BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH VIỆT NAM THUYẾT MINH TIÊU CHUẨN NGHIÊN CỨU XÂY DỰNG TIÊU CHUẨN VIỆT NAM VỀ “HƯỚNG DẪN CÁC BIỆN PHÁP AN TỒN THƠNG TIN CHO SỬ DỤNG DỊCH VỤ ĐIỆN TOÁN ĐÁM MÂY DỰA TRÊN ISO/IEC 27002” Hà Nội, 11/2017 MỤC LỤCC LỤC LỤCC Mở đầu Tổng quan tình hình chuẩn hóa ngồi nước an tồn thơng tin biện pháp an tồn thơng tin cho dịch vụ điện toán đám mây 1.1.Khảo sát tiêu chuẩn hóa an tồn thơng tin .4 1.1.1 Các tiêu chuẩn an tồn thơng tin giới 1.1.2 Các tiêu chuẩn an tồn thơng tin Việt Nam 11 1.2 Lý xây dựng tiêu chuẩn Việt Nam hướng dẫn biện pháp an tồn thơng tin cho sử dụng dịch vụ điện toán đám mây 16 1.3 Mục đích xây dựng tiêu chuẩn .18 Sở xây dựng tiêu chuẩn .19 2.3 Phạm vi khả áp dụng tiêu chuẩn Việt Nam 19 2.3.1 Phạm vi áp dụng .19 2.3.2 Khả áp dụng 20 Nội dung dự thảo tiêu chuẩn kỹ thuật .20 3.1 Giới thiệu ISO/IEC 27017:2015 20 3.2 Cấu trúc nội dung dự thảo tiêu chuẩn 22 3.3 Bảng đối chiếu tiêu chuẩn viện dẫn 23 Kết luận .28 Mở đầu (1) Đặt vấn đề Điện tốn đám mây hiểu cách đơn giản mơ hình sử dụng tài ngun tính tốn cách “tập trung”, có khả thay đổi theo nhu cầu, tài nguyên phần cứng, phần mềm, liệu Thông qua kết nối Internet, người dùng truy cập tài nguyên phần cứng, liệu, phần mềm nhà cung cấp “đám mây” thời gian địa điểm Mơ hình điện tốn đám mây cung cấp khả truy cập hệ thống thông tin với chi phí rẻ, tài nguyên theo nhu cầu, … Hiện nay, Điện toán đám mây coi xu hướng chủ đạo ngành cơng nghệ thơng tin tồn cầu Các hoạt động liên quan đến điện toán đám mây diễn nhiều quan phủ giới Tại nhiều nước, mơ hình máy chủ ảo thực quan tâm ứng dụng hiệu Cộng đồng châu Âu, Uỷ ban châu Âu số nước thành viên triển khai hoạt động để hướng tới việc xây dựng sở hạ tầng chung dựa mơ hình điện tốn đám mây cho quốc gia thành viên Chính phủ Nhật triển khai sáng kiến lớn điện toán đám mây, nhân rộng “đám mây Kasumigaseki” Sáng kiến nhằm phát triển mơi trường điện tốn đám mây riêng host tồn hệ thống tính tốn phủ Nhật Bản Đám mây Kasumigaseki hỗ trợ chia sẻ thông tin tài nguyên mức độ cao khuyến khích hoạt động tiêu chuẩn hố, tập trung hố tài ngun CNTT phủ Điện tốn đám mây có xu hướng phát triển nhanh, xem công nghệ, tảng quan trọng Cuộc cách mạng công nghiệp 4.0 Tại Việt Nam, Điện toán đám mây xuất từ năm 2009, thị trường cung cấp sử dụng dịch vụ điện toán đám mây phát triển mạnh mẽ Bên cạnh lợi ích tiềm năng, kèm xu phát triển khơng thách thức Các rào cản kỹ thuật chất lượng đường truyền kết nối Internet, bảo mật thơng tin, liệu, tính riêng tư, quyền kiểm soát liệu Sự thay đổi từ phương thức đầu tư sang chi thuê dịch vụ xem trở ngại Đặc biệt, vấn đề an tồn thơng tin đối hoạt động cung cấp sử dụng dịch vụ điện toán đám mây vấn đề quan trọng cần phải quan tâm nhằm giảm thiểu rủi ro, hiểm họa nguy an tồn thơng tin Đồng thời, Việt Nam chưa có tiêu chuẩn hướng dẫn biện pháp an toàn thơng tin cho dịch vụ điện tốn đám mây, khía cạnh người sử dụng dịch vụ điện tốn đám mây nhà cung cấp dịch vụ điện toán đám mây Do vậy, việc xây dựng tiêu chuẩn “hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện toán đám mây dựa tiêu chuẩn ISO/IEC 27017:2015” nhằm hoàn thiện hệ thống tiêu chuẩn an tồn thơng tin nói chung an tồn cho dịch vụ điện toán đám mây Việt Nam cần thiết; tiêu chuẩn, tài liệu quan trọng để quan, tổ chức doanh nghiệp cung cấp sử dụng dịch vụ điện toán đám mây, quan, đơn vị quản lý nhà nước an tồn thơng tin ứng cứu cố tham khảo, áp dụng nhằm đảm bảo hoạt động an tồn thơng tin, ứng cứu cố (2) Mục tiêu việc xây dựng tiêu chuẩn: Cung cấp hướng dẫn để hỗ trợ thực kiểm soát an tồn thơng tin cho đối tượng quan, tổ chức, doanh nghiệp cá nhân cung cấp sử dụng dịch vụ điện tốn đám mây Hồn thiện Bộ tiêu chuẩn quốc gia (27xxx) an toàn thông tin (3) Tên dự thảo tiêu chuẩn quốc gia: Cơng nghệ thơng tin - Các kỹ thuật an tồn - Quy tắc thực hành cho kiểm soát an tồn thơng tin dựa ISO/IEC 27002 cho dịch vụ đám mây Information technology - Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services Tổng quan tình hình chuẩn hóa ngồi nước an tồn thơng tin biện pháp an tồn thơng tin cho dịch vụ điện toán đám mây 1.1 Khảo sát tiêu chuẩn hóa an tồn thơng tin 1.1.1 Các tiêu chuẩn an tồn thơng tin giới Trong năm gần đây, loại hình xâm nhập trái phép vào hệ thống CNTT tăng quy mô mức độ ảnh hưởng, tác động vào hệ thống đích Hệ thống máy tính tổ chức thường xun phải đối phó với cơng, xâm nhập trái phép, gây rị rỉ, mát thơng tin, chí dừng hoạt động, ảnh hưởng tiêu cực đến tiến độ, chất lượng cơng việc, kéo theo tổn thất kinh tế, uy tín tổ chức chí ảnh hưởng tới an ninh quốc gia Khi tổ chức có quy mơ lớn, tính chất thơng tin phức tạp, u cầu áp dụng tiêu chuẩn, sách an tồn thông tin cách chi tiết, rõ ràng yếu tố định đến việc đảm bảo ATTT ổn định bền vững Việc chuẩn hóa cơng tác đảm bảo an tồn thơng tin việc thực đồng thời chuẩn hóa yếu tố liên quan đến người; quy trình cơng nghệ Trong đó, yếu tố người liên quan đến vấn đề nhận thức an tồn thơng tin, tuân thủ theo văn pháp lý tổ chức; chuẩn hóa quy trình việc xây dựng, áp dụng kiểm soát hành lang pháp lý hệ thống luật, sách, quy định an tồn thơng tin Cịn chuẩn hóa cơng nghệ yêu cầu thông số kỹ thuật, yêu cầu lực hệ thống hay trang thiết bị kỹ thuật Một giải pháp toàn diện mang lại hiệu cao, giảm thiểu rủi ro gây an tồn thơng tin quốc gia giới thực việc chuẩn hóa cơng tác đảm bảo an tồn thơng tin theo tiêu chuẩn quốc tế Hệ thống quản lý an toàn thông tin tiêu chuẩn ISO 27xxx Hàng năm tổ chức tiêu chuẩn quốc tế liên tục cập nhật xây dựng tiêu chuẩn công nghệ thơng tin - kỹ thuật an tồn thơng tin Trong tiêu chuẩn an tồn thơng tin liên quan đến vấn đề quản lý an tồn thơng tin có tiêu chuẩn ISO/IEC 27xxx Bộ tiêu chuẩn 27000 phần hệ thống quản lý chung tổ chức, thực dựa nguyên tắc tiếp cận rủi ro hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, trì cải tiến đảm bảo an tồn thơng tin tổ chức Bộ tiêu chuẩn ISO/IEC 27000 cung cấp mơ hình để thiết lập, thực hiện, điều hành, theo dõi, xem xét, trì cải tiến hệ thống quản lý an tồn thơng tin (ISMS) Bộ tiêu chuẩn ISO/IEC 27000 soạn thảo ủy ban kỹ thuật chung ISO/IEC JTC 1, công nghệ thông tin, tiểu ban SC 27, kỹ thuật an tồn thơng tin ISMS thiết kế nhằm đảm bảo lựa chọn phương pháp kiểm sốt an tồn thỏa đáng phù hợp nhằm bảo vệ tài sản thông tin tạo niềm tin cho bên quan tâm Bộ tiêu chuẩn ISO/IEC 27000 giúp nhận biết, đánh giá rủi ro, xây dựng biện pháp tạo ý thức, trách nhiệm nhân viên việc bảo vệ thông tin tổ chức Bộ tiêu chuẩn áp dụng cho tất loại hinh tổ chức (như doanh nghiệp, quan phủ, tổ chức phi lợi nhuận) Tiêu chuẩn xác định yêu cầu để thiết lập, thực hiện, vận hành, theo dõi xem xét trì cải tiến ISMS dạng văn bối cảnh toàn rủi ro công việc tổ chức Xác định rõ yêu cầu thực kiểm soát an toàn tùy biến cho phù hợp với tổ chức hay phận riêng rẽ Bộ tiêu chuẩn ISO/IEC 27000 bao gồm tiêu chuẩn sau : (1) ISO/IEC 27000 – ISMS Tổng quát từ vựng; (2) ISO/IEC 27001 – ISMS yêu cầu; (3) ISO/IEC 27002 –Chuẩn mực thực ISM; (4) ISO/IEC 27003 – Hướng dẫn triển khai ISMS; (5) ISO/IEC 27004 – Đo lường ISM; (6) ISO/IEC 27005 – Quản lý rủi ro IS; (7) ISO/IEC 27006 – Yêu cầu tổ chức đánh giá chứng nhận ISMS; (8) ISO/IEC 27011 – Hướng dẫn ISM cho tổ chức viễn thông; (9) ISO 27799 – ISM y tế sử dụng ISO/IEC 27002; (10) ISO/IEC 27007 –Hướng dẫn đánh giá ISMS; (11) ISO/IEC 27008 – Hướng dẫn cho chuyên gia đánh giá ISMS controls; (12) ISO/IEC 27013 – Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 ISO/IEC 27001; (13) ISO/IEC 27014 – Khung quản lý IS; (14) ISO/IEC 27015 – Hướng dẫn ISM cho tài bảo hiểm; (15) ISO/IEC 27031 – Hướng dẫn mức độ sẵn sàng ICT cho BCM; (16) ISO/IEC 27032 – Hướng dẫn cybersecurity; (17) ISO/IEC 27033 – IT network security; (18) ISO/IEC 27034 – Hướng dẫn application security; (19) ISO/IEC 27035 – Quản lý security incident; (20) ISO/IEC 27036 – Hướng dẫn bảo mật sử dụng outsourcing; (21) ISO/IEC 27037 – Hướng dẫn xác định, thu thập thu nhận bảo quản chứng số Lợi ích việc áp dụng tiêu chuẩn ISO/IEC 27xxx:  Chứng tỏ cam kết đảm bảo an tồn thơng tin mức độ  Đảm bảo tính sẵn sàng tin cậy phần cứng sở liệu  Bảo mật thông tin, tạo niềm tin cho đối tác, khách hàng  Giảm thiểu rủi ro gặp phải  Nhanh chóng khắc phục cố xảy  Giảm giá thành chi phí bảo hiểm  Nâng cao nhận thức trách nhiệm nhân viên an tồn thơng tin Cấu trúc tiêu chuẩn ISO 27000: Hình mơ tả mối quan hệ tiêu chuẩn họ ISO 27000 Hình Mối quan hệ tiêu chuẩn họ ISO/IEC 27000 Các tiêu chuẩn an tồn thơng tin thuộc họ 27000 công bố dự thảo Bảng Bảng danh mục tiêu chuẩn công bố dự thảo ISO/IEC 27000 Năm xuất 2016 ISO/IEC 27001 2013 ISMS- Các yêu cầu ISO/IEC 27002 2013 Quy tắc thực hành quản lý an tồn thơng tin ISO/IEC 27003 2017 ISMS- Hướng dẫn triển khai ISO/IEC 27004 2016 Quản lý an tồn thơng tin- Đo lường ISO/IEC 27005 2011 Quản lý rủi ro an tồn thơng tin ISO/IEC 27006 2015 u cầu tổ chức ISO/IEC 27007 2011 Hướng dẫn đánh giá hệ thống quản lý an tồn thơng tin ISO/IEC TR 2011 Hướng dẫn chuyên gia đánh giá kiểm soát hệ Tiêu chuẩn Nội dung Hệ thống quản lý an tồn thơng tin (ISMS) Tổng quan từ vựng 27008 thống an tồn thơng tin ISO/IEC 27009 2016 Ứng dụng ngành cụ thể ISO/IEC 27001Các yêu cầu ISO/IEC 27010 2015 Quản lý an tồn thơng tin cho truyền thông liên ngành liên tổ chức ISO/IEC 27011 2016 Hướng dẫn quản lý an tồn thơng tin cho tổ chức viễn thông dựa tiêu chuẩn ISO/IEC 27002 ISO/IEC 27013 2015 Hướng dẫn thực tích hợp ISO/IEC 27001 ISO/IEC 20000-1 ISO/IEC 27014 2013 Quản trị an tồn thơng tin ISO/IEC 27015 TR 2012 Hướng dẫn quản lý an tồn thơng tin cho dịch vụ tài ISO/IEC 27016 TR 2014 Quản lý an tồn thơng tin- Các tổ chức kinh tế ISO/IEC 27017 2015 Quy tắc thực hành kiểm sốt an tồn thơng tin cho dịch vụ điện toán đám mây dựa ISO 27002 ISO/IEC 27018 2014 ISO/IEC 27019 2013 Quy tắc thực hành để kiểm sốt, bảo vệ thơng tin định danh cá nhân xử lý dịch vụ điện toán đám mây Hướng dẫn quản lý an tồn thơng tin dựa ISO/IEC 27002 cho hệ thống kiểm soát quy trình đặc trưng ngành cơng nghiệp lượng TR ISO/IEC 27021 Draft Yêu cầu lực cho chuyên gia quản lý an tồn thơng tin ISO/IEC 27023 2015 Ánh xạ ấn sửa đổi cho ISO/IEC 27001 ISO 27002 ISO/IEC 27031 2011 Hướng dẫn công nghệ thơng tin truyền thơng cho tính liên tục nghiệp vụ ISO/IEC 27032 ISO/IEC 27033 ISO/IEC 27034 2012 -1 2015 Khái niệm tổng quan an toàn mạng -2 2012 Hướng dẫn thiết kế triển khai an toàn mạng -3 2010 Các kịch kết nối mạng tham chiếu- Nguy cơ, kỹ thuật thiết kế vấn đề kiểm sốt -4 2014 Bảo mật truyền thơng mạng sử dụng cổng an toàn -5 2013 Bảo mật truyền thông mạng sử dụng VPN (mạng riêng ảo) -6 2016 Bảo vệ truy cập mạng không giây -1 2011 An toàn ứng dụng - Khái niệm tổng quan -2 2015 Khung quy tắc cho tổ chức -3 Dự thảo Quy trình quản lý an tồn ứng dụng -4 Dự thảo Xác nhận an toàn ứng dụng -5 Dự thảo Giao thức cấu trúc liệu kiểm soát bảo mật ứng dụng -6 2016 -7 Dự thảo ISO/IEC 27035 ISO/IEC 27036 Hướng dẫn an toàn không gian mạng Trường hợp nghiên cứu Khung dự báo đảm bảo an toàn ứng dụng -1 2016 ISMS- Quy tắc quản lý cố an tồn thơng tin -2 2016 Hướng dẫn lập kế hoạch chuẩn bị ứng cứu cố -3 Hướng dẫn cho hoạt động ứng cứu cố ICT (công nghệ thông tin truyền thơng) -1 2014 An tồn thơng tin cho mối quan hệ cung ứng - Tổng quan khái niệm -2 2014 Yêu cầu chung tục hoạt động 14 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn cho an toàn mạng (cybersecurity) ISO/IEC 27032:2012 TCVN 11780:2017 15 Công nghệ thông tin - Kỹ thuật an ninh - An ninh mạng Phần 1: Tổng quan khái niệm ISO/IEC 27033-1:2009 TCVN 98011:2013 16 Công nghệ thơng tin - Các kỹ thuật an tồn- An toàn mạng - Phần 2: Hướng dẫn thiết kế triển khai an toàn mạng ISO/IEC 27033-2:2012 TCVN 98012:2015 17 Cơng nghệ thơng tin - Kỹ thuật an tồn - An toàn mạng - Phần 3: Các kịch kết nối mạng tham chiếu - Nguy cơ, kỹ thuật thiết kế vấn đề kiểm soát ISO/IEC 27033-3:2010 TCVN 98013:2014 18 Công nghệ thông tin - Các kỹ thuật an tồn – Quản lý cố an tồn thơng tin ISO/IEC 27035:2011 TCVN 11239:2015 19 Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn xác định, tập hợp, thu thập bảo quản chứng số ISO/IEC 27037:2012 Hồn thiện dự thảo chờ cơng bố Đang hoàn chỉnh dự thảo Bên cạnh tiêu chuẩn hệ thống quản lý an tồn thơng tin cơng bố tiêu chuẩn tiêu chí chung công bố bảng đây: 14 Bảng 3: Các tiêu chuẩn quốc gia tiêu chí chung ST T Tên tiêu chuẩn Tài liệu tham khảo Đã công bố Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu mơ hình tổng qt ISO/IEC 154081:2009 TCVN 87091:2011 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an tồn CNTT - Phần 2: Các thành phần chức an toàn ISO/IEC 154082:2008 TCVN 87092:2011 Công nghệ thông tin - Các kỹ thuật an tồn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an tồn ISO/IEC 154083:2008 TCVN 87093:2011 Cơng nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống phương pháp đánh giá an tồn thơng tin ISO/IEC 18045 TCVN 11386:2016 Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn tạo tập hồ sơ bảo vệ đích an tồn ISO/IEC TR 15446:200 Đang lấy ý kiến góp ý Bên cạnh số tiêu chuẩn 27xxx xây dựng năm 2017 bảng đây: Bảng Các tiêu chuẩn xây dựng năm 2017 STT Tên tiêu chuẩn Công nghệ thông tin – Các kỹ thuật an toàn – Hướng dẫn bảo đảm phù hợp đầy đủ theo phương pháp điều tra cố Công nghệ thông tin – Các kỹ thuật an toàn – Nguyên tắc quy trình điều tra cố Quy phạm thực hành bảo vệ thơng tin định danh cá nhân (PII) đám mây cơng cộng có chức Tài liệu tham khảo ISO/IEC 27041 ISO/IEC 27043 ISO/IEC 27018 15 xử lý PII Hướng dẫn biện pháp an tồn thơng tin cho sử dụng dịch vụ điện tốn đám mây dựa ISO/IEC 27002 Công nghệ thông tin – Các kỹ thuật an toàn - Quản trị an tồn thơng tin ISO/IEC 27017 ISO/IEC 27014 1.2 Lý xây dựng tiêu chuẩn Việt Nam hướng dẫn biện pháp an tồn thơng tin cho sử dụng dịch vụ điện toán đám mây Điện toán đám mây (clouding computing) hay cịn gọi điện tốn máy chủ ảo mơ hình điện tốn sử dụng cơng nghệ máy tính phát triển dựa mạng Internet Độ phức tạp sở hạ tầng liên tưởng đám mây, nguồn điên toán khổng lồ phần mềm, dịch vụ nằm máy chủ ảo internet thay máy tính, hệ thống văn phịng mục đích nhằm cho người dễ dàng kết nối sử dụng cần Điện toán đám mây máng lại nhiều lợi ích to lớn như:  Sử dụng tài ngun tính tốn động  Giảm thiểu chi phí đầu tư  Giảm độ phức tạp cầu doanh nghiệp, tổ chức, quan, đơn vị  Rút ngắn thời gian phát triển sản phẩm, nâng cao chất lượng dịch vụ linh hoạt mơ hình kinh doanh  Đây xu hướng công nghệ, tảng quan trọng cách mạng công nghiệp 4.0 Tại Việt Nam thị trường cung cấp dịch vụ điện toán đám mây phát triển mạnh mẽ theo xu hướng công nghệ giới Tuy nhiên, kèm với xu hướng này, dịch vụ cung cấp sử dụng dịch vụ điện toán đám mây vấn đề quan trọng cần phải quan tâm nhằm giảm thiểu rủi ro, hiểm họa an tồn thơng tin chất dịch vụ điện tốn đám mây ln kèm với rủi ro an tồn thơng tin mà mang lại như:  Rủi ro lộ, lọt thông tin  Rủi ro mật 16  Giao diện API (application program interface) bị công  Tồn nhiều lỗ hổng hệ thống  Lừa đảo tài khoản  Đối diện với vấn đề mã độc  Mục tiêu cơng APT (tấn cơng có chủ đích), DoS (tấn công từ chối dịch vụ)  Mất liệu tạm thời Cho đến thời điểm tại, số quốc gia có kinh tế cơng nghiệp công nghệ thông tin phát triển ban hành áp dụng nhiều tiêu chuẩn liên quan đến an tồn thơng tin, điện tốn đám mây tiêu chuẩn: ISO/IEC 27000:2014, ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC 29100:2011, ISO/IEC 2017 ISO/IEC 27002:2014; ISO/IEC 27017 nhiều quốc gia Đức, Anh, Australia… ban hành áp dụng rộng rãi Tiêu chuẩn cung cấp chi tiết cách thức thiết lập kiểm sốt vấn đề an tồn thơng tin mơ hình tổ chức, hoạt động sản xuất Bên cạnh tiêu chuẩn hướng dẫn chi tiết biện pháp an tồn thơng tin việc sử dụng giao địch điện tử sử dụng dịch vụ điện toán đám mây Hiện tại, Việt Nam chưa có tiêu chuẩn hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện tốn đám mây, khía cạnh người sử dụng dịch vụ điện toán đám mây nhà cung cấp dịch vụ điện toán đám mây Do vậy, việc xây dựng tiêu chuẩn hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện tốn đám mây nhằm hoàn thiện hệ thống tiêu chuẩn an tồn thơng tin nói chung an tồn cho dịch vụ điện toán đám mây Việt Nam cần thiết; tài liệu quan trọng để quan, tổ chức doanh nghiệp cung cấp sử dụng dịch vụ điện toán đám mây, quan, đơn vị chuyên trách an tồn thơng tin ứng cứu cố tham khảo, áp dụng nhằm đảm bảo hoạt động an tồn thơng tin, ứng cứu cố 1.3 Mục đích xây dựng tiêu chuẩn Tại Việt Nam, tiêu chuẩn hướng dẫn giải pháp an toàn cho dịch vụ điện tốn đám mây chưa có, nhiên xu thị trường cung cấp 17 sử dụng dịch vụ điện tốn đám mây có xu hướng lớn mạnh, điều đòi hỏi Việt Nam cần xây dựng ban hành tiêu chuẩn để hướng dẫn biện pháp an tồn cho dịch vụ điện tốn đám mây Do vậy, mục đích nội dung nhiệm vụ là: - Đề xuất Dự thảo TCVN hướng dẫn biện pháp an tồn thơng tin cho sử dụng dịch vụ điện toán đám mây áp dụng chung cho tất các mơ hình tổ chức, doanh nghiệp, cá nhân sử dụng cung cấp dịch vụ điện tốn đám mây - Bổ xung hồn thiện TCVN hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện tốn đám mây dựa tiêu chuẩn ISO/IEC 27002 - Nội dung: + Nghiên cứu tổng quan an tồn điện tốn đám mây dịch vụ điện tốn đám mây; tình hình chuẩn hóa ngồi nước an tồn thơng tin phân tích sở lựa chọn tiêu chuẩn tham chiếu phù hợp để xây dựng + Xây dựng dự thảo TCVN hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện tốn đám mây dựa tiêu chuẩn ISO/IEC 27002 + Nghiên cứu biên soạn thuyết minh dự thảo TCVN hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện toán đám mây dựa tiêu chuẩn ISO/IEC 27002” chỉnh sửa, hoàn thiện dự thảo TCVN Sở xây dựng tiêu chuẩn 2.1 Lựa chọn tiêu chuẩn tham chiếu Tiêu chuẩn xây dựng dựa ISO/IEC 27017“Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services” tổ chức tiêu chuẩn quốc tế ban hành ngày 15/12/2015 Đây tài liệu nhiều quốc gia giới sử dụng làm tài liệu gốc để tham chiếu xây dựng tiêu chuẩn quốc gia tương đương 18 2.2 Phương pháp xây dựng tiêu chuẩn Dự thảo tiêu chuẩn TCVN ISO/IEC 27017: xxxx (xxxx:dự kiến năm công bố TCVN) xây dựng từ tiêu chuẩn quốc tế ISO/IEC 27017:2015 sở rà soát tiêu chuẩn Việt Nam quốc tế hệ thống quản lý an tồn thơng tin, tham khảo phương pháp xây dựng tiêu chuẩn/quy chuẩn, nhóm chủ trì xây dựng dự thảo tiêu chuẩn TCVN ISO/IEC TCVN ISO/IEC 27017: xxxx: theo phương pháp chấp thuận nguyên vẹn tiêu chuẩn quốc tế ISO/IEC 27017:2015 (có chỉnh sửa thể thức trình bày theo quy định hành trình bày Tiêu chuẩn quốc gia) 2.3 Phạm vi khả áp dụng tiêu chuẩn Việt Nam 2.3.1 Phạm vi áp dụng Tiêu chuẩn đưa hướng dẫn kiểm sốt an tồn thông tin áp dụng cho việc cung cấp sử dụng dịch vụ đám mây cách cung cấp: - Hướng dẫn triển khai bổ sung cho kiểm soát liên quan quy định ISO/IEC 27002; - Các kiểm soát bổ sung với hướng dẫn triển khai cụ thể hóa liên quan đến dịch vụ đám mây Tiêu chuẩn cung cấp kiểm soát hướng dẫn triển khai cho nhà cung cấp dịch vụ đám mây khách hàng dịch vụ đám mây không phân biệt tổ chức, doanh nghiệp 2.3.2 Khả áp dụng Dự thảo TCVN áp dụng cho quan, tổ chức, doanh nghiệp, cá nhân quản lý sử dụng cung cấp dịch vụ điện toán đám mây Nội dung dự thảo tiêu chuẩn kỹ thuật 3.1 Giới thiệu ISO/IEC 27017:2015  Tổng quan ISO/IEC 27017:2015 Tiêu chuẩn cung cấp hướng dẫn quy tắc thực hành cho kiểm sốt an tồn thông tin dựa ISO/IEC 27002 cho dịch vụ đám mây 19 ... tiết biện pháp an toàn thông tin việc sử dụng giao địch điện tử sử dụng dịch vụ điện toán đám mây Hiện tại, Việt Nam chưa có tiêu chuẩn hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện tốn đám. .. đám mây, khía cạnh người sử dụng dịch vụ điện toán đám mây nhà cung cấp dịch vụ điện toán đám mây Do vậy, việc xây dựng tiêu chuẩn hướng dẫn biện pháp an tồn thơng tin cho dịch vụ điện tốn đám mây. .. tồn thơng tin giới 1.1.2 Các tiêu chuẩn an tồn thơng tin Việt Nam 11 1.2 Lý xây dựng tiêu chuẩn Việt Nam hướng dẫn biện pháp an tồn thơng tin cho sử dụng dịch vụ điện tốn đám mây