Tiêu chuẩn quốc gia TCVN 13723-1:2023 (ISO/IEC 19896-1:2018) về Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với kiểm thử viên và đánh giá viên bảo mật thông tin - Phần 1: giới thiệu, khái niệm và yêu cầu chung
TIÊU CHUẨN QUỐC GIA
TCVN 13723-1:2023
ISO/IEC 19896-1:2018
KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ NĂNG LỰC ĐỐI VỚI KIỂM THỬ VIÊN VÀ ĐÁNH GIÁ VIÊN BẢO MẬT THÔNG TIN - PHẦN 1: GIỚI THIỆU, KHÁI NIỆM VÀ YÊU CẦU CHUNG
IT security techniques - Competence requirements for information security testers and evaluators - Part 1: Introduction, concepts and general requirements
Mục lục
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Các khái niệm
5 Các yếu tố của năng lực
5.1 Năng lực
5.2 Kiến thức
5.3 Kỹ năng
5.4 Kinh nghiệm
5.5 Trình độ đào tạo
5.6 Tính hiệu quả
6 Các mức năng lực
6.1 Tổng quan
6.2 Mức 1 (Hỗ trợ)
6.3 Mức 2 (Chuyên nghiệp)
6.4 Mức 3 (Quản lý)
6.5 Mức 4 (Lãnh đạo)
7 Đánh giá các yếu tố của năng lực
7.1 Kiến thức
7.2 Kỹ năng
7.3 Kinh nghiệm
7.4 Trình độ đào tạo
7.5 Tính hiệu quả
7.6 Lưu giữ hồ sơ năng lực
Lời nói đầu
TCVN 13723-1:2023 hoàn toàn tương đương với ISO/IEC 19896-1:2018.
TCVN 13723-1:2023 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
Bộ tiêu chuẩn TCVN 13723, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin, gồm 3 phần:
- TCVN 13723-1, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 1: Giới thiệu, khái niệm và yêu cầu chung.
- TCVN 13723-2, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 2: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với Kiểm thử viên theo TCVN 11295 (ISO/IEC 19790).
- TCVN 13723-3, Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về năng lực đối với Kiểm thử viên và Đánh giá viên bảo mật thông tin - Phần 3: Yêu cầu về kiến thức, kỹ năng và tính hiệu quả đối với Đánh giá viên theo TCVN 8709 (ISO/IEC 15408).
Giới thiệu
Mục tiêu của bộ tiêu chuẩn này là cung cấp các khái niệm cơ bản liên quan đến các chủ đề về năng lực của các cá nhân chịu trách nhiệm thực hiện đánh giá sản phẩm an toàn thông tin mạng và kiểm thử sự phù hợp. Bộ tiêu chuẩn này cung cấp khuôn khổ và các yêu cầu chuyên môn xác định năng lực tối thiểu của các cá nhân thực hiện đánh giá sản phẩm an toàn thông tin mạng và kiểm thử sự phù hợp bằng cách sử dụng các tiêu chuẩn đã được thiết lập.
Để đạt được mục tiêu này, bộ tiêu chuẩn này bao gồm các nội dung sau:
a) Các thuật ngữ và định nghĩa liên quan đến chủ đề năng lực trong đánh giá và kiểm thử sản phẩm an toàn thông tin mạng;
b) Các khái niệm cơ bản liên quan đến năng lực trong đánh giá sản phẩm an toàn thông tin mạng và kiểm thử sự phù hợp;
c) Yêu cầu năng lực tối thiểu đối với đánh giá viên và kiểm thử viên thực hiện kiểm thử/đánh giá sản phẩm an toàn thông tin mạng.
Bộ tiêu chuẩn này liên quan đến:
a) Chuyên gia đánh giá an toàn thông tin và kiểm thử sự phù hợp;
b) Cơ quan có thẩm quyền phê duyệt đánh giá an toàn thông tin và kiểm thử sự phù hợp;
c) Phòng thử nghiệm đánh giá và kiểm thử sự phù hợp an toàn thông tin.
d) Các nhà cung cấp hoặc nhà cung cấp công nghệ có sản phẩm an toàn thông tin mạng có thể là đối tượng của các cuộc đánh giá đảm bảo an toàn thông tin hoặc kiểm thử sự phù hợp;
e) Các tổ chức cấp chứng nhận hoặc thừa nhận.
Bộ tiêu chuẩn này được chia thành ba phần, nội dung các phần đề cập đến năng lực của kiểm thử viên và đánh giá viên được trình bày ở phần sau.
Trong tiêu chuẩn này, phần giới thiệu và các khái niệm, cung cấp một cái nhìn tổng quan về các định nghĩa, khái niệm cơ bản và mô tả chung được sử dụng để truyền đạt các yêu cầu năng lực về chuyên môn cho một số lĩnh vực. Tiêu chuẩn này nhằm cung cấp kiến thức cơ bản cần thiết để sử dụng làm khuôn mẫu được trình bày trong các phần khác của bộ tiêu chuẩn này một cách thích hợp.
Phần 2 của bộ tiêu chuẩn này mô tả yêu cầu về năng lực tối thiểu theo từng mức năng lực đối với Kiểm thử viên sự phù hợp áp dụng TCVN 11295:2016 (ISO 19790:2012) và các tiêu chuẩn liên quan.
Phần 3 của bộ tiêu chuẩn này mô tả yêu cầu năng lực tối thiểu theo từng mức năng lực đối với đánh giá viên bảo mật thông tin áp dụng TCVN 8709 (ISO/IEC 15408) và các tiêu chuẩn liên quan.
KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ NĂNG LỰC ĐỐI VỚI KIỂM THỬ VIÊN VÀ ĐÁNH GIÁ VIÊN BẢO MẬT THÔNG TIN - PHẦN 1: GIỚI THIỆU, KHÁI NIỆM VÀ YÊU CẦU CHUNG
IT security techniques - Competence requirements for information security testers and evaluators - Part 1: Introduction, concepts and general requirements
1 Phạm vi áp dụng
Tiêu chuẩn này xác định các thuật ngữ và thiết lập có tổ chức tập hợp các khái niệm cùng mối quan hệ để hiểu các yêu cầu năng lực đối với các kiểm thử viên và đánh giá viên sự phù hợp, đảm bảo an toàn thông tin. Từ đó, là cơ sở để hiểu được về các khái niệm và nguyên tắc trọng tâm của bộ tiêu chuẩn này thông qua cộng đồng người dùng. Phần này cung cấp thông tin cơ bản cho người sử dụng bộ tiêu chuẩn này.
2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu có ghi năm công bố thì áp dụng phiên bản đã nêu. Đối với các tài liệu không ghi năm công bố thì áp dụng phiên bản mới nhất (bao gồm cả sửa đổi, bổ sung).
- TCVN ISO/IEC 17000:2007 (ISO/IEC 17000:2004), Đánh giá sự phù hợp Từ vựng và các nguyên tắc chung.
- TCVN ISO/IEC 17025:2017 (ISO/IEC 17025:2017), Yêu cầu chung về năng lực của phòng thử nghiệm và hiệu chuẩn.
3 Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các định nghĩa và thuật ngữ sau đây:
Năng lực (competence)
Khả năng áp dụng kiến thức, sự hiểu biết và kỹ năng để đạt được kết quả như dự định.
[Nguồn: 3.6, TCVN ISO/IEC 17024:2012 (ISO/IEC 17024:2012)]
Kiểm thử viên sự phù hợp (conformance-tester)
Kiểm thử viên (tester)
Cá nhân được giao thực hiện các hoạt động kiểm thử theo một tiêu chuẩn kiểm thử sự phù hợp nhất định và phương pháp kiểm thử liên quan.
CHÚ THÍCH 1: Ví dụ một tiêu chuẩn như vậy là TCVN 11295:2016 (ISO 19790:2012) và phương pháp kiểm thử được quy định trong TCVN 12211:2018 (ISO/IEC 24759:2017).
Đào tạo (education)
Quá trình tiếp nhận hoặc đưa ra hướng dẫn có hệ thống, điển hình là ở trường học hoặc trường đại học.
Tính hiệu quả (effectiveness)
Khả năng áp dụng kiến thức và kỹ năng một cách hiệu quả, được đặc trưng bởi các thuộc tính của hành vi như năng khiếu, sáng kiến, sự nhiệt tình, sự chủ động, kỹ năng giao tiếp, làm việc nhóm và lãnh đạo.
Đánh giá viên (evaluator)
Cá nhân được giao thực hiện đánh giá theo một tiêu chuẩn đánh giá nhất định và phương pháp đánh giá liên quan.
.........................
Nội dung tiêu chuẩn bằng File Word (đang tiếp tục cập nhật)
Ý kiến bạn đọc
