Cùng Vietcert tiếp tục hỏi đáp về Tiêu chuẩn ISO/IEC 27000 nhé!
Câu hỏi 6: Ngoài các Tiêu chuẩn Quốc tế, TR và PAS có nghĩa là gì?
Giải đáp: ISO / IEC xuất bản nhiều loại tiêu chuẩn khác nhau về nhiều đối tượng:
Tiêu chuẩn quốc tế (IS) là hình thức phổ biến nhất của tiêu chuẩn ISO / IEC, bao gồm tiêu chuẩn sản phẩm / kỹ thuật, phương pháp thử nghiệm, ‘quy tắc thực hành’ (thực hành tốt) và tiêu chuẩn quản lý. IS “cung cấp các quy tắc, hướng dẫn hoặc đặc điểm cho các hoạt động hoặc cho kết quả của chúng, nhằm đạt được mức độ trật tự tối ưu trong một bối cảnh nhất định”. Hầu hết đều nhằm mục đích mô tả mục tiêu cuối cùng mà không quy định phương pháp đạt được mục tiêu đó (mặc dù không phải tất cả chúng đều đạt được mục tiêu đó!). Chu kỳ xem xét là 5 năm (tối đa).
Đặc điểm kỹ thuật (TS) là một tiêu chuẩn về một đối tượng chưa trưởng thành vẫn đang được phát triển và chưa hoàn toàn sẵn sàng để trở thành một IS đầy đủ. Phản hồi được khuyến khích để thúc đẩy sự phát triển hơn nữa và dẫn đến việc phát hành IS. Trong nội bộ ủy ban, các dự thảo cuối cùng được gọi là Thông số Kỹ thuật Dự thảo Đề xuất của PDTS.
Báo cáo Kỹ thuật (TR) là một hướng dẫn chứ không phải là một đặc điểm kỹ thuật. Nó có thể dựa trên các cuộc khảo sát và ‘báo cáo cung cấp thông tin’ và có thể cố gắng mô tả ‘trạng thái của nghệ thuật’. Trong nội bộ ủy ban, các dự thảo cuối cùng được gọi là Báo cáo Kỹ thuật Dự thảo Đề xuất PDTR.
Thông số kỹ thuật có sẵn công khai (PAS) đáp ứng nhu cầu cấp thiết nhằm thúc đẩy sự đồng thuận về một số chủ đề mới nổi. Các quan điểm thay thế và có lẽ không tương thích có thể được thể hiện bằng các PAS song song từ các luồng chuyên gia khác nhau. Một PAS phải được thay thế bằng TS hoặc IS, hoặc bị rút lại, trong vòng 6 năm.
Thỏa thuận Hội thảo Quốc tế (IWA) về cơ bản là một PAS ngoại lai được sản xuất bên ngoài thế giới ISO / IEC – ví dụ như bởi một số cơ quan kỹ thuật hoặc công nghiệp. Nó cũng có tuổi thọ tối đa là 6 năm.
Câu hỏi 7: Ý nghĩa của JTC 1 / SC 27 và WG’s là gì?
Giải đáp: Như bạn có thể mong đợi, một tổ chức quốc tế phát triển và điều phối một loạt các tiêu chuẩn kỹ thuật trên toàn cầu đã phát triển một bộ máy hành chính rộng lớn tương ứng để quản lý và chia sẻ công việc. Các cơ quan thành viên (nghĩa là các thành viên của ISO, hay nói cách khác là các cơ quan tiêu chuẩn quốc gia) thường tham gia vào việc phát triển các tiêu chuẩn thông qua các Ủy ban kỹ thuật do tổ chức tương ứng thành lập để giải quyết các lĩnh vực hoạt động kỹ thuật cụ thể. Ủy ban Kỹ thuật ISO và IEC thường hợp tác trong các lĩnh vực mà hai bên cùng quan tâm. Tiêu chuẩn hóa CNTT đưa ra các yêu cầu và thách thức riêng do tốc độ đổi mới, do đó, vào năm 1987, ISO và IEC đã thành lập Ủy ban kỹ thuật chung ISO / IEC JTC 1 chịu trách nhiệm về các tiêu chuẩn CNTT.
Mục đích của JTC 1 là “Tiêu chuẩn hóa trong lĩnh vực Công nghệ Thông tin”, “bao gồm việc đặc tả, thiết kế và phát triển các hệ thống và công cụ xử lý việc nắm bắt, đại diện, xử lý, bảo mật, chuyển giao, trao đổi, trình bày, quản lý, tổ chức, lưu trữ và truy xuất thông tin. ” Mặc dù có sự thống nhất chung rằng bảo mật thông tin là một tập hợp bảo mật CNTT, nhưng thực tế không may là ủy ban ISO / IEC đã đặt CNTT trong chức danh chính thức của mình có nghĩa là các tiêu chuẩn an toàn thông tin ISO27k thường bị nhầm với các tiêu chuẩn CNTT.
Nói theo cách nói của ISO, “SC” là một Tiểu ban. SC 27 là một trong số các Tiểu ban của ISO / JTC 1 chịu trách nhiệm về các tiêu chuẩn an toàn thông tin. Những người khác bao gồm:
- SC 6 – Viễn thông và trao đổi thông tin giữa các hệ thống
- SC 7 – Kỹ thuật phần mềm và hệ thống
- SC 17 – Thẻ và nhận dạng cá nhân
- SC 25 – Kết nối thiết bị công nghệ thông tin
- SC 29 – Mã hóa thông tin âm thanh, hình ảnh, đa phương tiện và siêu phương tiện
- SC 31 – Kỹ thuật nhận dạng và thu thập dữ liệu tự động
- SC 32 – Quản lý và trao đổi dữ liệu
- SC 36 – Công nghệ thông tin phục vụ học tập, giáo dục và đào tạo
- SC 37 – Sinh trắc học
Tài liệu thường trực 1 của SC 27 trình bày các quy trình chính của nó trong 50 trang chi tiết.
SC 27 sở hữu và duy trì hơn 200 tiêu chuẩn, trong đó khoảng một phần tư tiêu chuẩn đang tích cực tiến triển tại bất kỳ thời điểm nào. Đến lượt mình, SC 27 đã khắc phục khối lượng công việc của mình qua năm Nhóm công tác:
- SC 27 / WG1 – Hệ thống quản lý an toàn thông tin: chịu trách nhiệm phát triển và duy trì các tiêu chuẩn và hướng dẫn ISMS, xác định các yêu cầu đối với các tiêu chuẩn và hướng dẫn ISMS trong tương lai, duy trì lộ trình WG1 và liên lạc / cộng tác với các tổ chức và ủy ban khác liên quan đến ISMS;
- SC 27 / WG2 – Cơ chế bảo mật và mật mã: mật mã, thuật toán mật mã, mã hóa, xác thực, quản lý khóa, chữ ký số và tất cả những thứ đó;
- SC 27 / WG3 – Đánh giá, Kiểm tra và Đặc điểm kỹ thuật bảo mật: Tiêu chí chung, phương pháp đánh giá, hồ sơ bảo vệ, mô hình trưởng thành khả năng bảo mật, v.v.;
- SC 27 / WG4 – Kiểm soát và Dịch vụ Bảo mật: chịu trách nhiệm về nhiều tiêu chuẩn bao gồm phát hiện xâm nhập, bảo mật mạng CNTT, quản lý sự cố, khắc phục thảm họa CNTT-TT, sử dụng bên thứ ba đáng tin cậy, tính liên tục trong kinh doanh, bảo mật ứng dụng, an ninh mạng và thuê ngoài. Một số trong số này cũng rơi vào ISO27k;
- SC 27 / WG5 – Công nghệ quản lý danh tính và quyền riêng tư: thực hiện khá chính xác ‘những gì nó nói trên tin’ (tiêu đề tự giải thích). Bao gồm sinh trắc học.
Xem thêm:
Cách tính thuế nhập khẩu hàng hóa như thế nào là chuẩn?