ liên quan an ninh thông tin này, "thẩm quyền", mà được dùng trong TCVN ISO/IEC 27001 trong kỹ thuật.

"Thẩm quyền" không giống "xác thực" trong các hành động của vòng đời hệ thống quản lý.

Tính xác thực

2.6
Quyền hạn mà một thực thể được gán.

3.11
CHÚ THÍCH 1: Bổ sung, các thuộc tính khác như: tính xác thực, trách nhiệm, chống chối bỏ và độ tin cậy có thể tham gia.

Tham chiếu trong ISO/IEC 20000-1 nhưng không được sử dụng thêm.

Tính khả dụng

2.7
Quyền hạn được truy cập và sử dụng dựa theo yêu cầu của một thực thể hợp pháp.

3.1
Khả năng của một dịch vụ hoặc thành phần dịch vụ thực hiện chức năng yêu cầu theo một khoản thỏa thuận hoặc qua một khoảng thời gian thỏa thuận.

...

...

...

CHÚ THÍCH 1: Bổ sung các đặc tính khác như: tính xác thực, trách nhiệm, chống chối bỏ và độ tin cậy có thể tham gia.

CHÚ THÍCH 2: Thuật ngữ "tính sẵn có" được dùng trong định nghĩa này bởi nó là một thuật ngữ định nghĩa trong phần này của ISO/IEC 20000 mà không tương ứng với định nghĩa này.

CHÚ THÍCH 3: Đáp ứng từ ISO/IEC 27000:2009.

Xem "an ninh thông tin".

Tính sẵn có thường đề cập như trung tâm của quản lý dịch vụ và đóng vai trò như một vai trò nổi bật trong ISO/IEC 20000-1 theo khía cạnh của việc truy cập chất lượng dịch vụ cung cấp. Xem ISO/IEC 20000-1, Điều 6.3.

Điểm khác biệt giữa hai định nghĩa là không lớn, nhưng bởi tầm quan trọng đặt trong "tính sẵn có" của quản lý dịch vụ, khác biệt này là đáng chú ý.

Một hệ quả trực tiếp của sự khác biệt giữa hai ý nghĩa của tính sẵn có là định nghĩa an ninh thông tin TCVN ISO/IEC 27001 đã đáp ứng cho ISO/IEC 20000-1 bằng cách sử dụng tính truy cập thay vì tính sẵn có.

Kinh doanh liên tục

2.8
Các quy trình (2.31) và/hoặc các thủ tục (2.30) để đảm bảo các vận hành kinh doanh liên tục.

...

...

...

Dịch vụ liên tục được sử dụng trong ISO/IEC 20000-1 như là một tập con của kinh doanh liên tục.

Xem "dịch vụ liên tục".

Tính bảo mật

2.9
Đặc tính mà thông tin không tạo ra tính sẵn sàng hoặc bị tiết cho các cá nhân thực thể và quy trình bất hợp pháp (2.3).

Không được định nghĩa.

Không tương ứng trực tiếp.

Đường căn bản cấu hình

Không được định nghĩa.

3.2
Thông tin cấu hình thường được định ở một thời gian đặc trưng trong suốt cuộc đời một dịch vụ hoặc thành phần dịch vụ.

...

...

...

CHÚ THÍCH 2: Đáp ứng từ ISO/IEC/IEEE 24765:2010.

Thuật ngữ được dùng một lần trong ISO/IEC 20000-1. Điều 9, như: "…Một đường cơ sở cấu hình của các CI bị ảnh hưởng phải được thực hiện trước khi triển khai một phát hành trong môi trường sống".

Khoản mục cấu hình (CI)

Không được định nghĩa.

3.3
Thành phần mà các nhu cầu được kiểm soát thay vì phân chia một hoặc nhiều dịch vụ.

Các CI nổi bật trong ISO/IEC 20000-1 và được xem xét như một thành phần của dịch vụ. Các CI có thể là một hoặc một phần của một thành phần dịch vụ. Một tài sản thông tin có thể là một CI.

Xem TCVN ISO/IEC 27001, Định nghĩa 3.27 Thành phần dịch vụ.

Cơ sở dữ liệu quản lý cấu hình (CMDB)

Không được định nghĩa.

...

...

...

Dựa trên các tiếp cận được đáp ứng với tổ chức, một CMDB có thể được dùng để giữ các kho tài sản.

Xem TCVN ISO/IEC 27001, phụ lục A, Điều A.7.1.1.

Nâng cấp liên tục

Không được định nghĩa

3.5
Hoạt động định kỳ nhằm tăng cường khả năng đáp ứng đầy đủ các yêu cầu dịch vụ.

CHÚ THÍCH: Đáp ứng theo TCVN ISO 9000:2007 (ISO/IEC 9000:2005)

ISO/IEC 20000-1, Điều 4.1.2, yêu cầu một chính sách cho việc nâng cấp liên tục, như một phần của chính sách quản lý dịch vụ.

Chu trình PDCA, bao gồm việc giới thiệu TCVN ISO/IEC 27001, là rất giống với TCVN ISO 9001 (ISO 9001:2008) và ISO/IEC 20000-1 (tham khảo TCVN ISO/IEC 27001, Điều 4.2.4 và ISO/IEC 20000-1, Điều 4.5.5).

Kiểm soát

...

...

...

ISO 31000:2009.

2.26 Kiểm soát

Đo đạc và điều chỉnh rủi ro (2.1)

CHÚ THÍCH 1: Các kiểm soát bao gồm bất kỳ quy trình, chính sách, thiết bị, thực hành hoặc các hành động khác mà điều chỉnh rủi ro.

CHÚ THÍCH 2: Các kiểm soát có thể không thường xuyên phát huy hoặc thừa nhận việc thay đổi hiệu quả (ISO Guide 73:2009, định nghĩa 3.8.1.1)

Không được định nghĩa

Từ "kiểm soát" được dùng trong ISO/IEC 20000-1 theo cả danh từ và động từ, nhưng không được định nghĩa như thuật ngữ đặc biệt, mà ý nghĩa tiếng Anh thông thường áp dụng.

Danh từ: thẩm quyền hoặc nghĩa vụ, quyền lực để ảnh hưởng hoặc hướng dẫn, điều khiển, một ý nghĩa của việc giới hạn (các kiểm soát) một thiết bị để vận hành, điều chỉnh hoặc kiểm tra (một máy móc, hệ thống…)

Động từ: (được điều khiển, điều khiển) để có hoặc thực hành quyền lực thông qua ai đó hoặc cái gì, để điều chỉnh, giới hạn, vận hành, hoặc kiểm tra (một máy móc, hệ thống). Tất cả nhưng việc sử dụng 2 nghĩa của từ "kiểm soát" là một danh từ trong ISO/IEC 20000-1, điều 6.6, Quản lý an ninh thông tin. Cách sử dụng khác trong Điều 4.3.2 và 4.4.3 mà không thay đổi từ TCVN ISO 9001 (ISO/IEC 9001:2008)).

...

...

...

Mục tiêu kiểm soát

2.11
Trạng thái mô tả những cái gì phải đạt được như một kết quả của việc thực hiện các kiểm soát (2.10).

Không được định nghĩa.

Danh từ "mục tiêu" được dùng trong ISO/IEC 20000-1 trong thì tiếng Anh đơn: một điều nhằm mục đích hoặc mong muốn cho, một mục tiêu.

Có một liên kết dễ tổn thương giữa việc sử dụng "mục tiêu kiểm soát" trong TCVN ISO/IEC 27001 và việc sử dụng trong ISO/IEC 20000-1, Điều 4 của các cụm từ như "các mục tiêu quản lý dịch vụ" hoặc Điều 6.6, "các mục tiêu quản lý an ninh thông tin".

Hành động khắc phục

2.12
hành động để loại bỏ nguyên nhân của một sự phát hiện không phù hợp hoặc tình huống không mong muốn khác

[TCVN ISO 9000:2007 (ISO/IEC 9000:2005)]

3.6
hành động để loại bỏ nguyên nhân hoặc giảm khả năng tái phát của một sự phát hiện không phù hợp hoặc tình huống không mong đợi khác

...

...

...

Thuật ngữ tương tự được dùng cho cả hai tiêu chuẩn, nhưng có nhiều khác biệt về nghĩa. Nó không phải lúc nào cũng có thể hoặc mong muốn để loại bỏ nguyên nhân, thay vào đó nó có thể được tốt hơn hoặc nhiều hơn chi phí hiệu quả để tránh tái phát.

Xem hành động phòng ngừa trong ISO/IEC 20000-1, định nghĩa 3.18.

Khách hàng

Không được định nghĩa.

3.7
Tổ chức hoặc một phần của tổ chức mà nhận một hoặc nhiều dịch vụ.

CHÚ THÍCH 1: Một khách hàng có thể ở bên trong hoặc bên ngoài tổ chức bên cung cấp dịch vụ.

CHÚ THÍCH 2: Đáp ứng theo TCVN ISO 9000:2007 (ISO/IEC 9000:2005)).

Trong ISO/IEC 20000-1, khách hàng có thể đóng vai trò bổ sung như bên cung cấp.

Văn bản

...

...

...

3.8
Thông tin và phương tiện hỗ trợ [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)].

VÍ DỤ: Các chính sách, kế hoạch, mô tả quy trình, thủ tục, thỏa thuận mức dịch vụ, hợp đồng và bản ghi.

CHÚ THÍCH 1: Văn bản có thể ở bất kỳ dạng thức hoặc loại phương tiện nào.

CHÚ THÍCH 2: Trong ISO/IEC 20000, các văn bản ngoại trừ các bản ghi, phải nêu rõ mục đích cần đạt được.

Không tương ứng trực tiếp.

Tính hiệu quả

2.13
Mở rộng các hoạt động lập kế hoạch được nhận ra và các kết quả kế hoạch đã đạt được [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)].

3.9
Mở rộng các hoạt động lập kế hoạch được nhận ra và các kết quả kế hoạch đã đạt được [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)].

Giống nhau.

...

...

...

2.14
Mối quan hệ giữa các kết quả đã đạt được và cách thức sử dụng tốt các tài nguyên.

Không được định nghĩa.

Từ này được dùng trong thì tiếng Anh thường, và chỉ một lần, trong việc giới thiệu ISO/IEC 20000-1. Không có bất kỳ yêu cầu liên quan đến hiệu quả.

Sự kiện

2.15
Sự xuất hiện của một tập cụ thể các tình huống [ISO/IEC Guide 73:20002].

Không được định nghĩa.

Từ "sự kiện" được dùng trong ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường là một cái gì đó đã hoặc đang xảy ra. Ví dụ, xem ISO/IEC 20000-1, Điều 6.2: “các sự kiện quan trọng” hoặc Điều 6.3.2, các kế hoạch sẵn có và liên tục của dịch vụ: "trong sự kiện của việc mất mát lớn dịch vụ".

Việc sử dụng tương đương trong TCVN ISO/IEC 27001, để so sánh rộng rãi.

Xem "sự kiện an ninh thông tin".

...

...

...

2.16
Yêu cầu về điều mong đợi được thực hiện để đạt được một mục tiêu.

Không được định nghĩa.

Xem các phần khác của ISO/IEC 20000. Trong khi ISO/IEC 20000-1 bao gồm các yêu cầu viện dẫn, tất cả các phần khác của ISO/IEC 20000 là các tiêu chuẩn quốc gia hoặc báo cáo kỹ thuật tham khảo.

Tác động

2.17
Thay đổi bất lợi đối với mức mục tiêu kinh doanh đã đạt được.

Không được định nghĩa.

Sử dụng từ "tác động" trong cả hai tiêu chuẩn là tương đối giống nhau. "Tác động" được dùng 26 lần trong ISO/IEC 20000-1. Trong thời tiếng Anh thông thường của: "tác động", danh từ: một hiệu ứng hoặc áp lực mạnh mẽ. Nó sử dụng "tác động" ít cụ thể hơn trong ISO/IEC 20000-1 về cách thức "tác động" được dùng trong TCVN ISO/IEC 27001. Hầu hết cách sử dụng trong ISO/IEC 20000-1 là liên kết với các rủi ro hoặc các hoàn cảnh thực tế tiêu cực như định nghĩa 3.15, Lỗi đã biết

và trong Điều 5: "Bên cung cấp dịch vụ phải sử dụng quy trình này cho tất cả các dịch vụ và các thay đổi các dịch vụ có tiềm năng có tác động lớn về các dịch vụ hoặc khách hàng"

hoặc Điều 6.3.2: "Bên cung cấp dịch vụ phải đánh giá tác động của các yêu cầu thay đổi của (các) kế hoạch dịch vụ liên tục và (các) kế hoạch sẵn có".

...

...

...

Xem "sự cố an ninh thông tin"

3.10
Việc gián đoạn không kế hoạch một dịch vụ, một giảm thiểu về chất lượng một dịch vụ hoặc một sự kiện mà chưa tác động dịch vụ tới khách hàng.

Có một điểm khác biệt chủ yếu giữa việc sử dụng "sự cố" trong bộ tiêu chuẩn TCVN ISO/IEC 27001 và trong ISO/IEC 20000-1.

Từ "sự cố" được dùng trong TCVN ISO/IEC 27001 theo nghĩa "điều gì đó đã sai với an ninh của môi trường phạm vi". Trong ISO/IEC 20000-1 từ "sự cố" có một ý nghĩa được xác định và cụ thể hơn trong TCVN ISO/IEC 27001. Trong ISO/IEC 20000-1 "sự cố" là một trong một loạt các điều khoản liên quan và không chỉ liên quan tới các sự cố an ninh thông tin. Các thuật ngữ khác là:

3.19 Vấn đề

Nguyên nhân gốc rễ của một hoặc nhiều sự cố.

Nguyên nhân gốc rễ không chỉ được biết tới ở thời điểm một bản ghi vấn đề được tạo ra và quy trình quản lý vấn đề là chịu trách nhiệm cho các điều tra sau này.

3.15 Lỗi đã biết

Vấn đề mà có một nguyên nhân gốc rễ được định danh hoặc một phương pháp nhằm giảm thiểu hoặc loại bỏ tác động của nó trên một dịch vụ bằng cách làm việc quanh nó.

...

...

...

hoặc một sự cố (hoặc vấn đề) đã được coi là chủng loại cao nhất của tác động.

Mỗi "sự cố", "vấn đề", và "sự cố lớn" được quản lý khác nhau và là chủ đề cho các yêu cầu khác nhau.

"Lỗi đã biết" là một vấn đề khi nguyên nhân cơ bản được hiểu và được quản lý bởi quy trình quản lý vấn đề, mà bao gồm các yêu cầu áp dụng một lần một vấn đề đã trở thành một lỗi đã biết.

"Sự cố lớn" được quản lý bởi quy trình quản lý yêu cầu dịch vụ, với một yêu cầu mà có một thủ tục đặc biệt cho việc quản lý "các sự cố lớn".

Xem "sự cố an ninh thông tin"

Tài sản thông tin

2.18
Kiến thức hoặc dữ liệu mà có giá trị cho tổ chức.

Không được định nghĩa.

Thuật ngữ này không phải là một thuật ngữ định nghĩa nhưng được dùng trong ISO/IEC 20000-1, như Điều 6.6.2:

...

...

...

a) Duy trì sự bảo mật, tính toàn vẹn và khả năng truy cập các tài sản thông tin."

Xem "tài sản".

An ninh thông tin

2.19
Sự duy trì của tính bảo mật (2.13), tính toàn vẹn (2.36) và tính sẵn sàng (2.10) của thông tin.

CHÚ THÍCH: Bổ sung, các đặc tính khác như tính xác thực (2.9), trách nhiệm (2.2), chống chối bỏ (2.49) và độ tin cậy (2.56) cũng có thể tham gia.

3.11
Sự duy trì tính bảo mật, tính toàn vẹn và khả năng truy cập của thông tin.

CHÚ THÍCH 1: Bổ sung, các đặc tính khác như tính xác thực, trách nhiệm, chống chối bỏ và độ tin cậy có thể tham gia.

CHÚ THÍCH 2: Thuật ngữ "tính sẵn có" không được dùng trong định nghĩa này bởi nó là một thuật ngữ định nghĩa trong phần này của tiêu chuẩn ISO/IEC 20000 mà không phù hợp với định nghĩa này.

CHÚ THÍCH 3: Đáp ứng từ ISO/IEC 27000:2009.

...

...

...

Sự kiện an ninh thông tin

2.20
Sự xuất hiện định danh của một hệ thống, dịch vụ hoặc trạng thái mạng chỉ ra một nhánh tiềm năng của an ninh thông tin (2.19) chính sách (2.28) và lỗi kiểm soát (2.10), hoặc một trạng thái không biết trước đó mà có thể liên quan đến an ninh.

Không được định nghĩa.

Các sự kiện an ninh thông tin chỉ được dùng trong ISO/IEC 20000-1 như một phần của định nghĩa 3.12: sự cố an ninh thông tin.

Thêm vào đó, sự kiện 2.15 (không phải sự kiện an ninh thông tin) cũng được dùng trong:

a) Định nghĩa rủi ro - xem 3.25 mà bao gồm GHI CHÚ 3 và 4 liên quan các sự kiện,

b) Định nghĩa "sự liên tục của dịch vụ" (3.28).

c) ISO/IEC 20000-1 Điều 6.2: báo cáo dịch vụ,

d) ISO/IEC 20000-1, Điều 6.3.2: sự liên tục của dịch vụ" và các kế hoạch sẵn có".

...

...

...

Sự cố an ninh thông tin

2.21
Một hoặc chuỗi các sự kiện an ninh thông tin không mong đợi hoặc không mong muốn (2.20) mà có một khả năng đáng kể ảnh hưởng đến lựa chọn kinh doanh và đe dọa (2.19).

3.12
Một hoặc chuỗi các sự kiện an ninh thông tin không mong đợi hoặc không mong muốn mà có một khả năng đáng kể ảnh hưởng đến lựa chọn kinh doanh và đe dọa. [ISO/IEC 27000:2009].

ISO/IEC 20000-1 định nghĩa 3.12 bao gồm thuật ngữ sự cố an ninh thông tin của ISO/IEC 27000.

ISO/IEC 20000-1, Điều 6.6.3 bao gồm một yêu cầu: các sự cố an ninh thông tin phải được quản lý sử dụng các thủ tục quản lý sự cố, với một mức ưu tiên thích hợp cho các rủi ro an ninh thông tin.

Nó không phục vụ cho "thứ đã đi sai với dịch vụ" khi mà nguyên nhân là một vấn đề, như nguyên nhân gốc rễ của một hoặc nhiều sự cố, khi nguyên nhân gốc rễ không thường được biết đến tại thời điểm một bản ghi vấn đề được tạo ra và quy trình quản lý vấn đề là chịu trách nhiệm cho các điều tra sau này. Nó được quản lý bởi quy trình quản lý vấn đề, không phải việc quản lý sự cố và quy trình yêu cầu dịch vụ.

Các sự cố [an ninh thông tin] chính được quản lý bởi quy trình yêu cầu dịch vụ và sự cố liên quan.

Sự khác biệt trong cách thuật ngữ được sử dụng trong cả hai tiêu chuẩn là phức tạp hơn sự kiện an ninh hoặc sự cố là một tập phụ hoặc loại đặc biệt của sự cố [quản lý dịch vụ]. Xem Điều 6.2.5 của tiêu chuẩn này.

Quản lý sự cố an ninh thông tin

...

...

...

Không được định nghĩa.

Xem:

"Sự cố".

"Sự cố an ninh thông tin"

"Lỗi đã biết"

"Vấn đề"

Hệ thống quản lý an ninh thông tin (ISMS)

2.23
Phần của hệ thống quản lý tổng quan (2.26), dựa trên một hướng tiếp cận rủi ro kinh doanh để thiết lập, thực hiện, vận hành, giám sát, đánh giá, bảo trì và nâng cấp an ninh thông tin (2.19).

Không được định nghĩa.

...

...

...

Rủi ro an ninh thông tin

2.24
Tiềm năng mà một đe dọa (2.45) phát tán một lỗ hổng (2.46) của một tài sản (2.3) hoặc nhóm tài sản và do đó gây ra nguy hại cho tổ chức.

Không được định nghĩa.

Xem "rủi ro".

Rủi ro an ninh thông tin không được định nghĩa nhưng được sử dụng trong các phần quản lý an ninh thông tin của ISO/IEC 20000-1, Điều 6.6.1.

Tính toàn vẹn

2.25
Đặc tính bảo vệ độ chính xác và sự đầy đủ của các tài sản (2.3).

Không được định nghĩa.

Từ "tính toàn vẹn" được sử dụng trong ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường; chất lượng hoặc trạng thái của toàn bộ và không bị hư hỏng.

...

...

...

ISO/IEC 20000-1, Điều 9.1 bao gồm các yêu cầu:

"Chúng phải là một thủ tục tài liệu cho việc ghi, kiểm soát và theo dõi các biên bản của các CI. Mức độ kiểm soát phải duy trì tính toàn vẹn của các dịch vụ và các thành phần dịch vụ yêu cầu dịch có tính đến các yêu cầu dịch vụ và rủi ro liên quan tới các CI."

"Các thay đổi với các CI phải được truy xuất và kiểm tra để đảm bảo tính toàn vẹn của các CI và dữ liệu trong CMDB."

ISO/IEC 20000-1, Điều 9.3 bao gồm các yêu cầu: "Bản phát hành phải được thực thi trong môi trường sống để tính toàn vẹn của phần cứng, phần mềm và các thành phần dịch vụ khác được duy trì trong suốt sự thực thi của bản phát hành."

Bên liên quan

Không được định nghĩa.

3.13

Cá nhân hoặc nhóm có một sự quan tâm đặc biệt về hiệu năng hoặc thành công của (các) hành động bên cung cấp dịch vụ.

VÍ DỤ: Các khách hàng, chủ, quản lý, người trong tổ chức của bên cung cấp dịch vụ, bên cung cấp, nhân viên ngân hàng, ủy ban hoặc đối tác.

...

...

...

CHÚ THÍCH 2: Đáp ứng theo TCVN ISO 9000:2007 (ISO/IEC 9000:2005))

Xem "bên cung cấp dịch vụ".

Nhóm nội bộ

Không được định nghĩa.

3.14

Phần của bên cung cấp dịch vụ của tổ chức mà tham gia vào một thỏa thuận văn bản với bên cung cấp để đóng góp cho việc thiết kế, chuyển đổi, phân phát và nâng cấp một hoặc nhiều dịch vụ.

CHÚ THÍCH: Nhóm nội bộ là bên ngoài phạm vi của bên cung cấp dịch vụ của SMS.

Xem "bên cung cấp dịch vụ".

Lỗi đã biết

...

...

...

3.15

Vấn đề mà có một nguyên nhân gốc rễ được định danh hoặc một phương pháp giảm thiểu hoặc loại bỏ tác động của nó trên một dịch vụ bằng cách làm việc với nó.

Xem "sự cố" và "vấn đề".

Hệ thống quản lý

2.26

Nền tảng của các chính sách (2.28), thủ tục (2.30), hướng dẫn (2.16) và các tài nguyên liên quan để đạt được các mục tiêu của tổ chức.

Hệ thống quản lý được định nghĩa trong CHÚ THÍCH 1 của định nghĩa hệ thống quản lý dịch vụ.

CHÚ THÍCH 1: Một hệ thống quản lý là một tập của các phần tử tương tác hoặc có liên kết để thiết lập chính sách và các mục tiêu để đạt được các mục tiêu đó.

Được sử dụng trong ISO/IEC 20000-1 để đề cập tới "các hệ thống quản lý khác", ISO/IEC 20000-1 được đề cập tới như một "hệ thống quản lý dịch vụ".

...

...

...

2.27

Khả năng chứng minh sự xuất hiện của một biến cố đã được công bố (2.15) hoặc hành động và các thực thể gốc để giải quyết tranh cãi về sự xuất hiện hay không xuất hiện của biến cố này (2.15) hay hành động và sự tham gia của các thực thể trong biến cố này (2.15).

Không được định nghĩa hoặc sử dụng.

Không tương ứng trực tiếp.

Tổ chức

Không được định nghĩa.

3.17

Nhóm người hoặc cơ sở với một sự sắp xếp trách nhiệm, thẩm quyền và mối quan hệ.

VÍ DỤ: Đoàn thể, tập đoàn, thương hội, công ty, tổ chức từ thiện, hiệp hội, doanh nghiệp tư nhân hoặc các thành phần kết hợp đó với nhau.

...

...

...

CHÚ THÍCH 2: Một tổ chức có thể là công cộng hoặc tư nhân.

ISO/IEC 20000-1 sử dụng thuật ngữ "bên cung cấp dịch vụ" và "tổ chức" cho các thực thể khác nhau, nên sự khác biệt là chủ yếu cho bất kỳ các giải thích nào đối với hệ thống quản lý kết hợp.

Xem "bên cung cấp dịch vụ".

Chính sách

2.28

Mục đích và định hướng tổng thể được thực hiện chính thức bằng việc quản lý.

Không được định nghĩa.

Từ "chính sách" được dùng trong ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường là : (chính sách - số nhiều) một kế hoạch hành động, thường dựa trên các quy tắc thực tế, được quyết định bởi một bộ phận hoặc cá nhân một quy tắc hoặc tập các quy tắc cho các quyết định cơ bản, một chuỗi hành động phải tuân theo.

...

...

...

Hành động phòng ngừa

2.29

Hành động để loại bỏ nguyên nhân của một sự không phù hợp tiềm ẩn hoặc tình huống tiềm ẩn không mong đợi khác [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)]

3.18

Hành động để tránh hoặc loại bỏ nguyên nhân hoặc giảm khả năng xuất hiện của sự không phù hợp tiềm ẩn hoặc tình huống không mong đợi khác

CHÚ THÍCH: Đáp ứng trong TCVN ISO 9000:2007 (ISO/IEC 9000:2005)

Các định nghĩa khác, trong đó định nghĩa của ISO/IEC 20000-1 đã được mở rộng bao gồm hành động phòng ngừa mà không được loại bỏ nguyên nhân, nhưng việc xung quanh nó một cách nào đó để tránh bị tác động; và hành động phòng ngừa không loại bỏ nguyên nhân, nhưng việc xung quanh nó một cách nào đó để tránh bị tác động.

Thuật ngữ tương tự được sử dụng trong cả hai tiêu chuẩn, nhưng chúng khác biệt về ý nghĩa. Nó không phải là luôn luôn có thể hoặc mong muốn để có hành động phòng ngừa trong quản lý dịch vụ. Thay vào đó, nó có thể tốt hơn/hiệu quả hơn để tránh dư thừa. Hơn nữa, với ISO/IEC 20000-1, định nghĩa TCVN ISO 9000 (ISO 9000:2005) được đáp ứng để cho phép khả năng này.

Các liên kết cho hoạt động chính sách trong ISO/IEC 20000-1, định nghĩa 3.6 và ISO/IEC 27000 định nghĩa 2.12

...

...

...

Không được định nghĩa

3.19

Nguyên nhân gốc rễ của một hoặc nhiều sự cố.

CHÚ THÍCH: Nguyên nhân gốc rễ không thường được biết đến ở thời điểm một bản ghi vấn đề được tạo ra và quy trình quản lý vấn đề là chịu trách nhiệm cho việc điều tra sau này.

Xem "sự cố" và "lỗi đã biết".

Thủ tục

2.30

Cách thức được quy định để thực hiện một hoạt động hoặc một quy trình.

[TCVN ISO 9000:2007 (ISO/IEC 9000:2005)]

...

...

...

Cách thức đặc trưng để thực hiện một hoạt động hoặc một quy trình [TCVN ISO 9000:2007 (ISO/IEC 9000:2005)].

CHÚ THÍCH: Các thủ tục có thể được ghi lại hoặc không.

Cả hai định nghĩa đều dựa trên TCVN ISO 9000 (ISO 9000:2005), Chúng đa phần giống nhau. Chỉ trong phần CHÚ THÍCH là khác biệt, như: thủ tục có thể không được ghi lại, nhưng các tham chiếu của ISO/IEC 20000-1 để thủ tục hóa được tất cả "thủ tục văn bản". Các thủ tục đó là một phần của kế hoạch được ghi lại như một phần của kế hoạch.

Quy trình

2.31

Tập các hoạt động tương tác hoặc liên kết với nhau, chuyển đổi các đầu vào thành các đầu ra.

[TCVN ISO 9000:2007 (ISO/IEC 9000:2005)]

3.31

Tập các hoạt động tương tác hoặc liên kết với nhau, chuyển đổi các đầu vào thành các đầu ra.

...

...

...

Cả hai đều dựa trên TCVN ISO 9000:2007 (ISO/IEC 9000:2005)

Bản ghi

2.32

Tài liệu nêu rõ kết quả đạt được hoặc cung cấp bằng chứng về các hoạt động đã thực hiện.

[TCVN ISO 9000:2007 (ISO/IEC 9000:2005)]

3.22

Tài liệu nêu rõ kết quả đạt được hoặc cung cấp bằng chứng về các hoạt động đã thực hiện.

[TCVN ISO 9000:2007 (ISO/IEC 9000:2005)]

VÍ DỤ: Các báo cáo kiểm toán, các báo cáo sự cố, các báo cáo đào tạo hoặc các biên bản họp.

...

...

...

Bản phát hành

Không được định nghĩa hoặc sử dụng.

3.23

Tập hợp của một hoặc nhiều CI thay đổi hoặc mới được thiết lập trong một trường thực như một hệ quả của một hoặc nhiều thay đổi.

Không tương ứng trực tiếp.

Sự tin cậy

2.33

Tính chất của hành vi và các kết quả có khả năng phù hợp.

Được đề cập trong an ninh thông tin 3.11.

...

...

...

Từ "sự tin cậy" được sử dụng trong ISO/IEC 20000-1 theo nghĩa tiếng Anh thông thường: sự đáng tin.

ISO/IEC 20000-1, Điều 8.1: "CMDB phải quản lý để đảm bảo độ tin cậy và chính xác của chính nó, bao gồm việc kiểm soát của truy cập cập nhật".

Đề nghị thay đổi

Không được định nghĩa hoặc sử dụng.

3.24

Đề nghị một thay đổi được tạo ra cho một dịch vụ, thành phần dịch vụ hoặc hệ thống quản lý dịch vụ.

CHÚ THÍCH: Một thay đổi cho một dịch vụ bao gồm việc cung cấp một dịch vụ mới hoặc gỡ bỏ một dịch vụ mà không còn được yêu cầu nữa.

TCVN ISO/IEC 27001, phụ lục A đề cập tới "quản lý thay đổi" như một kiểm soát trong A.0.1.2.

Nhiều kiểm soát trong TCVN ISO/IEC 27001 đề cập tới việc quản lý và kiểm soát các thay đổi. Ví dụ: A.8.3, A.10.1, A.10.2.3, A.12.5.1.

...

...

...

2.34

Sự kết hợp của các khả năng của một sự kiện (2.15) và hệ quả của nó (ISO/IEC Guider 73 20002]

3.25

Hiệu quả các mục tiêu không thực tế và chắc chắn.

CHÚ THÍCH 1: Một hiệu quả là một độ lệch so với dự kiến - tích cực và/hoặc tiêu cực.

CHÚ THÍCH 2: Các mục tiêu có thể các có khía cạnh khác nhau (như tài chính, sức khỏe và sự an toàn và các mục đích môi trường) và có thể áp dụng ở các mức khác nhau (như: chiến lược, toàn tổ chức, dự án, sản phẩm và quy trình).

CHÚ THÍCH 3: Rủi ro thường được đặc trưng bởi tham chiếu tới các sự kiện và hậu quả tiềm ẩn, hoặc một kết hợp của chúng

CHÚ THÍCH 4: Rủi ro thường được diễn tả trong thuật ngữ kết hợp của một sự kết hợp hậu quả của một sự kiện (bao gồm các thay đổi trong nhiều tình huống) và khả năng tương ứng với sự xuất hiện [ISO 31000:2009]

Việc sử dụng rõ ràng giới hạn của "rủi ro" trong ISO/IEC 20000, mặc dù nhiều khía cạnh chủ động của việc quản lý dịch vụ là nhằm mục đích giảm thiểu các rủi ro.

...

...

...

Xem "lỗ hổng kỹ thuật".

Chấp nhận rủi ro

2.35

Quyết định chấp nhận một rủi ro (2.34).

[ISO/IEC Guide 73:2002]

Không được định nghĩa.

Cụm từ "sự chấp nhận rủi ro" không được định nghĩa hoặc sử dụng trong ISO/IEC 20000-1. Tuy nhiên, trong ISO/IEC 20000-1 các yêu cầu để định nghĩa lĩnh vực chấp nhận rủi ro trong kế hoạch quản lý dịch vụ, Điều 4.5.2 và trong quy trình quản lý an ninh thông tin, Điều 6.6.1. Các khái niệm tương đồng trong Điều 5.4, trong các yêu cầu sử dụng lĩnh vực chấp nhận.

Phân tích rủi ro

2.36

...

...

...

CHÚ THÍCH: Phân tích rủi ro cung cấp một cơ sở cho việc đánh giá rủi ro (2.41), xử lý rủi ro (2.43) và chấp nhận rủi ro (2.35)

Không được định nghĩa.

Xem "đánh giá rủi ro". Việc quan tâm đặc biệt phải được áp dụng, phân tích rủi ro được định nghĩa không giống "chấp nhận rủi ro", xem ISO/IEC 270005 để tham chiếu.

Đánh giá rủi ro

2.37

Quy trình tổng thể (2.31) của việc phân tích rủi ro (2.36) và đánh giá rủi ro (2.41)

[ISO/IEC Guide 73:20002]

Không được định nghĩa.

Các tham chiếu trong ISO/IEC 20000-1 cho việc đánh giá rủi ro liên quan tới các dịch vụ. Ví dụ:

...

...

...

Điều 5.2 (Lập kế hoạch cho các dịch vụ thay đổi hoặc mới) bao gồm "…f) định danh, đánh giá và quản lý rủi ro."

Điều 6.6.1: "d) đảm bảo rằng các đánh giá rủi ro thông tin được tiến hành trong khoảng thời gian kế hoạch".

Kết nối rủi ro

2.38

Việc trao đổi hoặc chia sẻ thông tin về rủi ro (2.34) giữa người quyết định và các bên khác.

[ISO/IEC Guide 73:2002]

Không được định nghĩa

Không được sử dụng trong ISO/IEC 20000-1 trong bất kỳ cách thức liên quan đến rủi ro nào.

Tiêu chí rủi ro

...

...

...

Các thuật ngữ cho việc tham chiếu bởi tầm quan trọng của rủi ro (2.34) được đánh giá.

[ISO/IEC Guide 73 2002]

Không được định nghĩa

Được sử dụng trong ISO/IEC 20000-1 ở cách thức tương tự trong việc sử dụng TCVN ISO/IEC 27001, ví dụ: ISO/IEC 20000-1, Điều 4.5.2 "Kế hoạch quản lý dịch vụ phải bao gồm một tham chiếu cho…j) sự tiếp cận để được thực hiện cho việc quản lý các rủi ro và tiêu chí chấp nhận các rủi ro".

Khái niệm tương tự cho cả hai tiêu chuẩn, nhưng có ý nghĩa lớn hơn đối với TCVN ISO/IEC 27001 hơn là ISO/IEC 20000.

Đánh giá rủi ro

2.40

Hoạt động để gán các giá trị cho khả năng và các hậu quả của một rủi ro.

[ISO/IEC Guide 73 2002]

...

...

...

Xem "đánh giá rủi ro".

Đánh giá rủi ro

2.41

Quy trình (2.31) so sánh đánh giá rủi ro (2.34) chống lại tiêu chí rủi ro sẵn có (2.39) để xác định ý nghĩa của rủi ro (2.34).

[ISO/IEC Guide 73:2002]

Không được định nghĩa.

Xem "đánh giá rủi ro".

Quản lý rủi ro

2.42

...

...

...

[ISO/IEC Guide 73:2002]

CHÚ THÍCH: Quản lý rủi ro chủ yếu bao gồm việc đánh giá rủi ro (2.37), xử lý rủi ro (2.43), chấp nhận rủi ro (2.35), kết nối rủi ro (2.38), giám sát rủi ro và đánh giá rủi ro.

Không được định nghĩa

Chủ yếu cùng nghĩa trong cả hai tiêu chuẩn.

Xử lý rủi ro

2.43

Quy trình (2.31) lựa chọn và thiết lập tính toán thay đổi rủi ro (2.34)

[ISO/IEC Guide 73:2002]

Không được định nghĩa

...

...

...

Dịch vụ

Không được định nghĩa.

3.26

Cách thức phân phối giá trị cho khách hàng bằng cách tạo điều kiện cho các kết quả mà khách hàng muốn đạt được.

CHÚ THÍCH 1: Dịch vụ nhìn chung là vô hình.

CHÚ THÍCH 2: Một dịch vụ có thể được phân phối cho bên cung cấp dịch vụ bởi một bên cung cấp, một nhóm nội bộ hoặc một khách hàng đúng vai trò như một bên cung cấp.

Không tương ứng trực tiếp.

Thành phần dịch vụ

Không được định nghĩa.

...

...

...

Đơn vị đơn lẻ của một dịch vụ mà khi kết hợp với các đơn vị khác phân phối một dịch vụ hoàn chỉnh.

VÍ DỤ: Phần cứng, phần mềm, các công cụ, ứng dụng, văn bản, thông tin, quy trình hoặc các dịch vụ hỗ trợ.

CHÚ THÍCH: Một thành phần dịch vụ có thể bao gồm một hoặc nhiều CI.

Không tương ứng trực tiếp.

Dịch vụ liên tục

Không được định nghĩa

3.28

Khả năng quản lý các rủi ro và sự kiện mà có các tác động nghiêm trọng trên một hoặc nhiều dịch vụ thay vì phân phối liên tục các dịch vụ ở các mức thỏa thuận.

Xem "lỗ hổng kỹ thuật" và "các rủi ro".

...

...

...

Dịch vụ liên tục được xem như là một tập phụ của kinh doanh liên tục.

Thỏa thuận mức dịch vụ (SLA)

Không được định nghĩa.

3.29

Thỏa thuận bằng văn bản giữa bên cung cấp dịch vụ và khách hàng mà đích danh các dịch vụ và các đối tượng dịch vụ.

CHÚ THÍCH 1: Một thỏa thuận mức dịch vụ có thể được thực hiện giữa bên cung cấp dịch vụ và một bên cung cấp, một nhóm nội bộ hoặc một khách hàng đóng vai trò như một bên cung cấp.

CHÚ THÍCH 2: Một thỏa thuận mức dịch vụ có thể bao gồm trong một hợp đồng hoặc loại khác của tài liệu thỏa thuận.

Thuật ngữ này không được sử dụng trong TCVN ISO/IEC 27001. Tuy nhiên, định nghĩa được chấp nhận khi đề cập đến mục đích kiểm soát A.10.2 khi các khía cạnh an ninh của việc phân phối và duy trì dịch vụ của một bên thứ ba liên quan, như kiểm soát A.10.2.1 (các mức thỏa thuận dịch vụ liên tục).

Quản lý dịch vụ

...

...

...

3.30

Tập các khả năng và quy trình để định hướng và kiểm soát các hoạt động và tài nguyên của bên cung cấp dịch vụ đối với việc thiết kế, chuyển giao, phân phối và nâng cấp các dịch vụ để đáp ứng đầy đủ các yêu cầu dịch vụ.

Mục đích kiểm soát A.10.2 của TCVN ISO/IEC 27001, liên quan đến thuật ngữ này.

Hệ thống quản lý dịch vụ (SMS)

Không được định nghĩa.

3.31

Hệ thống quản lý định hướng và kiểm soát các hành động quản lý dịch vụ của bên cung cấp dịch vụ.

CHÚ THÍCH 1: Một hệ thống quản lý là một tập của các thành phần liên tác hoặc liên hợp để thực hiện chính sách hoặc các mục tiêu để đạt được các mục tiêu đó.

CHÚ THÍCH 2: SMS bao gồm tất cả các chính sách quản lý dịch vụ, mục tiêu, kế hoạch, quy trình, văn bản và các tài nguyên yêu cầu cho việc thiết kế, chuyển giao, phân phối và nâng cấp các dịch vụ và đáp ứng đầy đủ các yêu cầu trong phần này của ISO/IEC 20000.

...

...

...

Xem "hệ thống quản lý an ninh thông tin" (ISMS).

Nhà cung cấp dịch vụ

Không được định nghĩa.

3.32

Tổ chức hay một phần của một tổ chức mà quản lý và phân phối một hoặc nhiều dịch vụ cho khách hàng.

CHÚ THÍCH: Một khách hàng có thể là nội bộ hoặc ngoại bộ đối với tổ chức của bên cung cấp dịch vụ.

Bên cung cấp dịch vụ trong ISO/IEC 20000-1, định nghĩa 3.32 là tổ chức mà nhằm đáp ứng đầy đủ các yêu cầu trong ISO/IEC 20000-1.

Thuật ngữ được sử dụng bởi nó đưa ra một điểm khác biệt giữa bên cung cấp dịch vụ và các nhóm khác, là các khách hàng, các bên khác (các bên cung cấp, các nhóm nội bộ, khách hàng, đóng vai trò như các bên cung cấp), các tổ chức ngoại bộ, các bên quan tâm hoặc các bên cung cấp sản phẩm hoặc dịch vụ hỗ trợ vận hành SMS.

Một bên cung cấp dịch vụ có thể là một phần của một tổ chức lớn hơn hoặc toàn bộ một tổ chức.

...

...

...

Không được định nghĩa.

3.33

Yêu cầu thông tin, lời khuyên, truy cập từ một dịch vụ hoặc một thay đổi tiền - chấp nhận.

Không tương ứng trực tiếp.

Yêu cầu dịch vụ

Không được định nghĩa

3.34

Các nhu cầu của khách hàng và người sử dụng dịch vụ, bao gồm các yêu cầu mức dịch vụ, và các nhu cầu của bên cung cấp dịch vụ.

Yêu cầu dịch vụ được định nghĩa trong ISO/IEC 20000-1, định nghĩa 3.34.

...

...

...

Nó không được dùng trong ISO/IEC 20000 như "các yêu cầu dịch vụ", mặc dù có một vài sử dụng của "các yêu cầu an ninh", yêu cầu pháp lý hoặc quy định.

Bên cung cấp

Không được định nghĩa.

3.35

Tổ chức hoặc một phần của một tổ chức mà là bên ngoài đối với tổ chức của bên cung cấp dịch vụ và tham gia trong một hợp đồng với bên cung cấp dịch vụ để góp phần vào việc thiết kế, chuyển giao, phân phối và nâng cấp một hoặc nhiều dịch vụ hoặc các quy trình.

CHÚ THÍCH: Các bên cung cấp bao gồm các bên cung cấp dẫn đầu nhưng không gồm các nhà thầu phụ của họ.

ISO/IEC 20000-1 bao gồm các tham chiếu và các yêu cầu cho việc quản lý của:

a) Các bên cung cấp,

b) Các bên cung cấp chính (quản lý các bên cung cấp hợp đồng phụ)

...

...

...

Tất cả các đóng góp cho tổng thể dịch vụ và được quản lý bởi bên cung cấp dịch vụ:

Quản lý dịch vụ bao gồm các bên cung cấp/ bên cung cấp chính (và thông qua các bên cung cấp chính, bên cung cấp hợp đồng phụ).

Quản lý mức dịch vụ bao trùm việc quản lý các nhóm nội bộ và các khách hàng, đóng vai trò như các bên cung cấp. TCVN ISO/IEC 27001 sử dụng thuật ngữ "bên cung cấp" chỉ một lần.

Báo cáo áp dụng

2.44

Báo cáo tài liệu mô tả các mục tiêu kiểm soát (2.11) và các kiểm soát (2.10) mà liên quan và được chấp nhận cho ISMS của tổ chức (2.33).

Không được định nghĩa hoặc được sử dụng.

ISO/IEC 20000-1, Điều 1.2 Ứng dụng không giống báo cáo áp dụng trong TCVN ISO/IEC 27001.

Đe dọa

...

...

...

Nguyên nhân tiềm ẩn của một rắc rối không mong đợi, dẫn đến việc nguy hại một hệ thống hoặc tổ chức.

Không được định nghĩa.

Trong ISO/IEC 20000-1, thuật ngữ "đe dọa" được sử dụng một lần, trong định nghĩa 3.12:

"Sự cố an ninh thông tin: đơn lẻ hoặc một chuỗi của các sự kiện an ninh thông tin không mong muốn hoặc mong đợi mà có một khả năng quan trọng hoặc ảnh hưởng đến vận hành kinh doanh và đe dọa an ninh thông tin".

Chuyển đổi

Không được định nghĩa.

3.37

Các hành động liên quan trong việc di chuyển một dịch vụ thay đổi hoặc mới tới hoặc từ môi trường sống.

Một liên kết tồn tại trong việc chuyển đổi, được sử dụng trong ISO/IEC 20000-1, Điều 5 và cách thức trong một vài thay đổi được kiểm soát dựa trên TCVN ISO/IEC 27001. Các quy trình kiểm soát, được miêu tả trong ISO/IEC 20000-1, Điều 5 và 9, cũng được liên kết chặt chẽ trong định nghĩa này TCVN ISO/IEC 27001 quản lý việc quản lý thay đổi trong các điều sau:

...

...

...

A.10.2.3 Quản lý các thay đổi các dịch vụ bên thứ ba.

Lỗ hổng an ninh

2.46

Điểm yếu của một tài sản (2.3) hoặc kiểm soát (2.10) mà có thể bị khai thác bởi một đe dọa (2.45).

Không được định nghĩa hoặc được sử dụng.

Không tương ứng trực tiếp.

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] ISO 9000 Quality management systems - Fundamentals and vocabulary

...

...

...

[3] ISO/IEC TS 15504-8 Information technology - Service management - Part 8: Process assessment mode for service management (đang phát triển)

[4] TCVN ISO 19011 : 2003 Hệ thống quản lý chất lượng - Hướng dẫn đánh giá hệ thống quản lý chất lượng, môi trường (ISO 19011 Quality management systems - Guidelines for quality and/or environmental management systems auditing)

[5] TCVN 8695-2:2011 Công nghệ thông tin - Quản lý dịch vụ - Phần 2: Quy tắc thực hành (ISO/IEC 20000-2 Information technology - Service management - Part 2: Guidance on the application of service management systems)

[6] ISO/IEC 20000-3 Information technology - Service management - Part 3: Guidance on the application of scope definition and applicability for ISO/IEC 20000-1

[7] ISO/IEC 20000-4 Information technology - Service management - Part 4: Process referance model for service management

[8] ISO/IEC 20000-5 Information technology - Service management - Part 5: Exemplar implementation plan for ISO/IEC 20000-1

[9] ISO/IEC TR 900062 Information technology - Guidelines for the application of ISO 9001:2008 to IT service management and it intergration with ISO/IEC 20000-1:2011

[10] TCVN ISO/IEC 27002 Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an toàn thông tin (ISO/IEC 27002 Information technology - Security techniques - Information security management systems - Code of practice for information security control) (đang soát xét)

[11] ISO/IEC 27003 Information technology - Security techniques - Information security management systems - Information security management system implementation guidance

...

...

...

[13] ISO/IEC 27005 Information technology - Security techniques - Information security management systems - Information security risk management

[14] ISO/IEC 27006 Information technology - Security techniques - Information security management systems - Requirements for bodies providing audiit and certification of information security management systems

[15] ISO/IEC 27007 Information technology - Security techniques - Information security management systems - Guidelines for information security management system auditing

[16] ISO/IEC TR 27008 Information technology - Security techniques - Information security management systems - Guidelines for auditors on information security controls

[17] ISO/IEC 27010 Information technology - Security techniques - Information security management systems - Information security management system for inter-sector and inter-organizational communications.

[18] ISO/IEC 27014 Information technology - Security techniques - Information security management systems - Governance of information security

[19] ISO/IEC 31000 Risk management - Principles and Guidelines on Implementation

MỤC LỤC

...

...

...

Lời giới thiệu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ, thuật ngữ viết tắt và định nghĩa

4 Tổng quan về TCVN ISO/IEC 27001 và ISO/IEC 20000-1

5 Cách tiếp cận cho việc tích hợp triển khai

6 Cân nhắc cho việc tích hợp triển khai

Phụ lục A (tham khảo) Tương ứng giữa ISO/IEC 27001:2009 và ISO/IEC 20000-1:2011

Phụ lục B (tham khảo) So sánh thuật ngữ của ISO/IEC 27000:2009 và ISO/IEC 20000-1:2011

...

...

...

1 Hiện nay, trong hệ thống tiêu chuẩn quốc gia đã có TCVN 8695:2011 Công nghệ thông tin - Quản lý dịch vụ - Phần 1: Các yêu cầu (ISO/IEC 20000-1:2005 Information technology - Service management - Specification)

2 Đã được xuất bản.