Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào?

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào? Thắc mắc của anh H.M ở Khánh Hòa.

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào?

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 hoàn toàn tương đương với ISO/IEC 27002:2013 cùng các bản sửa chữa ISO/IEC 27002:2013/Cor.1:2014 và ISO/IEC 27002:2013/Cor.2:2015.

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 do Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 đưa ra hướng dẫn cho các tiêu chuẩn an toàn thông tin và thực hành quản lý an toàn thông tin bao gồm việc lựa chọn, thực hiện và quản lý các kiểm soát có tính đến môi trường rủi ro an toàn thông tin của các tổ chức.

Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020 được thiết kế để được sử dụng bởi các tổ chức có ý định:

- Chọn lựa các kiểm soát trong quá trình thực hiện một hệ thống quản lý an toàn thông tin dựa trên TCVN ISO/IEC 27001

- Thực hiện các kiểm soát an toàn thông tin được chấp nhận chung;

- Phát triển các hướng dẫn quản lý an toàn thông tin của riêng mình.

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào?

Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2020 về công nghệ thông tin, các kỹ thuật an toàn, quy tắc thực hành quản lý an toàn thông tin thế nào? (Hình từ internet)

Vai trò và trách nhiệm đảm bảo an toàn thông tin như thế nào?

Căn cứ tại tiết 6.1.1 tiểu mục 6.1 Mục 6 Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020, quy định vai trò và trách nhiệm đảm bảo an toàn thông tin gồm có như sau:

- Kiểm soát:

Tất cả các trách nhiệm đảm bảo an toàn thông tin cần được xác định một cách rõ ràng.

- Hướng dẫn thi hành:

+ Việc phân bổ các trách nhiệm về an toàn thông tin cần phù hợp với chính sách an toàn thông tin (xem 5.1.1).Các trách nhiệm về bảo vệ tài sản cá nhân và thực hiện các quy trình an toàn cụ thể cần được xác định rõ ràng.

Nếu cần thiết thì trách nhiệm này cần được bổ sung bằng hướng dẫn chi tiết hơn về các vị trí công việc cụ thể và các phương tiện xử lý thông tin.

Các trách nhiệm trong nội bộ về bảo vệ tài sản và thực hiện các quy trình an toàn đặc biệt, ví dụ lập kế hoạch đảm bảo tính liên tục về nghiệp vụ, cũng cần được xác định rõ.

+ Những cá nhân đã được phân bổ trách nhiệm về an toàn thông tin có thể ủy quyền các nhiệm vụ an toàn cho những người khác thực hiện. Tuy nhiên, họ vẫn phải duy trì trách nhiệm và đảm bảo rằng các nhiệm vụ đã được ủy quyền đều được thực hiện đúng cách thức.

- Phạm vi trách nhiệm của các cá nhân có trách nhiệm cần được quy định rõ ràng, cần quan tâm đến các vấn đề sau:

+ Các tài sản và các quy trình an toàn đối với từng hệ thống cụ thể cần được xác định và định danh rõ ràng;

+ Các thực thể chịu trách nhiệm cho mỗi quy trình an toàn tài sản và thông tin cần được phân công và cần ghi chép lại trách nhiệm một cách chi tiết;

+ Các mức cấp phép cần được xác định rõ và lập tài liệu;

+ Để có thể thực hiện đầy đủ trách nhiệm trong lĩnh vực an toàn thông tin, các cá nhân cần có năng lực trong lĩnh vực này và được cập nhật sự phát triển.

+ Cần xác định và ghi chép lại việc điều phối và giám sát các khía cạnh an toàn các mối quan hệ với nhà cung cấp.

- Thông tin khác:

Trong nhiều tổ chức, một người quản lý an toàn thông tin sẽ được bổ nhiệm nhằm thực hiện trách nhiệm chung trong việc phát triển, triển khai công tác an toàn và hỗ trợ việc tìm ra các biện pháp kiểm soát phù hợp.

Tuy nhiên, trách nhiệm trong việc tìm ra và triển khai các biện pháp kiểm soát sẽ thường thuộc về những người quản lý cụ thể. Một thực tế thường thấy là phải chỉ định ra người sở hữu đối với từng tài sản, người này có trách nhiệm đối với việc bảo vệ tài sản hàng ngày.

An toàn thông tin trong quản lý dự án ra sao?

Căn cứ tại tiết 6.1.5 tiểu mục 6.1 Mục 6 Tiêu chuẩn Quốc gia TCVN ISO/IEC 27002:2020, quy định an toàn thông tin trong quản lý dự án như sau:

- Kiểm soát:

Trong quản lý dự án cần đề cập đến an toàn thông tin, với bất cứ loại dự án nào.

- Hướng dẫn thi hành:

- An toàn thông tin cần được tích hợp vào phương thức quản lý dự án của tổ chức để đảm bảo rằng độ rủi ro an toàn thông tin được xác định và giải quyết như là một phần của dự án.

Từng dự án có những đặc điểm riêng nhưng nhìn chung điều này áp dụng cho hầu hết các dự án, ví dụ cốt lõi của một dự án là quá trình kinh doanh, công nghệ thông tin, quản lý cơ sở và các quy trình hỗ trợ khác.

Phương thức quản lý dự án sử dụng cần quan tâm đến các yêu cầu sau:

+ Các đối tượng cần đảm bảo an toàn thông tin bao gồm các đối tượng trong dự án;

+ Cần tiến hành đánh giá rủi ro an toàn thông tin ở giai đoạn đầu của dự án để xác định kiểm soát cần thiết;

+ Các phương thức áp dụng trong dự án cần được an toàn thông tin trong tất cả các giai đoạn.

- Vấn đề an toàn thông tin cần được soát xét và giải quyết thường xuyên trong tất cả các dự án. Vai trò, trách nhiệm đối với an toàn thông tin cần phải được xác định và phân bổ trong các phương thức quản lý dự án.

Công nghệ thông tin TẢI TRỌN BỘ CÁC QUY ĐỊNH LIÊN QUAN ĐẾN CÔNG NGHỆ THÔNG TIN
Căn cứ pháp lý
MỚI NHẤT
Thư viện nhà đất
Điều kiện để triển khai ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước
Pháp luật
Trách nhiệm quản lý nhà nước về công nghệ thông tin theo quy định pháp luật công nghệ thông tin?
Pháp luật
Đầu tư mạo hiểm trong lĩnh vực công nghệ thông tin là gì? Có khuyến khích nhà đầu tư tham gia đầu tư mạo hiểm trong lĩnh vực này?
Pháp luật
Số hóa là gì? Quyền số hóa thông tin của tổ chức, cá nhân tham gia phát triển công nghệ thông tin?
Pháp luật
Khoảng cách số là gì? Trách nhiệm tổ chức thực hiện các chương trình, dự án thu hẹp khoảng cách số gồm những gì?
Pháp luật
Phần cứng là gì? Công nghiệp phần cứng là công nghiệp sản xuất sản phẩm nào? Hoạt động công nghiệp phần cứng?
Pháp luật
Mã nguồn là gì? Sao chép và sử dụng mã nguồn phần mềm phải lưu ý điều gì theo quy định pháp luật?
Pháp luật
Thiết bị số là gì? Cho ví dụ về thiết bị số? Không được cài đặt phần mềm gây hại vào thiết bị số của người khác để thực hiện hành vi nào?
Pháp luật
Ứng dụng công nghệ thông tin là gì? Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng công nghệ thông tin?
Pháp luật
Phát triển công nghệ thông tin là gì? Trách nhiệm của tổ chức, cá nhân tham gia phát triển công nghệ thông tin?
Pháp luật
Áp dụng Luật công nghệ thông tin khi có sự khác nhau giữa quy định của Luật công nghệ thông tin với quy định của luật khác?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Công nghệ thông tin
Nguyễn Văn Phước Độ Lưu bài viết
2,205 lượt xem
TÌM KIẾM LIÊN QUAN
Công nghệ thông tin

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Công nghệ thông tin

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào