Tiêu chuẩn mới từ các tổ chức ISO và IEC đã cung cấp các yêu cầu chuyên môn quan trọng để đảm bảo năng lực của các cá nhân trong việc thực hiện đánh giá an toàn sản phẩm Công nghệ thông tin (CNTT).
Trong môi trường kỹ thuật số đang phát triển mạnh mẽ, thách thức về an toàn thông tin ngày càng trở nên phức tạp và đe dọa nền tảng bảo mật. Các tổ chức và doanh nghiệp đối diện với nguy cơ mất dữ liệu quan trọng, tấn công mạng, và sự kiểm soát không hiệu quả đối với thông tin nhạy cảm.
Trong bối cảnh này, việc áp dụng tiêu chuẩn ISO/IEC 19896-3:2018 trở nên vô cùng cần thiết. Tiêu chuẩn này không chỉ cung cấp một khung nhất quán và chi tiết cho việc đánh giá an toàn thông tin mà còn tập trung vào khả năng so sánh kết quả đánh giá. Điều này giúp đảm bảo quá trình đánh giá không chỉ đáp ứng các yêu cầu kỹ thuật mà còn đảm bảo tính chính xác và đồng nhất. Vì vậy, năng lực của người đánh giá, từ kiến thức cơ bản đến kỹ năng chuyên sâu và tính hiệu quả trong việc thực hiện đánh giá là rất quan trọng.
Theo đó, tiêu chuẩn ISO/IEC 19896-3:2018 không chỉ đảm bảo tính nhất quán và chất lượng trong quá trình đánh giá an toàn, mà còn tập trung vào sản phẩm CNTT theo TCVN 8709:2011(ISO/IEC 15408) và TCVN 11386:2016 (ISO/IEC 18045:2018). Bộ tiêu chuẩn TCVN 8709:2011 (ISO/IEC 15408) đã tạo ra cơ sở để so sánh kết quả đánh giá an toàn độc lập, đồng thời là nền tảng cho nhiều chương trình chứng nhận và đánh giá.
Tiêu chuẩn còn đặt ra yêu cầu chung về năng lực của phòng thử nghiệm và hiệu chuẩn, đồng thời quy định rõ ràng về tiêu chuẩn đào tạo dựa trên giáo dục, đào tạo, kinh nghiệm và chứng chỉ kỹ năng phù hợp.
Một trong những mục tiêu của tiêu chuẩn này là thiết lập ranh giới cho năng lực tối thiểu của các chuyên gia đánh giá theo TCVN 8709:2011 (ISO/IEC 15408), tạo điều kiện cho sự phù hợp trong các yêu cầu đào tạo đối với chuyên gia đánh giá, đặc biệt là liên quan đến cơ quan và chương trình đánh giá sản phẩm CNTT.
Các lĩnh vực kiến thức kỹ năng được đề cập đến trong tiêu chuẩn ISO/IEC 19896-3:2018
Bên cạnh đó, tiêu chuẩn chi tiết hóa các yêu cầu chuyên môn cần thiết cho đánh giá viên, bao gồm kiến thức về cơ quan đánh giá, quy trình đánh giá, phòng thử nghiệm, hệ thống quản lý, an toàn thông tin, công nghệ đánh giá, lớp đảm bảo cụ thể, yêu cầu chức năng an toàn cụ thể và công nghệ cụ thể.
Tiêu chuẩn cũng đặt ra các tiêu chí về hiệu quả chung, hiệu quả đánh giá và trách nhiệm của chương trình đánh giá đối với tính hiệu quả của người đánh giá. Nó đảm bảo tính kịp thời và chính xác trong quá trình đánh giá, cũng như tính hiệu quả trong việc báo cáo kết quả.
Hiện tại, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã đang tiến hành biên soạn TCVN theo ISO/IEC 19896-3:2018. Để biết thêm chi tiết về các yêu cầu của đánh giá viên, độc giả tham khảo thêm ISO/IEC 19896-3:2018, hoặc phiên bản TCVN 13723-3 đã được công bố.
Duy Trinh - VietQ
Chat zalo với ICERT