Đang tải... (xem toàn văn)
Việc xây dựng và thực hiện một chính sách antoàn thông tin đúng đắn không chỉ đảm bảo rằng thông tin này được bảo vệ mà còn giúpđảm bảo sự tin cậy của tổ chức trước mắt đối tác và khách
Trang 1LỚP: DHKQ17DTT
ĐỀ TÀI: CHÍNH SÁCH AN TOÀN THÔNT IN
GVHD: TH.S LÊ TRỌNG HIỀNNHÓM: 9
THÀNH VIÊN
1 Công Thị Trúc Vy 21076721(Nhóm trưởng)2 Nguyễn Tiến Nam 20056641
3 Nguyễn Thị Mỹ Uyên 211320914 Phạm Thanh Vân 210699115 Huỳnh Đức Won 210668016 Nguyễn Phước vũ 21079281
TP.HCM, tháng 11 năm 2023
Trang 2MỤC LỤC
LỜI MỞ ĐẦU 2
I CƠ SỞ LÝ THUYẾT 3
1.1Khái niệm về chính sách an toàn thông tin 3
1.2Nguyên tắc quản lý an toàn thông tin 3
1.3Cấu trúc của chính sách an toàn thông tin 4
1.4Lợi ích của chính sách an toàn thông tin 5
II.Tầm quan trọng của chính sách an toàn thông tin 6
2.1Bảo vệ thông tin quan trọng 6
2.2Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát 6
2.3Bảo vệ tổ chức khỏi những người dùng nội bộ và bên ngoài “độc hại” 7
2.4Thông báo nội bộ và bên ngoài thông tin đó là tài sản, tài sản riêng của tổ chức, và được bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại 7
2.5Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề pháp lý phát sinh 72.6Cung cấp hướng nâng cấp các tiêu chuẩn an ninh trong và ngoài tổ chức 7
III.Triễn khai một chính sách an toàn thông tin 8
3.1Xác định mục tiêu 8
3.2Xác định phạm vi 8
3.3Lập kế hoạch triễn khai 8
3.4Đào tạo và Sensibilization 9
Trang 3LỜI MỞ ĐẦU
Trong thời đại kỹ thuật số phát triển nhanh chóng hiện nay, việc bảo vệ thông tin cá nhânvà công ty trở thành một ưu tiên hàng đầu Cùng với sự phát triển của công nghệ thông tinvà mạng Internet, các rủi ro an ninh mạng ngày càng gia tăng, từ việc xâm nhập, lừa đảođến việc phá hoại hệ thống Điều này đòi hỏi chúng ta phải đặt chính sách an toàn thôngtin vào trung tâm của mọi hoạt động, cả cá nhân và tổ chức.
Trong thời đại số hóa hiện nay, thông tin là một tài sản vô cùng quý báu Từ dữ liệu doanhnghiệp cho thông tin cá nhân của cá nhân, việc bảo vệ và duy trì tính toàn vẹn của thôngtin đã trở nên quan trọng hơn bao giờ hết Việc xây dựng và thực hiện một chính sách antoàn thông tin đúng đắn không chỉ đảm bảo rằng thông tin này được bảo vệ mà còn giúpđảm bảo sự tin cậy của tổ chức trước mắt đối tác và khách hàng.
Đề tài này nhấn mạnh tầm quan trọng của chính sách an toàn thông tin trong môi trườngkỹ thuật số ngày nay Chúng tôi sẽ xem xét các khía cạnh quan trọng của việc phát triển,triển khai, và duy trì chính sách an toàn thông tin hiệu quả trong tổ chức Chúng ta sẽkhám phá tại sao chính sách này là một yếu tố không thể thiếu trong việc bảo vệ thông tinvà đảm bảo tuân thủ pháp luật liên quan đến an toàn thông tin.
Tiểu luận này cũng sẽ giới thiệu về các khái niệm cơ bản liên quan đến chính sách an toànthông tin, bao gồm đào tạo, sensibilization, quản lý rủi ro, và quy trình cập nhật chínhsách Chúng ta sẽ thảo luận về cách chính sách an toàn thông tin không chỉ bảo vệ dữ liệuquan trọng mà còn tạo nền tảng cho sự phát triển và thành công của tổ chức.
Chúng tôi hy vọng rằng bài tiểu luận này sẽ đóng góp vào việc thúc đẩy nhận thức và sựhiểu biết về an toàn thông tin và góp phần xây dựng một môi trường kỹ thuật số an toànvà bảo mật hơn.
2
Trang 4I.CƠ SỞ LÝ THUYẾT
I.1 Khái niệm về chính sách an toàn thông tin
Chính sách an toàn bảo mật thông tin (Infomaton security policy):
I.2 Nguyên tắc quản lý an toàn thông tin
1 Việc bảo đảm thông tin là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vậnhành, nâng cấp và hủy bỏ các hạ tầng kỹ thuật của cơ quan nhà nước.
2 Thông tin số thuộc quy định danh mục bí mật nhà nước của các cơ quan nhà nướcphải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ bí mậtnhà nước.
3 Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụtrách quản lý an toàn thông; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiệncác biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quychuẩn kỹ thuật về an toàn thông tin.
4 Áp dụng quy trình bảo đảm an toàn dữ liệu bao gồm:a) Lưu trữ dự phòng;
b) Sử dụng mật mã để bảo đảm an toàn và bảo mật dữ liệu trong lưu trữ và giaodịch theo quy định của Nhà nước về mật mã;
c) Quản lý chặt chẽ việc di chuyển các trang thiết bị công nghệ thông tin lưu trữcác thông tin thuộc danh mục bí mật nhà nước;
d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữ liệu;e) Các quy trình bảo đảm an toàn dữ liệu khác.
Trang 55 Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật bao gồm:
a) Các giải pháp bảo vệ nhằm ngăn chặn và phát hiện sớm việc truy cập trái phépvào mạng máy tính hay thiết bị lưu trữ dữ liệu;
b) Áp dụng các công nghệ xác thực, cơ chế quản lý quyền truy cập và cơ chế ghibiên bản hoạt động của hệ thống để quản lý và kiểm tra việc truy cập mạng;
c) Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ và máy trạm;d) Theo dõi thường xuyên tình trạng lây nhiễm và thực hiện loại bỏ phần mềm độchại khỏi hệ thống;
e) Các quy trình quản lý an toàn hạ tầng kỹ thuật khác.
I.3 Cấu trúc của chính sách an toàn thông tin
Cơ cấu của chính sách an toàn thông tin thường được thiết kế để đảm bảo bảo vệthông tin quan trọng, đảm bảo tính bảo mật, sẵn sàng và toàn vẹn của hệ thống thôngtin trong một tổ chức Mặc dù cơ cấu của chính sách an toàn thông tin có thể khácnhau tùy theo tổ chức và ngành công nghiệp, nhưng có một số thành phần chínhthường được áp dụng Dưới đây là một số thành phần quan trọng trong cơ cấu chínhsách an toàn thông tin:
1 Chính sách và quy định: Đây là tài liệu căn cứ để xác định các nguyên tắc, quy địnhvà hướng dẫn về an toàn thông tin trong tổ chức Chính sách và quy định này nênđược phát triển và duy trì bởi ban lãnh đạo và cung cấp hướng dẫn về việc xác định,đánh giá và xử lý các rủi ro an toàn thông tin.
2 Quy trình: Các quy trình an toàn thông tin xác định cách tổ chức triển khai chínhsách và quy định bằng cách cung cấp các hướng dẫn chi tiết về việc thực hiện các biệnpháp an toàn thông tin Điều này bao gồm việc xác định các quy trình để đảm bảo tínhbảo mật của hệ thống, xử lý sự cố và vi phạm, quản lý quyền truy cập và xác thực, saolưu và phục hồi dữ liệu, và các hoạt động khác liên quan đến an toàn thông tin.3 Tổ chức và trách nhiệm: Cơ cấu chính sách an toàn thông tin cần chỉ rõ trách nhiệmvà vai trò của các cá nhân và phòng ban trong tổ chức Việc xác định người chịu trách4
Trang 6nhiệm cho việc triển khai, duy trì và giám sát an toàn thông tin sẽ giúp đảm bảo rằngmọi người trong tổ chức đều có trách nhiệm và ý thức về an toàn thông tin.
4 Đào tạo và nâng cao nhận thức: Chính sách an toàn thông tin cần bao gồm các biệnpháp đảm bảo rằng tất cả nhân viên được đào tạo và nhận thức về các vấn đề an toànthông tin Điều này bao gồm việc cung cấp hướng dẫn về an toàn thông tin, quy địnhvề việc sử dụng thiết bị và dữ liệu, và cách xử lý thông tin nhạy cảm.
5 Kiểm tra và đánh giá: Cơ cấu chính sách an toàn thông tin nên bao gồm các biệnpháp để kiểm tra và đánh giá hiệu quả của chính sách và biện pháp an toàn thông tin.Điều này có thể bao gồm việc thực hiện kiểm tra bảo mật, đánh giá rủi ro, và xem xétđịnh kỳ các quy trình và biện pháp an toàn thông tin.
6 Đáp ứng sự cố: Chính sách an toàn thông tin cần có kế hoạch sẵn sàng đối phó vớisự cố và vi phạm an toàn thông tin Điều này bao gồm việc xác định quy trình để pháthiện, phân loại và xử lý sự cố an toàn thông tin, bao gồm cả quy trình khẩn cấp vàphục hồi sau sự cố.
7 Liên kết với các tiêu chuẩn và quy định: Cơ cấu chính sách an toàn thông tin nênliên kết với các tiêu chuẩn và quy định liên quan đến an toàn thông tin trong ngànhcông nghiệp hoặc khu vực địa phương Điều này đảm bảo rằng tổ chức tuân thủ cácyêu cầu pháp lý và các tiêu chuẩn an toàn thông tin áp dụng.
8 Giám sát và cải tiến liên tục: Cơ cấu chính sách an toàn thông tin nên bao gồm cácbiện pháp để giám sát và đánh giá liên tục hiệu quả của chính sách và biện pháp antoàn thông tin Qua việc theo dõi, đánh giá và phản hồi, tổ chức có thể cải tiến và nângcao chất lượng của chính sách an toàn thông tin
I.4 Lợi ích của chính sách an toàn thông tin
Chính sách an toàn thông tin mang lại nhiều lợi ích quan trọng cho một tổ chức Dướiđây là một số lợi ích chính của chính sách an toàn thông tin:
1 Bảo vệ thông tin quan trọng: Chính sách an toàn thông tin giúp bảo vệ thông tinquan trọng của tổ chức khỏi những mối đe dọa như truy cập trái phép, sự tấn côngmạng, mất mát dữ liệu hay sự xâm nhập hệ thống Bằng cách thiết lập các biện pháp5
Trang 7an toàn thông tin như mã hóa, xác thực, kiểm soát truy cập, và sao lưu dữ liệu, chínhsách này giúp đảm bảo tính bảo mật và toàn vẹn của thông tin.
2 Đáp ứng các yêu cầu pháp lý: Chính sách an toàn thông tin giúp tổ chức tuân thủcác yêu cầu pháp lý và quy định liên quan đến bảo vệ thông tin Các ngành côngnghiệp như tài chính, y tế và ngân hàng thường phải tuân thủ các tiêu chuẩn và quyđịnh nghiêm ngặt về an toàn thông tin Bằng cách áp dụng chính sách an toàn thôngtin, tổ chức có thể đáp ứng các yêu cầu pháp lý và tránh các hậu quả pháp lý tiềm ẩn.3 Giảm rủi ro và thiệt hại: Chính sách an toàn thông tin giúp giảm rủi ro và thiệt hạiliên quan đến an toàn thông tin Việc xác định, đánh giá và quản lý các rủi ro an toànthông tin sẽ giúp tổ chức đưa ra các biện pháp phòng ngừa và ứng phó hiệu quả Điềunày có thể giảm nguy cơ xảy ra sự cố, mất mát thông tin, tiền bạc và thời gian, đồngthời giảm thiểu tác động tiêu cực đến hoạt động kinh doanh.
4 Tăng cường hiệu suất và hiệu quả: Chính sách an toàn thông tin giúp cải thiện hiệusuất và hiệu quả của tổ chức Khi các biện pháp an toàn thông tin được triển khai mộtcách chặt chẽ, nguy cơ gặp sự cố hoặc gián đoạn trong hoạt động kinh doanh sẽ giảm.Điều này giúp tăng cường sự tin tưởng và hài lòng của khách hàng, nâng cao khả năngcạnh tranh và tạo điều kiện thuận lợi cho sự phát triển và mở rộng của tổ chức.5 Tuân thủ chuẩn quốc tế: Chính sách an toàn thông tin giúp tổ chức tuân thủ cácchuẩn quốc tếvề an toàn thông tin như ISO 27001 Việc tuân thủ các chuẩn này khôngchỉ đảm bảo tính bảo mật và toàn vẹn của thông tin mà còn giúp tổ chức tham gia vàocộng đồng quốc tế và xây dựng các mối quan hệ đối tác toàn cầu.
II.Tầm quan trọng của chính sách an toàn thông tinII.1Bảo vệ thông tin quan trọng
Chính sách an toàn thông tin giúp bảo vệ thông tin quan trọng của tổ chức khỏi sự truycập trái phép, sửa đổi, hoặc hủy hoại Thông tin quan trọng có thể là dữ liệu của kháchhàng, thông tin kinh doanh, tài liệu nội bộ, và nhiều thông tin quan trọng khác.
II.2Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát
6
Trang 8Nguy cơ rủi ro ngày càng cao: Trong thế giới kỹ thuật số, các mối đe dọa an toànthông tin ngày càng phức tạp và nguy cơ rủi ro không ngừng gia tăng Chính sách antoàn thông tin giúp tổ chức xác định, đánh giá và ứng phó với những nguy cơ này.
II.3Bảo vệ tổ chức khỏi những người dùng nội bộ và bên ngoài “độc hại”
Chính sách an toàn thông tin giúp người dùng xác định và đánh giá các nguy cơ antoàn từ cả từ bên trong nội bộ và bên ngoài qua đó có thể áp dụng các biện pháp bảomật để giảm thiểu rủi ro xảy ra Bên cạnh đó còn giúp đảm bảo rằng người dùng nộibộ chỉ có quyền truy cập vào thông tin và tài nguyên mà họ cần cho công việc của họ,giới hạn khả năng gây hại từ bên trong tổ chức.
II.4Thông báo nội bộ và bên ngoài thông tin đó là tài sản, tài sản riêng củatổ chức, và được bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại
Thông tin là một trong những tài sản quý báu nhất của tổ chức, bao gồm dữ liệu vềkhách hàng, thông tin kinh doanh, tài sản trí tuệ và nhiều thông tin quan trọng khác.Chính sách an toàn thông tin đảm bảo rằng tài sản này được bảo vệ chặt chẽ để khôngbị mất mát hoặc tổn thất.
II.5Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề pháp lý phátsinh
Rất quan trọng bởi vì nó đảm bảo rằng tổ chức có thể xử lý các vấn đề pháp lý mộtcách hiệu quả và đáng tin cậy như đảm bảo rằng tổ chức hiểu rõ về cách thông tin củahọ được bảo vệ và xử lý từ góc độ pháp lý tăng tính minh bạch và khả năng giải quyếtvấn đề, nó cũng định rõ quy trình và quy tắc để giải quyết các vấn đề pháp lý khichúng phát sinh và đảm bảo rằng người phải chịu trách nhiệm nếu có vấn đề pháp lý.
II.6Cung cấp hướng nâng cấp các tiêu chuẩn an ninh trong và ngoài tổchức
Chính sách định rõ quy trình để cập nhật và nâng cấp các tiêu chuẩn an ninh theo thờigian Điều này quan trọng để đảm bảo rằng tổ chức đáp ứng được với các mối đe dọamới và tiến hóa của kỹ thuật số.
7
Trang 9Tóm lại, tầm quan trọng của chính sách an toàn thông tin đóng một vai trò cực kỳquan trọng trong việc bảo vệ thông tin quý báu và tài sản của tổ chức Bằng cách địnhrõ các quy tắc, tiêu chuẩn, và quy trình an ninh, chính sách này giúp đảm bảo tính bảomật của thông tin, đồng thời tuân thủ các yêu cầu pháp lý liên quan Nó cũng cung cấphướng dẫn về cách nâng cấp các tiêu chuẩn an ninh, phòng ngừa rủi ro và ứng phó vớisự vi phạm an toàn thông tin.
III.Triễn khai một chính sách an toàn thông tinIII.1Xác định mục tiêu
Một chính sách an toàn thông tin cho sinh viên tham gia sử dụng các trang thiết bị,phần mềm ở phòng thực hành, chính sách cài đặt các phần mềm ứng dụng chống mãđộc cho máy tính.
III.2Xác định phạm vi
Áp dụng cho tất cả các trang thiết bị cần sử dụng khi phải đăng nhập có tại phòng máythực hành bao gồm tất cả hệ thống máy chủ được thiết lập để sử dụng nội bộ.
III.3Lập kế hoạch triễn khai
Ngoài việc phục vụ các lớp học theo thời khóa biểu,phòng máy tính còn phục vụ giảngviên, nhân viên và sinh viên theo việc làm việc sau:
Từ 6:30-17:40 từ thứ Hai đến thứ Sáu, từ 6:30-11:30 ngày thứ bảy và chủ nhậtLưu ý: Để phù hợp với lịch học, học kỳ mùa hè phòng máy mở cửa từ 6:30 Giảngviên, nhân viên và sinh viên muốn sử dụng phòng máy tính ngoài các giờ quy địnhtrên cần đề nghị và được chấp nhận của Người Quản Lý Hành Chánh.
Trang 10Nghiêm cấm sử dụng máy vào việc cá nhân Nghiêm cấm người sử dụng truy cập vàocác website không lành mạnh, phản động, không được chơi game, chat trong phòngmáy.
Người sử dụng máy tính không được phép tự ý di chuyển các thiết bị trong phòng Khigặp sự cố hoặc cần được hỗ trợ, người sử dụng không được tự ý tháo, lắp các thiết bịmà liên hệ hỗ trợ với cán bộ trực phòng máy hoặc nhân viên quản trị mạng (Labadministrator or networking supporter).
Người sử dụng máy tính phải tắt máy tính trước khi rời phòng Quy Định Về Trật Tựvà Vệ Sinh Trong Phòng Máy
Người sử dụng phải có thái độ đúng mực và thực hiện các yêu cầu của nhân viên giámthị phòng máy đang thực hiện nhiệm vụ.
Nghiêm cấm việc mang đồ ăn, thức uống vào phòng máy.
Người sử dụng phòng máy có trách nhiệm bảo vệ và giữ gìn phòng máy luôn đượcsạch sẽ, ngăn nắp.
Người sử dụng cần giữ trật tự, im lặng trong phòng máy, không gây ồn ào làm ảnhhưởng môi trường học tập, làm việc trong phòng.
Xử Lý Vi Phạm
Người sử dụng phòng máy vi phạm Nội Quy sẽ nhận các hình thức kỷ luật từ nhắcnhở, cảnh cáo, cấm sử dụng phòng máy đến buộc nghỉ việc, nghỉ học tùy theo mức độvi phạm.
Chính sách cài đặt các phần mềm ứng dụng chống mã độc cho máy tính.- Sử dụng chung một phần mềm ứng dụng cho cả hệ thống máy tính, dự phòngmột phần mềm ứng dụng khác cho trường hợp cần thiết.
- Sinh viên không được tự ý cài đặt phần mềm ứng dụng phòng mã độc khác khichưa được sự đồng ý của giám sát hay giảng viên.
- Dành thời gian để cho sinh viên và giảng viên tìm hiểu về các phần mềm ứngdụng phòng chống mã độc, nâng cao hiểu biết.
9