BỘ THÔNG TIN VÀ TRUYỀN THÔNG

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

VIỆN KHOA HỌC KỸ THUẬT BƯU ĐIỆN
------------------------

THUYẾT MINH

TIÊU CHUẨN QUỐC GIA

“CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN -
HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN - CÁC YÊU CẦU”

1
HÀ NỘI, 2017

2
 MỤC LỤC
1 Tên gọi và ký hiệu quy chuẩn......................................................................4
1.1 Tên tiêu chuẩn.............................................................................................4
1.2 Ký hiệu của QCVN......................................................................................4
2 Đặt vấn đề....................................................................................................4
2.1 Nghiên cứu khảo sát tình hình trong và ngoài nước về việc áp dụng tiêu
chuẩn ISO/IEC 27001................................................................................................4
2.1.1 Tình hình áp dụng tiêu chuẩn ISO27001 tại Việt Nam........................4
2.1.2 Tình hình áp dụng ISO27001 trên thế giới...........................................6
2.2 Nghiên cứu tình hình cập nhật của ISO/IEC 27001 để lựa chọn làm tài liệu
tham chiếu.................................................................................................................6
3 Rà soát và so sánh tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC
27001:2013..................................................................................................6
3.1 Những lợi ích chính khi cập nhật lên phiên bản mới ISO/IEC 27001:2013. 6
3.2 Những cập nhật mới.....................................................................................6
3.3 Các khái niệm mới đã được giới thiệu (hoặc cập nhật) như sau:..................6
3.4 So sánh giữa ISO/IEC 27001:2005 và ISO/IEC 27001:2013.......................6
3.4.1 So sánh sự khác nhau theo từng Điều khoản........................................6
1. Khoản 0: Giới thiệu.....................................................................................6
2. Điều 1: Phạm vi...........................................................................................6
3. Điều 2: Tài liệu viện dẫn..............................................................................6
4. Điều 3: Thuật ngữ và chữ viết tắt.................................................................6
5. Điều 4: Bối cảnh của tổ chức.......................................................................6
6. Điều 5: Ban lãnh đạo...................................................................................6
7. Điều 6: Lập kế hoạch...................................................................................6
8. Điều 7. Hỗ trợ..............................................................................................6
9. Điều 8. Vận hành.........................................................................................6
10. Điều 9. Đánh giá hiệu năng..........................................................................6
11. Điều 10. Cải tiến..........................................................................................6
3.4.2 So sánh sự khác nhau trong phần Biện pháp kiểm soát........................6
4 Rà soát cập nhật tiêu chuẩn quốc gia theo phiên bản ISO/IEC 27001:2013.
.....................................................................................................................6
4.1 Lý do và mục đích cập nhật tiêu chuẩn........................................................6

3
4.2 Dự thảo tiêu chuẩn.......................................................................................6
1 Phương pháp xây dựng tiêu chuẩn..........................................................................6
2 Cấu trúc tiêu chuẩn.................................................................................................6
3 Đối chiếu tài nội dung tiêu chuẩn và tài liệu tham khảo.........................................6

4
1 Tên gọi và ký hiệu quy chuẩn
1.1 Tên tiêu chuẩn

Tên tiêu chuẩn: “Công nghệ thống tin – Các kỹ thuật an toàn - Hệ thống quản lý
an toàn thông tin - Các yêu cầu".

1.2 Ký hiệu của QCVN

TCVN XXXX:YYYY/BTTTT

2 Đặt vấn đề

2.1 Nghiên cứu khảo sát tình hình trong và ngoài nước về việc áp dụng tiêu
chuẩn ISO/IEC 27001.

2.1.1 Tình hình áp dụng tiêu chuẩn ISO27001 tại Việt Nam
Nhận thức được tầm quan trọng trong việc áp dụng ISO 27001, đặc biệt
là đối với các nước đang phát triển – nơi trình độ ứng dụng CNTT chưa cao, phải
thường xuyên đối mặt với nhiều nguy cơ bị thất thoát thông tin, các doanh nghiệp Việt
Nam cũng đã có những công ty tham gia thực hiện Hệ thống quản lý bảo mật thông tin
ISO 27001. Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation)
đã trở thành đơn vị đầu tiên có được chứng nhận ISO 27001. Đến tháng 7/2013 ở Việt
Nam có 5 đơn vị (CSC Vietnam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation
Vietnam…) đã đạt chứng nhận ISO 27001 và hơn 10 đơn vị (HPT Soft, VietUnion,
Quantic…) đang trong quá trình triển khai ứng dụng tiêu chuẩn này. Đến hết năm
2012, Việt Nam đã có 249 chứng chỉ ISO 27001. Cũng qua số liệu này, chúng ta có thể
thấy số đơn vị đạt chứng nhận ISO 27001 tại Việt Nam khá khiêm tốn so với Nhật Bản
(53290 chứng nhận), Trung Quốc (8294 chứng nhận), Malaixia (759 chứng nhận). Một
trong những nguyên nhân của tình trạng này là chi phí để đạt chứng nhận ISO 27001
khá cao, bao gồm các chi phí về tư vấn, cấp chứng nhận và đặc biệt là chi phí doanh
nghiệp phải bỏ ra để thực hiện các biện pháp kiểm soát rủi ro.
Tuy nhiên, nhận thức được tầm quan trọng của bảo mật thông tin, số lượng các doanh
nghiệp thực hiện và được cấp chứng chỉ về ISO 27001 tại Việt Nam tăng hàng năm.
Năm 2014, Việt Nam được cấp 94 chứng chỉ ISO 27001, nhiều hơn so với năm 2013
và 2012 lần lượt là 55 và 50 chứng chỉ.

5
So sánh với các nước trong khu vực Đông Nam Á đã áp dụng tiêu chuẩn ISO 22000,
tổng số chứng chỉ đã được cấp Việt Nam đứng thứ 5, sau Malaysia, Thái Lan, Philipin,
Singapo. Như vậy, tại khu vực Đông Nam Á, In đô nê xi a chính là quốc gia đi đầu
trong việc áp dụng ISO 27001.
Nhu cầu và mong muốn triển khai và tuân thủ các yêu cầu về các biện pháp kiểm soát
an toàn thông tin và mong muốn có chính nhận ISO/IEC 27001 ngày càng tăng nhanh.
Khi các đơn vị có nhu cầu và mong muốn được triển khai, tuân thủ và cấp chứng nhận
theo ISO/IEC 27001 tăng thì nhu cầu sử dụng, áp dụng các hướng dẫn theo các biện
pháp đảm bảo an toàn thông tin của các thuộc bộ tiêu chuẩn 27000 nói chung và tiêu
chuẩn ISO/IEC 27001 nói riêng ngày càng lớn.
ISO 27001:2013 về quản lý an toàn thông tin là một bước nâng cấp so với tiêu chuẩn
ISO 27001:2005, được các tổ chức ngân hàng, tài chính rất quan tâm bởi đánh giá toàn
diện dựa trên việc quản lý rủi ro đe dọa tài sản thông tin, ước tính được mức độ ảnh
hưởng và triển khai các biện pháp nhằm đảm bảo tính bảo mật, toàn vẹn, sẵn sàng cho
tài sản thông tin của tổ chức, nhà đầu tư, khách hàng… cũng như duy trì tính liên tục
trong các hoạt động kinh doanh.
Các đơn vị đã được cấp chứng chỉ an toàn thông tin theo tiêu chuẩn ISO
27001:2013 tại Việt Nam cho tới thời điểm này.
Công ty Hệ thống Thông tin FPT (FPT IS) là một trong những đơn vị đầu tiên
tại Việt Nam đạt chứng chỉ ISO 27001 và cũng là đơn vị tư vấn, triển khai Hệ thống
ISMS cho nhiều doanh nghiệp, tổ chức. FPT IS đề xuất các tổ chức xây dựng ISMS
theo các bước dưới đây để đáp ứng các yêu cầu của tiêu chuẩn ISO 27001: 2013.

6
 Ngày 02/7/2015 - Trung tâm Internet Việt Nam (VNNIC) tổ chức Lễ trao chứng
nhận hệ thống quản lý an toàn bảo mật thông tin theo tiêu chuẩn ISO/IEC 27001:2013
trong hoạt động quản lý vận hành trung tâm dữ liệu IDC và hệ thống DNS quốc gia
”.vn” do Tổ chức D.A.S - tổ chức chứng nhận quốc tế hàng đầu của Vương quốc Anh
công nhận ban hành.
Ngày 7/7/2015, tại trụ sở chính 57 Lý Thường Kiệt, Hà Nội, TPBank đã tổ chức
lễ đón nhận Chứng nhận Hệ thống quản lý An toàn thông tin theo tiêu chuẩn ISO/IEC
27001:2013 từ TUVRheiland - một tổ chức quốc tế uy tín chuyên đánh giá cấp chứng
chỉ ISO cho nhiều tổ chức trong và ngoài nước.
Ngày 20/11/2015, tại Hà Nội, Ngân hàng TMCP Sài Gòn – Hà Nội (SHB ) đã
tổ chức Lễ đón nhận Chứng chỉ Hệ thống quản lý An toàn thông tin (ISMS) theo tiêu
chuẩn ISO/IEC-27001:2013 từ đơn vị kiểm toán độc lập TÜV NORD - một tổ chức
quốc tế uy tín chuyên đánh giá cấp chứng chỉ ISO cho các tổ chức trong và ngoài
nước.
Năm 2013, Tập đoàn Bảo Việt là một trong những đơn vị trong lĩnh vực tài
chính bảo hiểm tiên phong đạt được chứng nhận Hệ thống Quản lý an toàn thông tin
theo tiêu chuẩn ISO/IEC 27001:2005. ISO/IEC 27001 là bộ tiêu chuẩn quốc tế về quản
lý an toàn thông tin được biên soạn bởi tổ chức quốc tế về tiêu chuẩn hóa (ISO -
International organization for standardization) và Hội đồng Điện tử quốc tế (IEC -
International Electrotechnical Commission). Việc triển khai, áp dụng và tuân thủ hệ
thống quản lý an toàn thông tin là điều kiện tiên quyết để thi hành và lấy chứng nhận
toàn diện. Năm 2015, theo yêu cầu của tổ chức công nhận quốc tế, các đơn vị đã đạt
được chứng nhận hệ thống quản lý an toàn thông tin theo tiêu chuẩn quốc tế ISO
27001:2005 cần thực hiện chuyển đổi sang phiên bản tiêu chuẩn mới ISO/IEC
27001:2013. Sau 4 tháng triển khai nâng cấp, Tập đoàn Bảo Việt đã chuyển đổi thành
công lên phiên bản Hệ thống Quản lý an toàn thông tin ISO/IEC 27001:2013.
Tháng 07/2015, công ty CP Tin học Lạc Việt vinh dự được Tổ chức chứng nhận
quốc tế TÜV Rheinland cấp chứng chỉ ISO/IEC 27001: 2013 về hệ thống quản lý an
toàn thông tin (ATTT) của công ty theo tiêu chuẩn quốc tế. Sau thời gian đánh giá tại
trụ sở Lạc Việt số 23 Nguyễn Thị Huỳnh, P.8, Q. Phú Nhuận, TP.HCM, Lạc Việt đã
chuyển đổi thành công phiên bản Hệ thống quản lý ATTT theo tiêu chuẩn ISO/IEC
27001:2013. Đây là giai đoạn tái chứng nhận chứng chỉ ATTT lần 3 của Lạc Việt.
Trước đó, Lạc Việt đã từng được cấp chứng nhận Quản lý chất lượng ISO 9001:2005
lần đầu vào tháng 11/2008, và lần 2 vào tháng 5/2012. Ngoài ra, Lạc Việt còn sở hữu
các chứng chỉ quốc tế khác như: CMMI level 3 và ISO 9001:2008.
7
 VIETCOMBANK - NGÂN HÀNG ĐẦU TIÊN CỦA NGÀNH ĐÓN NHẬN
CHỨNG CHỈ ISO/IEC 27001:2013. Ngày 12/12/2014, tại Hà Nội, đã diễn ra “Lễ đón
nhận Chứng chỉ Hệ thống quản lý an toàn thông tin cho hoạt động kinh doanh của
Vietcombank theo tiêu chuẩn ISO/IEC – 27001:2013 với phạm vi áp dụng toàn hệ
thống” do Tổ chức Chứng nhận TÜV Rheinland của CHLB Đức trao cho Ngân hàng
TMCP Ngoại thương Việt Nam (Vietcombank). Buổi Lễ có sự tham dự của Ông Frank
Juettner - Tổng giám đốc TÜV Rheinland và đoàn công tác.
Tháng 01/2016, EVNICT được nhận Giấy chứng nhận Hệ thống quản lý an
toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013.
Tháng 07/2014, SeABank đạt tiêu chuẩn ISO/IEC 27001:2013 về Quản lý an
toàn bảo mật thông tin - Ngân hàng TMCP Đông Nam Á (SeABank) vừa được
đơn vị kiểm toán độc lập TÜV RHEINLAND Cộng hòa Liên bang Đức chứng nhận
đạt yêu cầu về an toàn bảo mật theo tiêu chuẩn quốc tế ISO/IEC 27001:2013 và cấp
chứng chỉ số 0115305017 về Hệ thống Quản lý an toàn bảo mật thông tin (ISMS).
Ngày 19/11/2015, Gimasys nhận chứng chỉ an toàn bảo mật thông tin theo tiêu chuẩn
ISO/IEC 27001:2013

2.1.2 Tình hình áp dụng ISO27001 trên thế giới.

Báo cáo thống kê mới nhất (The ISO Survey of Certifications) do Tổ chức Tiêu chuẩn
hóa quốc tế - ISO công bố cho thấy số lượng tổ chức, doanh nghiệp áp dụng hệ thống
quản lý: ISO 9001, ISO 14001, ISO/TS 16949, ISO 13485, ISO/IEC 27001 và ISO
22000 tăng thêm hàng năm nói chung. Riêng ISO/IEC 27001 được thống kê trong
bảng dưới đây trên toàn thế giới..

Tăng trưởng hàng năm – tính theo %

Year 2007 2008 2009 2010 2011 2012 2013 2014 2015

TOTAL 33% 20% 40% 21% 12% 13% 10% 6% 20%

- -
Africa 67% 60% 194% -2% 60% 55% 63%
13% 20%
Central / South
111% 89% 39% 17% 28% 35% 34% 0% 27%
America
North America 42% 89% 52% 2% 32% 27% 29% 14% 78%
Europe 35% 52% 64% 35% 13% 21% 25% 9% 21%
East Asia and Pacific 32% 5% 27% 19% 10% 8% -3% 3% 15%
Central and South
36% 62% 55% 2% 13% 11% 20% 12% 14%
Asia
Middle East 92% 80% 61% 6% 28% 19% 36% 13% 19%

8
 Top 10 quốc gia chứng nhận ISO/IEC 27001 – năm 2015

1 Japan 8240
2 United Kingdom 2790
3 India 2490
4 China 2469
5 United States of America 1247
6 Romania 1078
7 Italy 1013
8 Germany 994
9 Taipei, Chinese 939
10 Spain 676
Bảng dưới đây đưa ra cái nhìn tổng quan nhất về tốc độ tăng trưởng việc áp dụng
ISO/IEC 27001 trong các năm từ 2007-2015.

Qua các năm, và qua bảng tổng hợp trên có thể thấy rõ ràng rằng ISO/IEC 27001 là
một trong các tiêu chuẩn có sự tăng trưởng áp dụng mạnh mẽ nhất trong các tiêu chuẩn
hệ thống quản lý trên toàn thế giới. ISO/IEC 27001 là hệ thống quản lý an toàn thông
tin, áp dụng với mọi tổ chức, doanh nghiệp có nhu cầu đảm bảo an toàn cho các tài sản
thông tin để ngăn ngừa thiệt hạt khi tài sản về thông tin bị hư hại, mất mát hay bị xâm
nhập trái phép.
Ba quốc gia có tổng số chứng chỉ ISO/IEC 27001 được cấp nhiều nhất là Nhật Bản,
Ấn Độ và Vương quốc Anh, ba nước có số chứng chỉ được cấp nhiều nhất.

9
2.2 Nghiên cứu tình hình cập nhật của ISO/IEC 27001 để lựa chọn làm tài liệu
tham chiếu
Tiêu chuẩn ISO/IEC 27001:2005, Information technology – Security techniques
– Information security management systems — Requirements, được tổ chức tiêu chuẩn
quốc tế ban hành năm 2005.
Nhóm xây dựng dự thảo TCVN cũng sử dụng tiêu chuẩn quốc tế ISO/IEC 27001:2005
làm tài liệu gốc để xây dựng tiêu chuẩn quốc gia về " Công nghệ thông tin- Hệ thống
quản lý an toàn thông tin – Các yêu cầu " để xây dựng tiêu chuẩn quốc gia ISO/IEC
27001:2009 theo nguyên tắc áp dụng nguyên vẹn, có chỉnh sửa về thể thức trình bày
theo quy định hiện hành về trình bày Tiêu chuẩn quốc gia.
Qua 8 năm áp dụng, đến năm 2013, đã có rất nhiều thay đổi của thế giới an toàn thông
tin về các mối đe dọa, điểm yếu kỹ thuật và rủi ro liên quan đến điện toán đám mây, dữ
liệu lớn và nhất là an ninh mạng. Trong các năm đó, các tổ chức tiêu chuẩn quốc gia
trên toàn thế giới đã tổ chức cuộc họp với các chuyên gia chuyên ngành tìm kiếm các
điểm cải tiến cho tiêu chuẩn ISO/IEC 27001:2013 và ISO/IEC 27002:2013. Kết quả đã
rất tích cực và sẽ tinh giản quá trình áp dụng bằng cách bổ sung một số mức độ an
ninh trước đây chưa có. Tiêu chuẩn ISO/ IEC 27001: 2013 đã được công bố ngày 01
tháng 10 năm 2013. Có rất nhiều thay đổi đối với cả hai tiêu chuẩn ISO 27001 và các
tiêu chuẩn 27002 sẽ ảnh hưởng gần 18000 tổ chức hiện đã và đang được chứng nhận.
Tiêu chuẩn ISO/ IEC 27001: 2013 là phiên bản tiếp theo ngay sau tiêu chuẩn ISO/IEC
27001:2005, và cho tới thời điểm này đã có 2 phần đính chính (Corrigendum) của năm
2014 và 2015 được bổ sung thêm vào phiên bản 2013. Hai phần đính chính này có
lượng thông tin thay đổi rất ít.

10
3 Rà soát và so sánh tiêu chuẩn ISO/IEC 27001:2005 và ISO/IEC 27001:2013

3.1 Những lợi ích chính khi cập nhật lên phiên bản mới ISO/IEC 27001:2013
ISO đã đưa ra phiên bản mới được cập nhật, dựa trên cả những kinh nghiệm của
người dùng và các tổ chức đã được chứng nhận theo hệ thống quản lý an toàn thông tin
theo tiêu chuẩn ISO/IEC 27001:2005. Phiên bản mới cung cấp một cách tiếp cận hợp
lý linh hoạt hơn nhằm quản lý rủi ro hiệu quả hơn.
Tiêu chuẩn sửa đổi đã thực hiện một số cải thiện cho an toàn thông tin được kiểm soát
tại Phụ lục A để đảm bảo rằng các tiêu chuẩn hiện hành vẫn có khả năng đối phó với
những rủi ro thông tin ngày càng cao như hiện nay, cụ thể là đánh cắp nhận dạng, rủi
ro liên quan đến các thiết bị di động và các lỗ hổng bảo mật trực tuyến khác.
Cuối cùng tiêu chuẩn ISO/IEC 27001 phiên bản mới đã được sửa đổi để phù hợp với
cấu trúc cấp cao mới được sử dụng trong tất cả các tiêu chuẩn hệ thống quản lý và có
thể thực hiện tích hợp với các hệ thống quản lý khác một cách dễ dàng.
Tiêu chuẩn ISO/IEC 27001 mới sẽ giúp các tổ chức muốn thực hiện tích hợp nhiều
hơn một hệ thống quản lý tại một thời điểm. Sự giống nhau trong cấu trúc giữa các tiêu
chuẩn sẽ tiết kiệm kinh phí và thời gian tổ chức như họ có thể áp dụng các chính sách
và thủ tục thích hợp.Ví dụ, một tổ chức có thể muốn tích hợp hệ thống an toàn thông
tin của họ (ISO/IEC 27001) với các hệ thống quản lý khác như Hệ thống quản lý kinh
doanh liên tục (ISO/IEC 22301), Hệ thống quản lý dịch vụ thông tin (ISO/IEC 20.000-
1) hoặc Hệ thống quản lý chất lượng (ISO 9001).

3.2 Những cập nhật mới

Phiên bản ISO 27001:2013 có một số khác biệt so lớn so với phiên bản cũ ISO
27001:2005 như sau:

 Cấu trúc tiêu chuẩn:

+ Tiêu chuẩn ISO 27001:2013 nội dung chính từ 4-10, phụ lục A bao gồm 14
chương, 35 mục tiêu và 114 kiểm soát.

+ Tiêu chuẩn ISO 27001:2005 nội dung chính từ 4-8, phụ lục A bao gồm 11
chương, 39 mục tiêu và 133 kiểm soát. Ngoài ra còn có phụ lục B, C.

+ Tiêu chuẩn ISO/IEC 27001:2013 gia tăng các hạng mục bắt buộc từ 5 mục lên 7
mục và tăng các điểm kiểm soát từ 102 điểm thành 148 điểm. Đó là một sự gia
tăng điểm kiểm soát cần thiết nhằm để tổ chức lưu tâm nhiều hơn đến việc quản
lý an toàn thông tin. Trong thực tế tiêu chuẩn ISO/ IEC 27001: 2005 có mục 4
hệ thống quản lý an ninh sẽ xóa bỏ vì nó gây ra nhầm lẫn cho tổ chức áp dụng.

11
 + Tổng số mục tiêu kiểm soát của tiêu chuẩn ISO/ IEC 27001 sẽ tăng từ 11 mục
tiêu lên 14 mục tiêu. Phần lớn các mục tiêu kiểm soát vẫn được giữ nguyên
nhưng sẽ có thêm một số mục tiêu kiểm soát mới như A5 Định hướng quản lý
an toàn thông tin, A12 An ninh vận hành, A13 An ninh trao đổi thông tin, A15
Mối quan hệ với nhà cung cấp.

 Phạm vi ISMS.
+ Tiêu chuẩn ISO 27001:2013 yêu cầu xác định ngữ cảnh (external and internal
issues), yêu cầu của các bên liên quan (interested parties), giao diện và phụ
thuộc (interfaces and dependencies).

 Tài liệu tham chiếu:

+ Tiêu chuẩn ISO 27001:2013 tham chiếu ISO 31000.

+ Tiêu chuẩn ISO 27001:2005 có thể tham chiếu ISO/IEC TR 13335-3, ISO
27005 hoặc các phương pháp khác đáp ứng yêu cầu ISO 27001:2005.

 Chủ thể rủi ro: Tiêu chuẩn ISO 27001:2013 có khái niệm mới là chủ thể rủi ro
(risk owner).
 Quản lý tài liệu và quản lý hồ sơ được gom lại thành thông tin được lập tài liệu
(documented information)
 Hành động phòng ngừa không còn trong 2013
 Phụ lục A của tiêu chuẩn ISO/ IEC 27001 nổi tiếng nhất với loạt 11 mục tiêu kiểm
soát thực tế có các điều khoản bắt buộc áp dụng sẽ không còn tồn tại nữa.
+ Phiên bản mới nhất tiêu chuẩn ISO/IEC 27001:2013 gia tăng các hạng mục bắt
buộc từ 5 mục lên 7 mục và tăng các điểm kiểm soát từ 102 điểm thành 148
điểm. Đó là một sự gia tăng điểm kiểm soát cần thiết nhằm để tổ chức lưu tâm
nhiều hơn đến việc quản lý an toàn thông tin. Trong thực tế tiêu chuẩn ISO/ IEC
27001: 2005 có mục 4 hệ thống quản lý an ninh sẽ xóa bỏ vì nó gây ra nhầm lẫn
cho tổ chức áp dụng.

+ Tổng số mục tiêu kiểm soát của tiêu chuẩn ISO/ IEC 27001 sẽ tăng từ 11 mục
tiêu lên 14 mục tiêu. Phần lớn các mục tiêu kiểm soát vẫn được giữ nguyên
nhưng sẽ có thêm một số mục tiêu kiểm soát mới như A5 Định hướng quản lý
an toàn thông tin, A12 An ninh vận hành, A13 An ninh trao đổi thông tin, A15
Mối quan hệ với nhà cung cấp

3.3 Các khái niệm mới đã được giới thiệu (hoặc cập nhật) như sau:

Các mục mới/được Tình trạng Giải thích

cập nhật
Bối cảnh của tổ chức Mới Môi trường hoạt động của tổ chức
Các vấn đề, rủi ro và Cập nhật Thay thế các hành động phòng ngừa.

12
cơ hội Sự thay đổi lớn nhất là không có hành động
phòng ngữa nữa, về cơ bản chúng được gộp
lại trong đánh giá và xử lý rủi ro.
Các bên quan tâm Cập nhật Thay thế các bên liên quan.
Có tầm quan trọng rất lớn, trong đó bao
gồm các cổ đông, cơ quan chức năng (gồm
cả các yêu cầu về pháp luật và quy định),
khách hàng, đối tác… được ghi nhận trong
phiên bản mới này. Có một điều đặc biệt là
các bên quan tâm phải được liệt kê, cùng
với tất cả các yêu cầu của họ.
Đây là yếu tố đầu vào quan trong của
ISMS.
Ban lãnh đạo Cập nhật Yêu cầu cụ thể cho người quản lý đứng
đầu.
Các yêu cầu cam kết quản lý tập trung vào
thuật ngữ “lãnh đạo”.
Truyền thông Mới Đưa ra những yêu cầu rõ ràng cho cả truyền
thông nội bộ và truyền thông ở bên ngoài.
Đây là một điều khoản mới, là nơi mà tất cả
các yêu cầu được tập trung lại – những gì
cần phải được thông báo, khi nào, bởi ai,
thông qua đó có nghĩa là gì, …. Sự thành
công của an toàn thông tin phụ thuộc vào
cả hai phía IT và phía doanh nghiệp, sự
hiểu biết tổng thể của họ về mục đích bảo
vệ thông tin.
Các mục tiêu an toàn Các mục tiêu an toàn thông tin trong phiên
thông tin bản mới được thiết lập tại các mức và các
chức năng liên quan.
Các quy tắc (rule) cần được thiết lập mục
tiêu rõ ràng, phải xác định ai sẽ là người
xem xét chúng và khi nào, phải xác định ai
sẽ phân tích và đánh giá những kết quả từ

13
 những quy tắc đó.
Các kế hoạch cần phải được phát triển và
phải được mô tả cách thức để đạt được các
mục tiêu.
Đánh giá rủi ro Tài sản, lổ hổng và mối đe dọa không phải
là cơ sở đánh giá rủi ro nữa. Các yếu tố này
chỉ cần khi xác định những rủi ro liên quan
đến tính bảo mật, toàn vẹn và sẵn sàng.
Khái niệm về việc xác định mức độ rủi ro
dựa trên những hậu quả và khả năng vẫn
giữ nguyên.
Các yêu cầu đánh giá rủi ro đã được liên
kết với ISO 31000.
Chủ thể rủi ro Cập nhật Thay thế chủ thể sở hữu tài sản.
Khái niệm về chủ sở hữu tài sản đã không
còn, một thuật ngữ mới được dùng là: “chủ
sở hữu rủi ro”, vì thế mà trách nhiệm được
đưa lên một mức cao hơn.
Kế hoạch xử lý rủi ro Hiệu quả của kế hoạch xử lý rủi ro hiện tại
được coi là quan trọng hơn so với hiệu quả
của biện pháp quản lý rủi ro.
Sự thay đổi lớn nhất là không có hành động
phòng ngữa nữa, về cơ bản chúng được gộp
lại trong đánh giá và xử lý rủi ro.
Hơn nữa, có một sự phân biệt giữa các lần
khắc phục, hành động trực tiếp tới điểm
không phù hợp, trái ngược với hành động
khắc phục để loại bỏ các nguyên nhân gây
ra điểm không phù hợp.
Biện pháp kiểm soát Các biện pháp kiểm soát hiện tại được xác
định trong quá trình xử lý rủi ro, chứ không
phải được lựa chọn từ Phụ Lục A.
Thông tin được lập tài Báo cáo và lập tài liệu các thay thế.
liệu Khái niệm về “các tài liệu” và “các hồ sơ”
được gộp chung lại.

14
 Yêu cầu trong tiêu chuẩn cũ đối với tiến
trình xử lý tài liệu (kiểm soát tài liệu, đánh
giá nội bộ, hành động khắc phục, phòng
ngừa) đã không còn. Tuy nhiên các yêu cầu
về tài liệu đầu ra từ các tiến trình vẫn còn
trong tiêu chuẩn mới. Vì vậy, không cần
phải viết ra các tiến trình, nhưng vẫn cần
phải duy trì tất cả các hồ sơ khi quản lý tài
liệu, thực hiện đánh giá nội bộ, và hành
động khắc phục.
Đánh giá hiệu năng Bao gồm các đo lường hiệu quả kế hoạch
xử lý rủi ro và ISMS.
Cải thiện liên tục Sử dụng phương pháp khác ngoài phương
pháp Kế hoạch-Thực hiện-Kiểm tra-Hành
Động (PDCA).

3.4 So sánh giữa ISO/IEC 27001:2005 và ISO/IEC 27001:2013

Tiêu chuẩn ISO 27001:2013 có cấu trúc bao gồm 2 phần là “Điều khoản” và “Biện
pháp kiểm soát”. Trong phần Điều khoản, từ mục 4 đến mục 10 là các yêu cầu bắt
buộc khi tổ chức thực hiện áp dụng và đạt chứng nhận ISO 27001.

3.4.1 So sánh sự khác nhau theo từng Điều khoản

Việc thay đổi cấu trúc giữa các “Điều khoản” của phiên bản mới so với phiên bản cũ
với mục đích là đồng bộ cấu trúc, yêu cầu với các tiêu chuẩn quản lý khác như Hệ
thống quản lý chất lượng ISO 9001:2013 và Hệ thống Quản lý rủi ro ISO 31000:2009.
Ngoài ra, tiêu chuẩn đã bổ sung thêm mục “Bối cảnh của tổ chức” giúp các tổ chức
đánh giá được rõ hơn về hiện trạng của mình.
Bảng 2: So sánh giữa các “Điều khoản” của phiên bản cũ lên phiên bản tiêu mới.

Điều khoản ISO 27001:2013 ISO 27001:2005

4 Bối cảnh của tổ chức Hệ thống quản lý ATTT (ISMS)

5 Sự Lãnh đạo Trách nhiệm của lãnh đạo

6 Lập kế hoạch Đánh giá nội bộ ISMS

15
 7 Hỗ trợ Soát xét của lãnh đạo ISMS

8 Vận hành Cải tiến ISMS

9 Đánh giá hiệu năng

10 Cải tiến

4 Khoản 0: Giới thiệu.

Điều khoản này được rút ngắn hơn so với phiên bản cũ. Đặc biệt phần mô hình PDCA
đã được gỡ bỏ. Lý do cho điều này là yêu cầu để cải tiến liên tục (xem Điều 10) và
PDCA chỉ là một cách tiếp cận để đáp ứng yêu cầu đó. Có những cách tiếp cận khác,
và các tổ chức hiện tại được tự do sử dụng chúng nếu họ muốn.
Việc giới thiệu cũng để ý tới thứ tự của các yêu cầu được trình bày, trong đó nêu rằng
thứ tự không phản ánh tầm quan trọng của chúng hoặc hàm ý thứ tự mà chúng được
thực hiện.

5 Điều 1: Phạm vi
Điều này cũng được rút ngắn gọn hơn nhiều so với phiên bản trước. Đặc biệt không có
tài liệu tham khảo để loại trừ các biện pháp kiểm soát trong Phụ Lục A.

6 Điều 2: Tài liệu viện dẫn

Tài liệu viện dẫn duy nhất là ISO/IEC 27000, Công nghệ thông tin – Các kỹ thuật an
toàn – Các hệ thống quản lý an toàn thông tin – Tổng quan và từ vựng.

7 Điều 3: Thuật ngữ và chữ viết tắt.

Không còn bất kỳ thuật ngữ và chữ viết tắt nào trong ISO/IEC 27001:2013. Thay vào
đó, người đọc được tham chiếu tới ISO/IEC 27000. Tuy nhiên, cần đảm bảo rằng bạn
sử dụng một phiên bản của tiêu chuẩn ISO/IEC 27000 đã được công bố sau ISO/IEC
27001:2013 ban hành nếu không nó sẽ không chứa các thuật ngữ và định nghĩa chính
xác. Đây là một tài liệu quan trọng để đọc. Nhiều định nghĩa, ví dụ như “hệ thống
quản lý” và “Biện pháp kiểm soát” đã được thay đổi và hiện tại phù hợp với các định
nghĩa được đưa ra trong các chỉ thị ISO và ISO 31000 mới hơn.

8 Điều 4: Bối cảnh của tổ chức.

Đây là một điều khoản mới trong phần đề cập đến khái niệm khấu hao của các hành
động phòng ngừa và trong phần thiết lập bối cảnh cho ISMS. Nó đáp ứng các mục tiêu

16
này bằng cách vẽ các vấn đề nội bộ và bên ngoài có liên quan đến nhau (tức là những
vấn đề có ảnh hưởng đến khả năng của tổ chức để đạt được các kết quả dự kiến của
ISMS của nó) với các yêu cầu của các bên kiên quan để xác định phạm vi của ISMS.
Lưu ý rằng thuật ngữ “vấn đề” (issue) không chỉ bao gồm các vấn đề, mà sẽ là chủ đề
của hành động phòng ngừa trong các tiêu chuẩn trước đó, nhưng cũng là chủ đề quan
trọng cho ISMS để giải quyết, chẳng hạn như bất ký mục tiêu đảm bảo thị trường và
quản trị mà tổ chức có thể thiết lập cho ISMS. Hướng dẫn chi tiết được đưa ra trong
Mục 5.3 của ISO 31000:2009.
Lưu ý rằng, thuật ngữ “yêu cầu” (requirement) là một “nhu cầu hoặc mong muốn
được nêu lên, thường là ngụ ý hoặc bắt buộc”. Kết hợp với mục 4.2, điều này bản thân
nó có thể được coi như là yêu cầu quản trị, nói đúng ra một ISMS mà không phù hợp
với các kỳ vọng thường được chấp nhận có thể hiện tại bị loại trù không phù hợp với
tiêu chuẩn.
Yêu cầu cuối cùng (Mục 4.4) là việc thiết lập, thực hiện, duy trì và cải thiện liên tục
ISMS theo yêu cầu của tiêu chuẩn.

9 Điều 5: Ban lãnh đạo

Mục đích của yêu cầu này là chứng minh vai trò và cam kết của ban lãnh đạo cấp cao
của tổ chức. Trách nhiệm cụ thể của ban quản lý cấp cao là thiết lập chính sách an toàn
thông tin và định nghĩa các đặc điểm, thuộc tính mà chính sách đó sẽ bao gồm theo
tiêu chuẩn của tổ chức. Cuối cùng là yêu cầu về trách nhiệm và quyền hạn của các bên
liên quan qua đó đánh giá được ISMS của tổ chức có phù hợp với các yêu cầu của
ISO/IEC 27001 không và đưa ra báo cáo hiệu suất của một ISMS.

10 Điều 6: Lập kế hoạch

Khoản 6.1.1: Yêu cầu chung: Yêu cầu này chỉ rõ phải xem xét các vấn đề được nêu
trong khoản 4.1 và 4.2 để xác định các rủi ro và nguy cơ cần phải giải quyết. Phần đầu
của yêu cầu này liên quan đến đánh giá rủi ro (từ đầu đến 6.1.1c), phần sau (từ 6.1.1 d)
liên quan đến xử lý rủi ro. Phần chi tiết các yêu cầu đánh giá rủi ro và xử lý rủi ro
được nêu tại các khoản 6.1.2 và 6.1.3.

Khoản 6.1.2: Đánh giá rủi ro an toàn thông tin: Đánh giá rủi ro trong phiên bản mới
được sắp xếp và hướng dẫn theo nguyên tắc của tiêu chuẩn ISO 31000 về quản lý rủi
ro, điều khoản này loại bỏ yêu cầu phân loại các loại tài sản, mối nguy hại, và các lỗ
hổng bảo mật thông tin. Tổ chức có thể tiếp cận các phương pháp đánh giá rủi ro một
cách rộng hơn mà vẫn phù hợp với tiêu chuẩn. Trong tiêu chuẩn ISO/IEC 27001:2013,

17
chỉ tiêu chấp nhận rủi ro được diễn tả dưới các điều khoản (terms) khác với tiêu chuẩn
trước là phải chia các mức chấp nhận rủi ro.

Trong khoản này cũng đưa ra thuật ngữ “chủ sở hữu rủi ro (risk owner)” để thay thế
cho “chủ sở hữu tài sản (asset owner)”. “Chủ sở hữu rủi ro” là khái niệm đã được dùng
trong tiêu chuẩn ISO 31000 được định nghĩa “người hoặc tổ chức có trách nhiệm và
thẩm quyền quản lý rủi ro”. Sau khi tổ chức xác định người sở hữu rủi ro, họ được yêu
cầu phê duyệt kế hoạch xử lý rủi ro và những rủi ro chưa đánh giá được (tại mục 6.1.3
f).
Khoản 6.1.3. Xứ lý rủi ro an toàn thông tin: Xử lý rủi ro trong phiên bản này cũng
tương tự như ISO/IEC 27001:2005. Tuy nhiên, việc xử lý rủi ro liên quan đến việc xác
định các kiểm soát cần thiết hơn là việc lựa chọn các kiểm soát từ Phụ lục A. Tiêu
chuẩn giữ lại Phụ lục A như là một sự kiểm tra chéo qua đó đảm bảo rằng các kiểm
soát cần thiết không bị loại bỏ. Tổ chức vẫn được yêu cầu xây dựng một “thông báo áp
dụng - SOA”. Xây dựng và phê duyệt kế hoạch xử lý rủi ro một phần của khoản này.
Khoản 6.2. Mục tiêu và kế hoạch để đạt được an toàn thông tin trong tổ chức: Trong
khoản này liên quan đến mục tiêu an toàn thông tin trong tổ chức. Thuật ngữ “liên
quan đến các chức năng và mức độ” được sử dụng trong yêu cầu này, “chức năng”
được hiểu là các chức năng của tổ chức, “mức độ” là các mức độ quản lý của ban quản
lý cấp cao nhất (top management). Khoản này đưa ra các thuộc tính để đạt được an
toàn thông tin của tổ chức phải có.

11 Điều 7. Hỗ trợ
Điều khoản này bắt đầu với một yêu cầu tổ chức phải xác định và cung cấp nguồn lực
cần thiết để thiết lập, thực hiện, duy trì và cải tiến liên tục hệ thống an toàn thông tin
(ISMS). Điều khoản này rất quan trọng vì bao gồm các nguồn lực mà một ISMS cần
phải có. Ngoài ra, các yêu cầu về năng lực, nhận thức và truyền thông (với bên trong
và bên ngoài tổ chức) được đưa ra trong Điều 7 cũng tương ứng với phần yêu cầu của
ISO/IEC 27001:2005.
Điểm khác biệt trong Điều này so với phiên bản trước là thuật ngữ “thông tin được lập
tài liệu (documented information)” được sử dụng để thay thế thuật ngữ “tài liệu” và
“hồ sơ” trong phiên bản 2005. Yêu cầu này liên quan đến khởi tạo và cập nhật, kiểm
soát các tài liệu và hồ sơ trong tổ chức, yêu cầu này nhấn mạnh đến mục đích, nội
dung của văn bản nhiều hơn, tổ chức phải tự tài liệu hóa thông tin xuyên suốt tiêu
chuẩn.

18
12 Điều 8. Vận hành
Điều khoản này nói về thực hiện kế hoạch và quá trình được đưa ra tại các điều khoản
trước.
Khoản 8.1. Thực hiện các hoạt động được xác định tại khoản 6.1, mục tiêu an toàn
thông tin đạt được và các quá trình outsource ra bên ngoài.
Khoản 8.2. đề cập đến hiệu suất của việc đánh giá rủi ro an toàn thông tin tại kế hoạch
trong một khoảng thời gian.
Khoản 8.3. đề cập đến việc thực hiện kế hoạch xử lý rủi ro.

13 Điều 9. Đánh giá hiệu năng

Khoản 9.1. Giám sát, đo lường, phân tích và đánh giá: tổ chức phải xác định thông tin
nào cần đánh giá hiệu suất an toàn thông tin và hiệu quả của hệ thống ISMS. Các quá
trình và kiểm soát nào cần giám sát, đo lường. Phương thức phù hợp để giám sát, đo
lường, phân tích để đảm bảo đạt được kết quả mong muốn. Thời điểm, nguồn lực thực
hiện.
Khoản 9.2. Đánh giá nội bộ: Yêu cầu này tương tự như phiên bản trước. Việc đánh giá
nội bộ phải được thực hiện khách quan, đúng mục đích và thời điểm.
Khoản 9.3. Đánh giá quản lý: Trong phiên bản trước yêu cầu thông tin đầu vào và đầu
ra của việc đánh giá quản lý và thời gián đánh giá tối thiểu 1 năm/1 lần. Tại phiên bản
mới tổ chức vẫn phải đảm báo hệ thống ISMS được đánh giá là phù hợp, đầy đủ và
hiệu quả với tổ chức. Tuy nhiên, đánh giá quản lý chỉ đưa ra một số vấn đề cần xem
xét và không đưa ra các yêu cầu chi tiết như ở phiên bản trước. Thời gian tối thiểu thực
hiện đánh giá không được đưa vào trong tiêu chuẩn mà tùy thuộc vào tổ chức.

14 Điều 10. Cải tiến

Khoản 10.1. Sự không phù hợp và hành động khắc phục: Tổ chức khi phát hiện sự
không phù hợp phải có biện pháp và áp dụng các hành động kiểm soát, liên hệ đến hậu
quả, đánh giá nguyên nhân và tài liệu hóa các bằng chứng.
Khoản 10.2. Cải thiện liên tục: Yêu cầu tổ chức phải liên tục cải tiến đảm bảo ISMS
vẫn đạt được sự phù hợp, đầy đủ và hiệu quả.
So sánh chi tiết nội dung giữa các điều khoản
Bảng A liệt kê các tiêu đề mục nhỏ trong ISO/IEC 27001:2013 trong cột bên trái. Đối
với mỗi cột, các danh mục trong cột bên phải cho thấy tiêu đề các mục trong ISO/IEC
27001:2005 tương ứng trong một số cách.
Bảng 3: Bảng so sánh sự thay đổi giữa các điều khoản
19
 ISO/IEC 27001:2013 ISO/IEC 27001:2005
0 Giới thiệu 0 Giới thiệu
1 Phạm vi áp dụng 1 Phạm vi áp dụng
2 Tiêu chuẩn viện dẫn 2 Tiêu chuẩn viện dẫn
3 Thuật ngữ và định nghĩa 3 Thuật ngữ và định nghĩa
4.1 Hiểu được tổ chức và bối cảnh của 8.3 Hành động phòng ngừa
tổ chức
4.2 Hiểu được nhu cầu và mong muốn 5.2.1(c) xác định và áp dụng các yêu cầu
của các bên quan tâm pháp lý, quy định và các nghĩa vụ về an
toàn thông tin trong hợp đồng;
4.3 Xác định phạm vi hệ thống quản lý an 4.2.1 a) Xác định phạm vi và các giới hạn
toàn thông tin của hệ thống ISMS
4.2.3 f) đảm bảo phạm vi đặt ra vẫn phù
hợp
4.4 Hệ thống quản lý an toàn thông tin 4.1 Các yêu cầu chung
5.1 Sự lãnh đạo và cam kết 5.1 Cam kết của ban quản lý
5.2 Chính sách 4.2.1 b) Xây dựng và hoạch định chính
sách ISMS
5.3 Vai trò, trách nhiệm và quyền hạn của 5.1 c) thiết lập các vai trò và trách nhiệm
tổ chức về an toàn thông tin
6.1.1 6.1 Hành động để giải quyết 8.3 Hành động phòng ngừa
các rủi ro và cơ hội
6.1.2 Đánh giá rủi ro an toàn thông tin 4.2.1 c) Xác định phương pháp tiếp cận
đánh giá rủi ro của tổ chức
4.2.1 d) Xác định các rủi ro
4.2.1 e) Phân tích và ước lượng các rủi ro
6.1.3 Xử lý rủi ro an toàn thông tin 4.2.1 f) Xác định và đánh giá các lựa chọn
cho việc xử lý rủi ro
4.2.1 g) Lựa chọn các mục tiêu quản lý và
biện pháp quản lý để xử lý các rủi ro
4.2.1 h) Trình ban quản lý phê chuẩn các
rủi ro tồn đọng đã đề xuất
4.2.1 j) Chuẩn bị thông báo áp dụng
4.2.2 a) Lập kế hoạch xử lý rủi ro

20
6.2 Các mục tiêu an toàn thông tin và 5.1 b) đảm bảo rằng các mục tiêu và kế
hoạch định để đạt được chúng hoạch của hệ thống ISMS đã được xây
dựng
7.1 Nguồn lực 4.2.2 g) Quản lý các tài nguyên dành cho
hệ thống ISMS
5.2.1 Cấp phát nguồn lực
7.2 Năng lực 5.2.2 Đào tạo, nhận thức và năng lực
7.3 Nhận thức 4.2.2 e) Triển khai các chương trình đào tạo
nâng cao nhận thức
5.2.2 Đào tạo, nhận thức và năng lực
7.4 Truyền thông 4.2.4 c) Thông báo và thống nhất với các
bên liên quan về các hành động và cải tiến
của hệ thống ISMS
5.1 d) trao đổi với tổ chức về tầm quan
trọng
7.5 Thông tin được lập tài liệu 4.3 Các yêu cầu về hệ thống tài liệu
8.1 Lập kế hoạch và kiểm soát vận hành 4.2.2 f) Quản lý hoạt động của hệ thống
ISMS
8.2 Đánh giá rủi ro an toàn thông tin 4.2.3 d) Soát xét các đánh giá rủi ro
8.3 Xử lý rủi ro an toàn thông tin 4.2.2 b) Triển khai kế hoạch xử lý rủi ro
4.2.2 c) Triển khai các biện pháp quản lý
9.1 Giám sát, đo lường, phân tích và đánh 4.2.2 d) Xác định cách đánh giá hiệu lực
giá của các biện pháp quản lý
4.2.3 b) Thường xuyên soát xét hiệu lực
của hệ thống ISMS
4.2.3 c) Đánh giá hiệu lực của các biện
pháp quản lý
9.2 Đánh giá nội bộ 4.2.3 e) Thực hiện việc kiểm toán nội bộ hệ
thống ISMS
6 Kiểm toán nội bộ hệ thống ISMS
9.3 Soát xét của ban quản lý 4.2.3 f) Thực hiện soát xét của ban quản lý
đối với hệ thống ISMS
7 Soát xét của ban quản lý đối với hệ thống
ISMS
21
10.1 Điểm không phù hợp và hành 4.2.4 Duy trì và cải tiến hệ thống ISMS
động khắc phục 8.2 Hành động khắc phục
10.2 Cải tiến liên tục 4.2.4 Duy trì và cải tiến hệ thống ISMS
8.1 Cải tiến thường xuyên

22
14.1.1 So sánh sự khác nhau trong phần Biện pháp kiểm soát
Trong phần Biện pháp kiểm soát, Phụ lục A, bao gồm 14 lĩnh vực với 35 mục tiêu
kiểm soát (ứng với 114 biện pháp kiểm soát). Các tổ chức sẽ lựa chọn những biện pháp
kiểm soát trong số nêu trên phù hợp với tổ chức mình để áp dụng.

Bảng 4: Bảng so sánh giữa các “Biện pháp kiểm soát” của phiên bản mới và phiên
bản cũ:

Sự thay đổi của “Biện pháp kiểm soát” trong phiên bản mới nhằm phù hợp hơn với xu
hướng phát triển công nghệ, yêu cầu thực tiễn của các tổ chức và cũng cho thấy được
sự quan tâm nhiều hơn đối với các kiểm soát an toàn mã hóa hay các vấn đề ATTT khi
làm việc với nhà cung cấp. Đặc biệt, việc thay đổi thứ tự đưa vị trí của mục ATTT
nhân sự lên trước mục quản lý tài sản cho thấy con người là một trong những yếu tố
quan trọng nhất trong việc xây dựng, vận hành, duy trì và cải tiến hệ thống ISMS.

23
14.1.1.1- Phụ luc A

Tên của Phụ lục A trong phiên bản này được thay đổi thành “bản tham khảo các mục
tiêu kiểm soát và các kiểm soát” như vậy có nghĩa các kiểm soát mang tính chất tham
khảo và không bắt buộc. Phần hướng dẫn của Phụ lục A cũng đơn giản hơn. Phụ lục A
được sử dụng cho khoản 6.1.3. Các thay đổi trong Phụ lục A so với phiên bản trước
bao gồm: 14 điều kiểm soát an ninh thay cho 11 điều; 35 chủng loại (categories) an
ninh chính thay cho 33 chủng loại; 114 kiểm soát thay cho 133 kiểm soát trong đó loại
bỏ một số kiểm soát cũ, thêm một số kiểm soát mới và sửa lại một số kiểm soát cũ.

14.1.1.2Phụ lục khác

Trong Phụ Lục B cũ, các nguyên tắc OECD và tiêu chuẩn quốc tế này, đã được loại bỏ,
hiện tại là một tham chiếu cũ, trong đó đề cập tới PDCA.
Phụ lục C cũ, tương ứng giữa ISO 9001:2000, ISO 14001:2004 và tiêu chuẩn quốc tế
này, cũng đã được loại bỏ bởi cả hai tiêu chuẩn này đang được sửa đổi và sẽ sử dụng
cấu trúc mức cao tương tự và văn bản cốt lõi giống hệt ISO/IEC 27001:2013.
Phụ lục B, Tài liệu tham khảo của ISO/IEC 27001:2013 là một phiên bản được cập
nhật của phiên bản cũ, Phục Lục D trong ISO/IEC 27001:2005.
Bảng dưới đây liệt kê các nhóm kiểm soát trong Phụ Lục A của ISO/IEC 27001:2013
trong cột bên trái. Mỗi nhóm có một mục tiêu kiểm soát chung.
Số trong ngoặc là số của các biện pháp quản lý trong nhóm đó. Bên phải là 11 cột
tương ứng với các biện pháp quản lý trong 11 tiêu đề mục chính trong Phụ Lục A của
ISO/IEC 27001:2005. Hàng Ngang có nghĩa là sự tương ứng giữa các năm 2013 và
2015. Để xem các mối quan hệ chính xác, tham khảo dữ liệu bản đồ chi tiết.

ISO/IEC 27001:2013 (number of controls) ISO/IEC 27001:2005

A.5 Chính sách an toàn
A.6 Tổ chức
A.7 Quản lý tài sản
A.8 tài nguyên con người
A.9 an toàn vật lý
A.10 Quản lý truyền thông
A.11 Quản lý truy cập

và duy trì
A.12 Tiếp nhận, phát triển
A.13 Quản lý các sự cố
A.14 Quản lý sự liên tục
A.15 Sự tuân thủ

A.5.1 Định hướng quản lý an toàn thông tin (2)

x

A.6.1 Tổ chức nội bộ (5)

x

A.6.2 Các thiết bị di động và làm việc từ xa (2)

x

24
A.7.1 Trước khi tuyển dụng (2)

x
A.7.2 Trong thời gian làm việc (3)

x
A.7.3 Chấm dứt hoặc thay đổi công việc (1)

x
A.8.1 Trách nhiệm đối với tài sản (4)

x
x
A.8.2 Phân loại thông tin (3)

x
A.8.3 Xử lý phương tiện truyền thông (3)

x
A.9.1 Các yêu cầu nhiệp vụ cho việc kiểm soát truy

x
cập (2)
A.9.2 Quản lý truy cập người dùng (6)

x
A.9.3 Trách nhiệm của người sử dụng (1)

x
A.9.4 Quản lý truy cập vào hệ thống và ứng dụng (5)

x
A.10.1 Biện pháp kiểm soát mật mã (2)

x
A.11.1 Khu vực an toàn (6)

x
A.11.2 Thiết bị (9)

x
A.12.1 Các thủ tục và trách nhiệm vận hành (4)

x
A.12.2 Bảo vệ chống lại phần mềm độc hại (1)

x
A.12.3 Sao lưu (1)
A.12.4 Ghi nhật ký và giám sát (4) x
x
A.12.5 Quản lý các phần mềm vận hành (1)

x
A.12.6 Quản lý lỗ hổng kỹ thuật (2)
x
A.12.7 Xem xét việc đánh giá các hệ thống thông tin

x
(1)
A.13.1 Quản lý an toàn mạng (3)
x
x

A.13.2 Truyền thông tin (4)

x

A.14.1 Các yêu cầu an toàn của hệ thống thông tin (3)
x

A.14.2 An toàn trong quá trình hỗ trợ và phát triển (9)

x

A.14.3 Dữ liệu kiểm thử (1)

x

A.15.1 An toàn thông tin trong các mối quan hệ với

x

nhà cung cấp (3)

A.15.2 Quản lý chuyển giao dịch vụ của nhà cung cấp
x

(2)
A.16.1 Quản lý các sự cố và sự cải tiến an toàn thông
x

tin (7)
A.17.1 Đảm bảo an toàn thông tin liên tục (3)
x

25
A.17.2 Dự phòng (1)
A.18.1 Sự tuân thủ với các yêu cầu pháp lý và hợp

x
đồng (5)
A.18.2 Soát xét an toàn thông tin (3)

x
15 Rà soát cập nhật tiêu chuẩn quốc gia theo phiên bản ISO/IEC 27001:2013.

15.1 Lý do và mục đích cập nhật tiêu chuẩn

Có rất nhiều thay đổi của thế giới an toàn thông tin về các mối đe dọa, điểm yếu kỹ
thuật và rủi ro liên quan đến điện toán đám mây, dữ liệu lớn và nhất là an ninh mạng
trong 8 năm. Trong các năm qua, các tổ chức tiêu chuẩn quốc gia trên toàn thế giới đã
tổ chức cuộc họp với các chuyên gia chuyên ngành tìm kiếm các điểm cải tiến cho tiêu
chuẩn ISO/IEC 27001:2013 và ISO/IEC 27002:2013. Kết quả đã rất tích cực và sẽ tinh
giản quá trình áp dụng bằng cách bổ sung một số mức độ an ninh trước đây chưa có.
Tiêu chuẩn ISO/ IEC 27001: 2013 sẽ được công bố ngày 01 tháng 10 năm 2013. Có rất
nhiều thay đổi đối với cả hai tiêu chuẩn ISO 27001 và các tiêu chuẩn 27002 sẽ ảnh
hưởng gần 18000 tổ chức hiện đã và đang được chứng nhận.
Tuy nhiên, đã có hai ảnh hưởng lớn khác tới việc sửa đổi. Đầu tiên đó là ISO yêu cầu
rằng tất cả các tiêu chuẩn hệ thống quản lý được sửa đổi và làm mới phải phù hợp với
cầu trúc mức cao và văn bản cốt lõi giống nhau bất chấp Phụ lục SL tới Phần 1 của
ISO/IEC.
Sự phù hợp với các yêu cầu này sẽ có xu hướng làm cho tất cả các tiêu quẩn hệ thống
quản lý nhìn giống nhau, với ý định rằng các yêu cầu hệ thống quản lý mà không kỷ
luật cụ thể giống hệt nhau trong tất cả các tiêu chuẩn hệ thống quản lý. Đây là tin tốt
cho các tổ chức vận hành các hệ thống quản lý tích hợp, ví dụ: hệ thống quản lý phù
hợp với nhiều tiêu chuẩn như ISO 9001 (chất lượng), ISO 22301 (tính liên tục trong
nghiệp vụ) cũng như tiêu chuẩn ISO 27001.
Ảnh hưởng thứ hai là quyết định găn kết ISO/IEC 27001 với các nguyên tắc và hướng
dẫn được đưa trong ISO 31000 (quản lý rủi ro). Một lần nữa, đây là một tin tốt cho các
hệ thống quản lý tích hợp như bây giờ là một tổ chức có thể áp dụng các phương pháp
đánh giá rủi ro như nhau trên nhiều.
Do vậy, xây dựng rà soát, cập nhật tiêu chuẩn quốc gia về quản lý an toàn thông tin
theo ISO27001 là cần thiết. Một khi tiêu chuẩn ISO/IEC 27001:2013 đã được công bố
chính thức tổ chức sẽ có một thời gian gia hạn là 12 tháng trước khi tái chứng nhận.
Đến nay, đã khoảng 3 năm từ ngày phiên bản quốc tế được công bố cập nhật, vì vậy,

26
 việc phiên bản quốc gia phải cập nhật theo là điều bắt buộc. Tiêu chuẩn cập nhật mới
này phải đảm bảo phù hợp với các tiêu chuẩn cập nhật của quốc tế..
15.2 Dự thảo tiêu chuẩn

15.3 Phương pháp xây dựng tiêu chuẩn

- ISO/IEC 27001:2013 và Hai phần đính chính ISO/IEC 27001:2013/Cor.1:2014(en)
và ISO/IEC 27001:2013/Cor.2:2015(en) được là tài liệu tham chiếu làm cơ sở để xây
dựng tiêu chuẩn này.
- Trên cơ sở rà soát các tiêu chuẩn quốc tế ISO27001 và các quy chuẩn kỹ thuật, tiêu
chuẩn quốc gia về hệ thống quản lý an toàn thông tin (ISMS), cũng như tham khảo các
phương pháp xây dựng các tiêu chuẩn/qui chuẩn, nhóm biên soạn tiêu chuẩn khuyến
nghị xây dựng tiêu chuẩn này theo phương pháp chấp thuận nguyên vẹn về nội dung
(cấu trúc theo qui định Tiêu chuẩn Quốc gia).
Tên tiêu chuẩn đề xuất:

CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – HỆ

THỐNG QUẢN LÝ AN TOÀN THÔNG TIN – CÁC YÊU CẦU
Information technology – Security techniques – Infomation security
management systems – Requirements

15.4 Cấu trúc tiêu chuẩn

Dựa thảo tiêu chuẩn được cấu trúc theo hướng dẫn mới nhất của Vụ KHCN - Bộ thông
tin và truyền thông bao gồm:
1 PHẠM VI ÁP DỤNG
2 TIÊU CHUẨN VIỆN DẪN
3 THUẬT NGỮ VÀ ĐỊNH NGHĨA
4 PHẠM VI TỔ CHỨC
5 SỰ LÃNH ĐẠO
6 LẬP KẾ HOẠCH
7 HỖ TRỢ
8 VẬN HÀNH
9 ĐÁNH GIÁ HIỆU NĂNG
27
 10 CẢI TIẾN
PHỤ LỤC A
THƯ MỤC TÀI LIỆU THAM KHẢO

3. Đối chiếu tài nội dung tiêu chuẩn và tài liệu tham khảo

So sánh giá trị các tiêu chí giữa những tài liệu tham khảo ở trên để lựa chọn ra giá trị
quy định trong tiêu chuẩn này.
Bảng 1. Bảng đối chiếu tiêu chuẩn viện dẫn

Nội dung tiêu chuẩn Tài liệu viện dẫn Sửa đổi, bổ sung
ISO/IEC 27001:2013
0 Giới thiệu chung 0 Introduction Chấp nhận nguyên vẹn
1 Phạm vi áp dụng 1 Scope Chấp nhận nguyên vẹn
2 Tài liệu viện dẫn 2 Normative references Chấp nhận nguyên vẹn
3 Thuật ngữ và định nghĩa 3 Terms and defiitions Chấp nhận nguyên vẹn
4.1 Hiểu được tổ chức và phạm vi của 4.1 Understanding the organization
Chấp nhận nguyên vẹn
tổ chức and its context
4.2 Hiểu được nhu cầu và mong muốn 4.2 Understanding the needs and
Chấp nhận nguyên vẹn
của các bên liên quan expectations of interested parties
4.3 Xác định phạm vi hệ thống quản lý 4.3 Determining the scope of the
an toàn thông tin information security management Chấp nhận nguyên vẹn
system
4.4 Hệ thống quản lý an toàn thông tin 4.4 Information security
Chấp nhận nguyên vẹn
management system
5.1 Lãnh đạo và cam kết 5.1 Leadership and commitment Chấp nhận nguyên vẹn
5.2 Chính sách 5.2 Policy Chấp nhận nguyên vẹn
5.3 Vai trò, trách nhiệm và quyền hạn 5.3 Organizational roles,
Chấp nhận nguyên vẹn
của tổ chức responsibilities and authorities
6.1 Hoạt động để giải quyết các rủi ro 6.1.1 Actions to address risks and
và cơ hội opportunities – general Chấp nhận nguyên vẹn

6.1.2 Đánh giá rủi ro an toàn thông tin 6.1.2 Information security risk
Chấp nhận nguyên vẹn
assessment
6.1.3 Xử lý rủi ro an toàn thông tin 6.1.3 Information security risk
Chấp nhận nguyên vẹn
treatment
6.2 Lập kế hoạch và mục tiêu để đạt 6.2 Information security objectives
Chấp nhận nguyên vẹn
được an toàn thông tin and planning to achieve them
7.1 Nguồn lực 7.1 Resources Chấp nhận nguyên vẹn

28
7.2 Thẩm quyền
7.3 Nhận thức
7.4 Truyền thông
7.5 Thông tin dạng tài liệu hóa
8.1 Lập kế hoạch và kiểm soát hoạt
động
8.2 Đánh giá rủi ro an toàn thông tin
8.3 Xử lý rủi ro an toàn thông tin
9.1 Giám sát, đo lường, phân tích và
đánh giá
9.2 Đánh giá nội bộ
9.3 Soát xét của quản lý
10.1 Sự không phù hợp và hành động 10.1 Nonconformity and corrective
khắc phục action
10.2 Cải tiến liên tục
7.2 Competence Chấp nhận nguyên vẹn
7.3 Awareness Chấp nhận nguyên vẹn
7.4 Communication Chấp nhận nguyên vẹn
7.5 Documented information Chấp nhận nguyên vẹn
8.1 Operational planning and control
Chấp nhận nguyên vẹn
8.2 Information security risk
Chấp nhận nguyên vẹn
assessment
8.3 Information security risk
Chấp nhận nguyên vẹn
treatment
9.1 Monitoring, measurement,
Chấp nhận nguyên vẹn
analysis and evaluation
9.2 Internal Audit Chấp nhận nguyên vẹn
9.3 Management review Chấp nhận nguyên vẹn
Chấp nhận nguyên vẹn
10.2 Continual improvement Chấp nhận nguyên vẹn
29
 TÀI LIỆU THAM KHẢO
http://isovietnam.vn/tin-tuc-nghanh/552-tinh-hinh-ap-dung-iso.html
http://isovietnam.vn/tin-tuc-nghanh/401-tinh-hinh-ap-dung-iso.html
http://nscl.vn/hien-trang-ap-dung-tieu-chuan-iso-27001-tai-viet-nam/

30