Một số lưu ý của series này: Chúng tôi gọi nó là simple keyword. + Các từ khoá thường được định nghĩa theo các cơ quan, tổ chức, các bài báo khoa học đã định nghĩa từ trước(có trích nguồn) hoặc do tác giả tự bịa ra. + Các từ khoá không được sắp xếp theo trình tự hoặc logic nào cả. + Tất cả các định nghĩa trong mục này chỉ mang tính chất gợi ý để tìm hiểu, không có giá trị học thuật và trích dẫn. Để có được một thông tin chính xác vui lòng truy cập vào các kho tài liệu uy tín. + Do thời gian hạn hẹp nên đôi khi lỗi chính tả hoặc thiếu sót là không thể tránh khỏi. Cảm ơn quý độc giả.
Tiêu chuẩn bảo mật là một bộ quy tắc, nguyên tắc hay hướng dẫn được quy định rộng rãi mà một đơn vị, tổ chức áp dụng để đảm bảo mức duy trì độ an toàn thông tin. Những tiểu chuẩn bảo mật của mỗi một tổ chức khác nhau là khác nhau. Tính đến thời điểm hiện tại không có một tiêu chuẩn chung nào cho toàn cầu. Đưa ra một tiêu chuẩn chung là một quá trình dài hơi và phức tạp, cần có sự nhất quán của tất cả các bên. Một số tiêu chuẩn thường được đề cập đến là NIST SP800-53, ISO/IEC 27001,... Trong phần này chúng tôi không đề cập lại chi tiết về các tiêu chuẩn bảo mật. Các tài liệu về tiêu chuẩn bảo mật được quy định chi tiết và đẩy đủ tại trang chủ của mỗi tổ chức.
Các tổ chức này xây dựng tiêu chuẩn theo hướng nào? Mỗi một tổ chức lại có một "triết lý" xây dựng tiêu chuẩn bảo mật riêng sao cho có thể áp dụng vào đúng mục đích thiết kế của nó. Giả thử như tiêu chuẩn ISO/IEC27001 được xây dựng cho tất cả các cơ quan tổ chức trên thế giới. Do việc thiết kế cho phạm vi đối tượng vô cùng rộng lớn do đó nó khó có thể kĩ càng và chi tiết tới từng cấu tạo của hệ thống được. Vậy nên các tiêu chuẩn trong ISO/IEC27001 chỉ mang tính gợi ý. Chúng gợi mở ra những vẫn đề mà tổ chức cần giải quyết và phải tự lên phương án cũng như hoạch định kế hoạch xây dựng. Nếu bạn tìm kiếm một tiểu chuẩn kĩ càng và chi tiết hơn cho việc thiết kế hệ thống của mình thì có thể tuân theo NIST-SP800-53. Đây là một tiêu chuẩn được xây dựng bởi viện tiêu chuẩn và công nghệ quốc gia Hoa Kì. NIST đã có kinh nghiệm trong việc xây dựng một loạt các tiêu chuẩn về an toàn thông tin cho Hoa Kì. Do đó tiêu chuẩn này được áp dụng rộng rãi ở Hoa Kì và một số quốc gia khác. Tuy nhiên tiêu chuẩn này vẫn có một số nhược điểm không thể loại bỏ. Thứ nhất, đây là tiêu chuẩn xây dựng cho Hoa Kì nên trong nhiều trường hợp nó không phù hợp với các quốc gia khác khác. Sự khác biệt này là có do các vấn đề bên ngoài chính trị, xã hội, văn hoá, tiềm lực kinh tế và nhiều lí do khác. Thứ hai, mặc dù tiêu chuẩn này đã chi tiết hơn so với tiêu chẩun ISO nhưng nó vẫn chưa đủ chi tiết để người phát triền hệ thống có thế dễ dàng tuân thủ được. Mỗi một tổ chức vẫn cần xây dựng lại chi tiết tiêu chuẩn cho hệ thống của mình để đạt được hiệu quả cao nhất đối với toàn bộ tổ chức. Ngoài ra cũng có nhiều tiêu chuẩn khác đối với những lĩnh vực, ngành hàng khác nhau và chúng đều có những điểm yếu cố hữu. Vì thể để đảm bảo ản toàn các tiêu chuẩn phải được xây dựng là duy nhất đối với một hệ thống và được cập nhật thường xuyên và định kì để đảm bảo tiêu chuẩn luôn đáp ứng nhu cầu đối với tình hình thực tế.
Do tính cá nhân hoá cao nên việc xác định xây dựng một tiêu chuẩn chung cho cả thế giới vẫn không được chú trọng và tập trung phát triển. Do vậy sẽ có 2 vấn đề nảy sinh ở đấy. Thứ nhất là đối với các tổ chức xây dựng theo tiêu chuẩn của một bên thứ 3. Các tiêu chuẩn này đôi khi sẽ không phù hợp ngay thậm chí là gây tốn kém lãng phí đối với tổ chức. Vấn đề còn lại là của các tổ chức không tuân theo tiêu chuẩn nào cả. Đây là một vấn đề cực lớn mà khó có thể khắc phục. Đặc biệt chúng ảnh hưởng nghiêm trọng tới an ninh quốc gia. Một hoặc tổ chức thuộc một quốc gia nào đấy bị tấn công sẽ ảnh hưởng nghiêm trọng tới uy tín, tài sản và ổn định kinh tế, quốc phòng của quốc gia cũng như tổ chức trực tiếp bị thiệt hại.
Trên đây là một vào điều về việc xây dựng tiêu chuẩn và các tiêu chuẩn về an toàn thông tin trên thế giới. Cảm ơn quý độc giả và các bạn đã ủng hộ bài viết đầu tiên trong series này.
Khoa học và công nghệ khác