Tiêu chuẩn quốc gia

lnformation technology - Security techniques - lnformation security management system implementation guidance

ISO/IEC 27003:2010
IDT - Tương đương hoàn toàn

35.040 - Bộ chữ và mã hóa thông tin

Tiêu chuẩn này tập trung vào các khía cạnh then chốt để thiết kế và triển khai thành công một hệ thống quản lý an toàn thông tin (ISMS) theo TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005). Tiêu chuẩn này mô tả quy trình đặc tả và thiết kế ISMS từ lúc khởi đầu đến khi đưa ra các kế hoạch triển khai. Tiêu chuẩn này cũng mô tả quy trình để được ban quản lý phê chuẩn cho triển khai ISMS, xác định một dự án triển khai ISMS (trong tiêu chuẩn này được gọi là dự án ISMS), và đưa ra hướng dẫn lập kế hoạch dự án ISMS để có được kế hoạch triển khai dự án ISMS chính thức
Tiêu chuẩn này dành cho các tổ chức triển khai ISMS. Tiêu chuẩn này có thể áp dụng cho tất cả các tổ chức ở mọi loại hình (ví dụ, các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức phi lợi nhuận) với đủ loại quy mô. Mỗi tổ chức có tính phức tạp và các rủi ro riêng, và các yêu cầu cụ thể của tổ chức sẽ chi phối việc triển khai ISMS. Các tổ chức có quy mô nhỏ sẽ nhận thấy các hoạt động được đưa ra trong tiêu chuẩn này đều có thể áp dụng cho họ và có thể được đơn giản hóa hơn nữa. Các tổ chức phức hợp hoặc quy mô lớn có thể nhận thấy cần phải có một hệ thống quản lý hoặc tổ chức theo phân cấp để quản lý các hoạt động trong tiêu chuẩn này một cách hiệu quả. Tuy nhiên, cả hai loại tổ chức đều có thể áp dụng tiêu chuẩn này để lập kế hoạch cho các hoạt động phù hợp.
Tiêu chuẩn này đưa ra các khuyến nghị và giải thích, không chỉ rõ các yêu cầu cụ thể. Tiêu chuẩn này được sử dụng phối hợp với TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) và TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005), nhưng không chủ ý thay đổi và/hoặc giảm bớt các yêu cầu trong TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) hoặc các khuyến nghị trong TCVN ISO/IEC 27002:2011 (ISO/IEC 27002:2005). Không cần thiết hợp chuẩn theo tiêu chuẩn này.

Các tài liệu sau đây là cần thiết để áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng bản mới nhất, bao gồm cả các sửa đổi (nếu có).
ISO/IEC 27000:2009, Information technology-Security techniques-Information security management systems-Overview and vocabulary (Công nghệ thông tin-Các kỹ thuật an toàn-Hệ thống quản lý an toàn thông tin-Tổng quan và từ vựng).
TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005), Công nghệ thông tin-Hệ thống quản lý an toàn thông tin-Các yêu cầu.