PHỤ LỤC B

(Tham khảo)

Thuật ngữ và chủ sở hữu thuật ngữ

B.1. Chủ sở hữu thuật ngữ

Chủ sở hữu thuật ngữ trong họ tiêu chuẩn ISO/IEC 27000 là tiêu chuẩn đã khởi tạo định nghĩa thuật ngữ. Chủ sở hữu thuật ngữ cũng có trách nhiệm duy trì định nghĩa, nghĩa là:

- cung cấp;

- soát xét;

- cập nhật, và

...

...

...

CHÚ THÍCH 1: TCVN ISO/IEC 27001 không bao giờ được xác định như là chủ sở hữu thuật ngữ của chính nó.

CHÚ THÍCH 2: TCVN ISO/IEC 27001 và ISO/IEC 27006 là các tiêu chuẩn quy định (nghĩa là: chứa đựng các yêu cầu) luôn chiếm ưu thế như là chủ sở hữu thuật ngữ tương ứng.

B.2. Thuật ngữ được sắp xếp theo tiêu chuẩn

B.2.1. TCVN ISO/IEC 27001

Đánh giá (Audit)

2.5

Phép đo (Measurement)

2.48

Tính sẵn sàng (Availability)

...

...

...

Giám sát (Monitoring)

2.52

Năng lực (Competence)

2.11

Điểm không phù hợp (Nonconformity)

2.53

Tính bí mật (Confidentiality)

2.12

Mục tiêu (Objective)

...

...

...

Sự phù hợp (Conformity)

2.13

Tổ chức (Organization)

2.57

Cải thiện liên tục (Continual improvement)

2.15

Thuê ngoài (Outsource)

2.58

Kiểm soát (Control)

...

...

...

Hiệu năng (performance)

2.59

Khắc phục (Corrective)

2.18

Chính sách (Policy)

2.60

Hành động khắc phục (Corrective action)

2.19

Quy trình (Process)

...

...

...

Thông tin được lập tài liệu (documented information)

2.23

Yêu cầu (Requirement)

2.63

Hiệu quả (Effectiveness)

2.24

Soát xét (Review)

2.65

An toàn thông tin (lnformation security)

...

...

...

Rủi ro (Risk)

2.68

Tính toàn vẹn (Integrity)

2.40

Chủ thể rủi ro (Risk owner)

2.78

Bên quan tâm (Interested party)

2.41

Ban quản lý cấp cao (Top management)

...

...

...

Hệ thống quản lý (Management system)

2.46

B.2.2. TCVN ISO/IE 27002

Biện pháp kiểm soát truy cập (Access control)

2.1

Sự kiện an toàn thông tin (lnformation security event)

2.35

...

...

...

2.3

Sự cố an toàn thông tin (Information security incident)

2.36

Xác thực (Authentication)

2.7

Quản lý sự cố an toàn thông tin (Information security incident management)

2.37

Tính xác thực (Authenticity)

2.8

...

...

...

2.39

Mục tiêu của biện pháp kiểm soát (Control objective)

2.17

Chống chối bỏ (Non-repudiation)

2.54

Các phương tiện xử lý thông tin (Information processing facilities)

2.32

Tính tin cậy (Reliability)

2.62

...

...

...

2.34

B.2.3. TCVN 10541

Dự án ISMS (ISMS project)

2.43

B.2.4. TCVN 10542

...

...

...

2.2

Hàm đo lường (Measurement function)

2.49

Thuộc tính (Attribute)

2.4

Phương pháp đo lường (Measurement method)

2.50

Số đo cơ bản (Base measure)

2.10

...

...

...

2.51

Dữ liệu (Data)

2.20

Đối tượng (Object)

2.55

Tiêu chí quyết định (Decision criteria)

2.21

Thang đo (Scale)

2.80

...

...

...

2.22

Đơn vị đo lường (Unit of measurement)

2.86

Chỉ báo (Indicator)

2.30

Kiểm tra tính hợp lệ (Validation)

2.87

Nhu cầu thông tin (Information need)

2.31

...

...

...

2.88

Số đo (Measure)

2.47

B.2.5. TCVN 10295

Hậu quả (Consequence)

2.14

Tư vấn và truyền thông rủi ro (Risk communication and consultation)

...

...

...

Sự kiện (Event)

2.25

Tiêu chí rủi ro (Risk criteria)

2.73

Ngữ cảnh bên ngoài (External context)

2.27

Đánh giá rủi ro (Risk evaluation)

2.74

Ngữ cảnh bên trong (Internal context)

...

...

...

Nhận biết rủi ro (Risk identification)

2.75

Mức rủi ro (Level of risk)

2.44

Quản lý rủi ro (Risk management)

2.76

Khả năng xảy ra (Likelihood)

2.45

Quy trình quản lý rủi ro (Risk management process)

...

...

...

Rủi ro tồn đọng (Residual risk)

2.64

Xử lý rủi ro (Risk treatment)

2.79

Chấp nhận rủi ro (Risk acceptance)

2.69

Mối đe dọa (Threat)

2.83

Phân tích rủi ro (Risk analysis)

...

...

...

Điểm yếu (Vulnerability)

2.89

Đánh giá rủi ro (Risk assessment)

2.71

B.2.6. ISO/IEC 27006

Chứng nhận (Certificate)

...

...

...

Tổ chức chứng nhận (Certification body)

Dấu (Mark)

Tài liệu chứng nhận (Certification document)

Tổ chức (Organization)

...

...

...

Phạm vi đánh giá (Audit scope)

2.6

B.2.8. ISO/IEC 27008

Đối tượng soát xét (Review objed)

2.66

Chuẩn thực thi an toàn (Security implementation standard)

2.81

...

...

...

2.67

B.2.9. TCVN 10543

Cộng đồng chia sẻ thông tin (Information sharing community)

2.38

Thực thể thông tin truyền thông tin cậy (Trusted information communication entity)

2.85

B.2.10. ISO/IEC 27011

...

...

...

Phương tiện viễn thông
(Telecommunication facilities)

Trung tâm truyền thông
(Communication centre)

Tổ chức viễn thông
(Telecommunication organizations)

Truyền thông cần thiết
(Essential communications)

Bản ghi viễn thông (Telecommunication records)

Chống tiết lộ trong truyền thông (Non- disclosure of communications)

Dịch vụ viễn thông (Telecommunications services)

Thông tin cá nhân (Personal information)

Khách hàng dịch vụ viễn thông
(Telecommunications customer)

...

...

...

Người dùng dịch vụ viễn thông (Telecommunications service user)

Ứng dụng viễn thông
(Telecommunications applications)

Phương tiện đầu cuối (Terminal facilities)

Nghiệp vụ viễn thông
(Telecommunications business)

Người dùng (User)

Phòng thiết bị viễn thông
(Telecommunications equipment room)

B.2.11. ISO/IEC 27014

Bộ phận quản lý thực thi (Exucutive management)

...

...

...

Cơ quan điều hành (Governing body)

2.29

Quản trị an toàn thông tin
(Governance of information security)

2.28

Bên liên quan (Stakeholder)

2.82

B.2.12. ISO/IEC 27015

Các dịch vụ tài chính (Financial services)

B.2.13. ISO/IEC 27016

...

...

...

Tổn thất (Loss)

Giá trị trực tiếp (Direct value)

Giá trị thị trường (Market value)

Phép so sánh kinh tế (Economic comparison)

Giá trị hiện tại thuần (Net present value)

Nhân tố kinh tế (Economic factor)

Lợi nhuận phi kinh tế (Non economic benefit)

Biện minh kinh tế (Economic justification)

Giá trị hiện tại (Present value)

...

...

...

Chi phí cơ hội (Opportunity cost)

Kinh tế học (Economics)

Giá trị cơ hội (Opportunity value)

Giá trị mong đợi (Expected value)

Các yêu cầu quản lý (Regulatory requirements)

Giá trị mở rộng (Extended value)

Tỉ lệ hoàn vốn đầu tư (Return on investment)

Giá trị gián tiếp (Indirect value)

Giá trị xã hội (Societal value)

...

...

...

Giá trị (Value)

Quản lý an toàn thông tin IMS (Information security management IMS)

Quản trị rủi ro (Value-at-risk)

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] TCVN ISO/IEC 17021:2011, Đánh giá sự phù hợp - Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý.

[2] ISO 9000:2005, Quality management systems - Fundamentals and vocabulary (Các hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng).

[3] TCVN ISO 19011:2013, Hướng dẫn đánh giá hệ thống quản lý.

[4] TCVN ISO/IEC 27001, Công nghệ thông tin - Hệ thống quản lý an toàn thông tin - Các yêu cầu.

...

...

...

[6] TCVN 10541:2014, Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an toàn thông tin.

[7] TCVN 10542:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý an toàn thông tin - Đo lường.

[8] TCVN 10295:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý rủi ro an toàn thông tin.

[9] ISO/IEC 27006:2011, Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems. (Công nghệ thông tin - Các kỹ thuật an toàn - Các yêu cầu đối với cơ quan đánh giá và chứng nhận hệ thống quản lý an toàn thông tin).

[10] ISO/IEC 27007:2011, Information technology - Security techniques - Guidelines for information security management systems auditing (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn đánh giá hệ thống quản lý an toàn thông tin).

[11] ISO/IEC TR 27008:2011, Information technology - Security techniques Guidelines for auditors on information security controls (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn cho đánh giá viên về biện pháp kiểm soát hệ thống quản lý an toàn thông tin).

[12] TCVN 10543:2014, Công nghệ thông tin - Kỹ thuật an toàn - Quản lý an toàn trao đổi thông tin liên tổ chức, liên ngành.

[13] ISO/IEC 27011:2008, Information technology - Security techniques - Information security management guidelines for telecommunications organisations based on ISO/IEC 27002 (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông dựa trên TCVN ISO 27002).

[14] TCVN 9965:2013, Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn tích hợp triển khai TCVN ISO/IEC 27001 và ISO/IEC 20000-1.

...

...

...

[16] ISO/IEC 27015, lnformation technology - Security techniques - lnformation security management guidelines for financial services (Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an toàn thông tin cho các dịch vụ tài chính)

[17] ISO/IEC TR 27016, Information technology - Security techniques - Information security management - Organizational economics (Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an toàn thông tin - Kinh tế của tổ chức).

[18] ISO 27799:2008, Health informatics - lnformation security management in health using ISO/IEC 27002 (Tin học y tế - Quản lý an toàn thông tin trong y tế sử dụng ISO/IEC 27002).

[19] TCVN 9788:2013, Quản lý rủi ro - Từ vựng.

[20] ISO/IEC 15939:2007, Systems and software engineering - Measurement process (Hệ thống và kỹ nghệ phần mềm - quá trình đo).

[21] ISO/IEC 20000-1, Information technology - Service management - Part 1: Service management system requirements (Công nghệ thông tin - Quản lý dịch vụ - Phần 1: Các yêu cầu đối với hệ thống quản lý dịch vụ).

MỤC LỤC

Lời nói đầu

...

...

...

2. Thuật ngữ và định nghĩa

3. Hệ thống quản lý an toàn thông tin

3.1. Giới thiệu

3.2. ISMS là gì ?

3.2.1. Tổng quan và nguyên tắc

3.2.2. Thông tin

3.2.3. An toàn thông tin

3.2.4. Quản lý

3.2.5. Hệ thống quản lý

...

...

...

3.4. Tại sao ISMS lại quan trọng

3.5. Thiết lập, giám sát, duy trì và cải thiện một hệ thống ISMS

3.5.1. Tổng quan

3.5.2. Xác định các yêu cầu an toàn thông tin

3.5.3. Đánh giá các rủi ro an toàn thông tin

3.5.4. Xử lý các rủi ro an toàn thông tin

3.5.5. Chọn lựa và triển khai các biện pháp kiểm soát

3.5.6. Giám sát, duy trì và cải thiện hiệu quả của hệ thống ISMS

3.5.7. Cải thiện liên tục

...

...

...

3.7. Lợi ích của họ tiêu chuẩn ISMS

4. Hệ thống tiêu chuẩn ISMS

4.1. Thông tin chung

4.2. Tiêu chuẩn mô tả về tổng quan và từ vựng

4.2.1. TCVN 11238 (ISO/IEC 27000)

4.3. Các tiêu chuẩn quy định các yêu cầu cụ thể

4.3.1. TCVN ISO/IEC 27001

4.3.2. ISO/IEC 27006

4.4. Các tiêu chuẩn mô tả hướng dẫn chung

...

...

...

4.4.2. TCVN 10541

4.4.3. TCVN 10542

4.4.4. TCVN 10295

4.4.5. ISO/IEC 27007

4.4.6. ISO/IEC TR 27008

4.4.7. TCVN 9965

4.4.8. ISO/IEC 27014

4.4.9. ISO/IEC TR 27016

4.5. Các tiêu chuẩn mô tả hướng dẫn theo lĩnh vực cụ thể

...

...

...

4.5.2. ISO/IEC 27011

4.5.3. ISO/IEC TR 27015

4.5.4. ISO/IEC 27799

Phụ lục A (Tham khảo) Các từ ngữ diễn tả quy định

Phụ lục B (Tham khảo) Thuật ngữ và chủ sở hữu thuật ngữ

B.1. Chủ sở hữu thuật ngữ

B.2. Thuật ngữ được sắp xếp theo tiêu chuẩn

Thư mục tài liệu tham khảo

1 Trong khi biên soạn tiêu chuẩn này, các tiêu chuẩn ISO/IEC 27007 và 27008 đang được dự thảo

Tiêu chuẩn quốc gia TCVN 11238:2015 (ISO/IEC 27000:2014) về Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống an toàn thông tin - Mô hình tham chiếu cơ bản