HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MÔN HỌC Quản lý & Xây dựng sách An tồn thơng tin Đề tài: NGHIÊN CỨU MỘT SỐ VẤN ĐỀ TỒN TẠI TRONG VIỆC PHÁT TRIỂN CHÍNH SÁCH AN TỒN THƠNG TIN VÀ ĐỀ XUẤT GIẢI PHÁP Sinh viên thực hiện: ĐINH THỊ HỒNG PHÚC - AT150341 NGUYỄN ĐỨC PHƯƠNG - AT15034 LÊ VĂN LỘC - AT150340 NGUYỄN NĂNG LỰC - AT150238 NGUYỄN QUANG TRUNG - AT150260 Nhóm Giảng viên hướng dẫn: KS.NGUYỄN THỊ THU THỦY Hà Nội, 12 – 2021 MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN .6 1.1 Các khái niệm 1.2 Chính sách an tồn thơng tin 1.3 Tầm quan trọng sách an tồn thơng tin 1.4 Kết luận .8 CHƯƠNG PHÂN LOẠI CHÍNH SÁCH, NHỮNG VẤN ĐỀ TỒN TẠI, ĐỀ XUẤT GIẢI PHÁP 2.1 Chính sách người dùng 2.1.1 Phân loại người dùng: .9 2.1.2 Chính sách đăng ký người dùng 11 2.1.3 Chính sách quản lý mật người dùng 11 2.1.4 Chính sách kiểm tra quyền người dùng 11 2.1.5 Những vấn đề tồn 11 2.1.6 Đề xuất giải pháp 12 2.2 Chính sách an tồn sở hạ tầng cơng nghệ thơng tin 12 2.2.1 Mục đích sách sở hạ tầng công nghệ thông tin 12 2.2.2 Những vấn đề tồn 13 2.2.3 Đề xuất giải pháp 13 2.3 Chính sách xử lý cố 14 2.3.1 Mục đích sách xử lý cố .15 2.3.2 Những vấn đề tồn 15 2.3.3 Đề xuất giải pháp 16 2.4 Chính sách phân loại quản lý liệu 16 2.4.1 Chính sách phân loại liệu 16 2.4.2 Chính sách quản lý liệu 17 KẾT LUẬN 20 TÀI LIỆU THAM KHẢO 21 PHÂN CÔNG CÔNG VIỆC 21 DANH MỤC HÌNH ẢNH Hình 1.1: Khái niệm an tồn thơng tin Hình 1.2: Tiêu chuẩn an tồn thơng tin Hình 1.3: Tầm quan trọng an tồn thơng tin Hình 2.1: Chính sách người dùng Hình 2.2: Chính sách an tồn sở hạ tầng cơng nghệ thơng tin 12 Hình 2.3: Chính sách xử lí cố .14 Hình 2.4: Chính sách phân loại liệu 16 Hình 2.5: Chính sách quản lý liệu 18 LỜI MỞ ĐẦU Việc đảm bảo an tồn hệ thống thơng tin ngày đặc biệt trọng xã hội sử dụng công nghệ thông tin ứng dụng an tồn thơng tin hầu hết lĩnh vực Đặc biệt thời đại cơng nghệ 4.0 vấn đề an tồn thơng tin lại đặc biệt trọng hết Khi nhắc đến biện pháp bảo vệ thông tin, hầu hết nghĩ đến biện pháp kỹ thuật, công nghệ mới,… nhiêu chưa đủ độ mạnh cho việc đảm bảo thông tin khỏi thay đổi, làm lộ, phá hủy hay truy nhập bất hợp pháp mà yếu tố quan trọng có ảnh hưởng lớn yếu tố người Chính ta cần có sách an tồn thực tốt để đảm bảo thông tin bảo vệ cách tốt Việc cài đặt sách an tồn cơng nghệ thơng tin khung sách an toàn cho quan hay tổ chức khu vực công hay khu vực tư đề phức tạp cần nghiên cứu kỹ Nhưng cơng việc hồn thiện nhiều cịn tồn hạn chế việc phát triển sách an tồn thơng tin Chính nhóm chọn thực đề tài “ Nghiên cứu số vấn đề tồn việc phát triển sách an tồn thơng tin đề xuất giải pháp” để thực báo cáo cho mơn Quản lý & Xây dựng sách An tồn thơng tin Mục tiêu đề tài nghiên cứu, tìm hiểu số vấn đề tồn việc phát triển sách an tồn thơng tin đề xuất giải pháp Báo cáo gồm hạng mục chính: Chương I: Tổng quan sách an tồn thơng tin Chương II: Phân loại sách, vấn đề tồn đề xuất giải pháp Đề tài đề cập đến vấn đề lớn tương đối phúc tạp, đòi hỏi nhiều thời gian kiến thức lí thuyết thực tế Do thời gian nghiên cứu chưa nhiều trình độ thân thành viên nhóm cịn hạn chế nên báo cáo khơng tránh khỏi khiếm khuyết Nhóm em mong nhận hướng dẫn, bảo giáo đóng góp nhiệt tình bạn để giúp nhóm em bổ sung vốn kiến thức tiếp tục nghiên cứu đề tài nêu cách tốt hơn, hoàn chỉnh CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN 1.1 Các khái niệm  Khái niệm an tồn thơng tin An tồn thơng tin hành động ngăn cản, phòng ngừa sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại phá hủy thơng tin chưa có cho phép Hình 1.1: Khái niệm an tồn thơng tin  Tiêu chuẩn an tồn thơng tin Trên trường quốc tế Tiêu chuẩn Anh BS 7799 "Hướng dẫn quản lý an tồn thơng tin", cơng bố lần vào năm 1995, chấp nhận Xuất phát từ phần Tiêu chuẩn Anh BS 77999 tiêu chuẩn ISO/IEC 17799:2000 mà tồn phiên sửa đổi ISO/IEC 17799:2005 Tiêu chuẩn ISO/IEC 27001:2005 phát triển từ phần BS 7799 Tiêu chuẩn quy định yêu cầu hệ thống quản lý an tồn thơng tin tương tự ISO 9001 tiêu chuẩn quản lý cấp giấy chứng nhận Hình 1.2: Tiêu chuẩn an tồn thơng tin 1.2 Chính sách an tồn thơng tin Chính sách an tồn thơng tin tun bố hình thức nhằm mơ tả mục tiêu ,ưu tiên mục đích quản lí an tồn hệ thống thông tin cách đạt mục tiêu  Mục đích - Bảo vệ người bảo vệ thông tin - Đưa quy tắc hoạt động người dùng quản trị hệ thống ,quản trị nhân viên an ninh - Cho phép nhân viên an ninh giám sát ,thăm dò điều tra - Xác định phê chuẩn hậu vi phạm - Xác định quan điểm sở thống an toàn tổ chức - Hỗ trợ tối thiểu hóa rủi ro - Hỗ trợ tuân thủ quy định luật lệ  Yêu cầu - Kiểm soát mối đe dọa hệ thống - Bao gồm việc bảo vệ người thông tin - Thiết lập luât lệ cho người dùng - Xác định hậu vi phạm - Tối thiểu hóa rủi ro cho tổ chức 1.3 Tầm quan trọng sách an tồn thơng tin - Cung cấp khung làm việc toàn diện cho lựa chọn thực thi biện pháp an toàn - Phương tiện liên lạc bên liên quan Quản lí tài nguyên :con người ,kĩ ,tiền bạc ,thời gian Truyền tải tầm quan trọng an toàn tới tất người tổ chức Giúp tạo “văn hóa an tồn “ Niềm tin giá trị liên quan đến an toàn chia sẻ Nghĩa vụ pháp lí Giúp thúc đẩy mối quan hệ tin cậy tổ chức đối tác khách hàng kinh doanh tổ chức Chi phí yếu tố quan trọng xem xét có thực thi sách hay khơng - Sử dụng sách để hỗ trợ đánh giá rủi ro - Kiểm sốt chi phí tập trung vào rủi ro quan trọng - Tránh lãng phí, hỗ trợ vận hành thành cơng Hình 1.3: Tầm quan trọng an tồn thơng tin 1.4 Kết luận - Cần có sách để tổ chức hoạt động theo hướng dựa luật, ưu tiên chung mục đích - Thiếu sách an tồn quản lí rủi ro khơng hợp lí =>khơng phát điểm yếu hệ thống CHƯƠNG PHÂN LOẠI CHÍNH SÁCH, NHỮNG VẤN ĐỀ TỒN TẠI, ĐỀ XUẤT GIẢI PHÁP 2.1 Chính sách người dùng Mỗi kiểu người dùng có nhu cầu truy nhập riêng, phải có quyền khác để truy nhập tin Do cần phải hiểu nhu cầu người dùng xây dựng sách quản lý tốt Hình 2.1: Chính sách người dùng 2.1.1 Phân loại người dùng:  Nhân viên  Là người dùng phổ biến nhất, nhân viên thông thường tổ chức  Nhu cầu công việc: cần truy cập tới ứng dụng đặc biệt mơi trường  Nhu cầu truy cập: có quyền truy nhập bị giới hạn tới thông tin với ứng dụng đặc biệt  Cần nắm quyền nhân viên quản lý thông qua việc định danh người dùng: mật khẩu, cập nhật thường xuyên  Kết tổ chức đạt được:  Giảm bớt toàn rủi ro cho tổ chức  Duy trì phân tách trách nhiệm  Đơn giản hóa việc điều tra cố  Người quản trị hệ thống: nhân viên làm việc phận CNTT để cung cấp hỗ trợ kỹ thuật cho hệ thống  Nhu cầu công việc: cần truy nhập tới ht, csdl để hỗ trợ ứng dụng  Nhu cầu truy nhập: có quyền truy nhập rộng k bị giới hạn theo vai trò ng  Có quyền khơng giới hạn cài đặt, cấu hình, triển khai Do phải có trách nhiệm vấn đề an tồn  Chính sách an toàn giúp giảm bớt rủi ro cách yêu cầu giám sát hoạt động người quản trị hệ thống  Kết tổ chức đạt được:  Giảm toàn rủi ro an toàn cho tổ chức  Giảm đáng kể khối lượng nhật ký  Cải thiện gắn kết thấu hiểu nhiệm vụ kỹ thuật yêu cầu công việc  Nhân viên an ninh  Chịu trách nhiệm thiết kế, thực thi, giám sát chương trình an tồn, phát triển chương trình nhận thức an tồn lãnh đạo bên tổ chức  Nhu cầu công việc: bảo mạng, ht, ứng dụng ttin  Nhu cầu truy nhập: có quyền truy nhập để thiết lập quyền hạn xem nhật ký, giám sát hoạt động ứng phó với cố  Phải có trách nhiệm cao cơng việc bảo vệ, nâng cao an toàn hệ thống, liệu tổ chức họ có quyền khơng giới hạn  Nhà thầu  Là người làm thạm thời tổ chức, giao vai trị tổ chức  Nhu cầu công việc: giống với nhân viên thơng thường theo vai trị ng  Nhu cầu truy nhập: giống nhân viên thông thường  Tn thủ sách an tồn nhân viên bất kì, ngồi tổ chức đưa thêm yêu cầu khác  Khách công chúng nói chung  Là lớp nhóm người dùng đặc biệt truy nhập tới tập ứng dụng cụ thể tổ chức Tổ chức không cần gán định danh mật  Nhu cầu công việc: có nhu cầu truy nhập tới chức ứng dụng đặc biệt  Nhu cầu truy cập: có quyền truy nhập gán cho kiểu người dùng k phải cho cá nhân 10  Tổ chức cấp quyền cho lớp người dùng thay cá nhân  Người kiểm toán: cá nhân đánh giá thiết kế tính hiệu kiểm sốt  Nhu cầu cơng việc: xem đánh giá biện pháp kiểm soát  Nhu cầu truy nhập: có quyền truy nhập thường xuyên, bao gồm tồm quyền đọc truy nhập tới nhập kí cài đặt cấu hình  Có quyền truy cập thường xuyên, bao gồm toàn quyền đọc truy nhập tới nhật ký cài đặt cấu hình 2.1.2 Chính sách đăng ký người dùng  Sử dụng thẻ nhận dạng  Kiểm tra quyền sử dụng hệ thống  Kiểm tra mức độ truy cập hợp lệ vào hệ thống  Ghi lại danh sách người dùng đăng ký  Xóa quyền cấp khơng cịn tồn  Kiểm tra, cập nhật định kì 2.1.3 Chính sách quản lý mật người dùng  Nắm rõ quy định sử dụng mật  Người dùng cấp mật tạm thời thay đổi cập nhật hệ thống  Tránh trao đổi mật công khai chưa mã  Xác định mật sử dụng  Sử dụng mật mạnh 2.1.4 Chính sách kiểm tra quyền người dùng  Kiểm tra quyền theo định kỳ, sau lần thay đổi hệ thống,  Với số người dùng cao cấp phải kiểm tra thường xuyên  Kiểm tra tính hợp lệ quyền 2.1.5 Những vấn đề tồn  Chính sách người dùng đơi q dài dịng, khó hiểu dẫn đến việc người dùng lười đọc thơng tin khiến cho họ khó khăn việc sử dụng vô ý thực điều khơng thực sách Lúc lại phải quay lại chỉnh sửa hệ thống thời gian, công sức tiền bạc  Việc làm công tác tư tưởng, truyền thông để người dùng hiểu đóng góp xây dựng sách cịn hạn chế khiến cho người dùng khó tiếp cận sách khơng có ý thức tự giác thực sách 11  Việc khảo sát nguyện vọng người dùng cịn hạn chế  Xây dựng sách chưa thực dựa thực tế tổ chức hay cơng ty mà cứng nhắc dựa theo khung sách chuẩn 2.1.6 Đề xuất giải pháp  Khi xây dựng sách cần ý bên cạnh việc diễn giải rõ ràng, mạch lạc cịn cần phải ngắn gọn, xúc tích, dễ hiểu, tránh dùng nhiều từ chuyên ngành  Trước áp dụng biện pháp cứng rắn nên phổ biến trước nội dung sách người dùng hệ thống, sau khuyến khích người đóng góp xây dựng để hồn thiện sách  Cử người làm công tác khảo sát nguyện vọng, ý kiến người dùng hệ thống Nên lập khảo sát sau tổng hợp lại ý kiến có hướng xây dựng sách tốt đáp ứng yêu cầu hợp lý người dùng hợp lệ  Cần có đội ngũ chun gia cơng ty làm việc với – người hiểu rõ tổ chức để tiến hành xây dựng sách phù hợp 2.2 Chính sách an tồn sở hạ tầng công nghệ thông tin Cơ sở hạ tầng công nghệ thông tin hệ thống trang thiết bị phục vụ cho việc sản xuất, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông tin số, bao gồm mạng viễn thông, mạng Internet, mạng máy tính sở liệu Hình 2.2: Chính sách an tồn sở hạ tầng cơng nghệ thơng tin 2.2.1    Mục đích sách sở hạ tầng công nghệ thông tin Bảo vệ trang thiết bị phục vụ cho công nghệ thông tin Cho phép nhân viên an ninh giám sát, thăm dò, điều tra vi phạm Đưa quy tắc cho hoạt động người dùng, quản trị hệ thống nhân viên 12  Hỗ trợ tuân thủ quy định luật lệ 2.2.2 Những vấn đề tồn  Thiếu văn luật thống điều chỉnh tồn diện cơng tác bảo đảm sở hạ tầng công nghệ thông tin, phạm vi điều chỉnh luật cần cụ thể hơn, rộng sâu  Không quy định chung trách nhiệm bảo vệ sở hạ tầng tơng tin, mà cịn xem xét đến quy định cụ thể điều phối, giám sát, quy trình quản lý, vấn đề tài chính, đầu tư sở hạ tầng, xử phạt hành vi vi phạm  Các sách có đề cập đến vấn đề bảo an sở hạ tầng song quy định rải rác, chưa đầy đủ, chưa bao quát lĩnh vực an tồn sở hạ tầng, gây chồng chéo lên lĩnh vực an toàn người dùng hay phân loại quản lí liệu, gây khó khăn định áp dụng  Các sách an tồn sở hạ tầng cơng nghệ thơng tin thường quy định khen thưởng, xử phạt trường hợp vi phạm, hướng dẫn xảy cố dù có cịn nhẹ, phạm vi áp dụng giới hạn, quy định chung chung, khiến cho ý thức người dân việc tuân thủ đảm bảo an tồn sở hạ tầng cơng nghệ thơng tin cịn chưa cao  Cơ sở hạ tầng cơng nghệ thông tin thường tổ chức, doanh nghiệp, không thuộc tài sản cá nhân, nên ý thức tự bảo vệ người dân không cao  Việc đánh giá lại định kỳ gặp nhiều vấn đề, sở hạ tầng khác nhau, nên công tác đánh giá khác  Tại địa phương, luật pháp khác nhau, tiêu chuẩn đạo đức khác nhau, việc áp dụng sách từ mà gặp khơng khó khăn, phải liên tục chỉnh sửa để phù hợp với địa phương mà phải đảm bảo phản ánh sách tổ chức, việc gây tổn thất lớn mặt kinh tế, lực tổ chức  Với sở hạ tầng yếu kém, việc triển khai biện pháp chiến lược an tồn, kiến thức tài liệu sách khó khăn, phát triển thực thi bị hạn chế 2.2.3 Đề xuất giải pháp 13  Nhà nước cần xây dựng tập trung, đồng bộ, bổ sung bất cập văn pháp luật hành an tồn sở hạ tầng cơng nghệ thơng tin Quy định cụ thể trách nhiệm, quản lý cụ thể  Các doanh nghiệm, tổ chức thực giám sát, nhắc nhở, phổ cập thường xuyên sách cho nhân viên, người dân Xây dựng quy chế đảm bảo an toàn sở hạ tầng nội bộ, kiểm tra, sốt cố an tồn thường xuyên  Mọi người cần có ý thức việc bảo vệ sở hạ tầng dù cá nhân hay tổ chức, ghi nhớ thực sách, quy định ban hành  Cơ sở hạ tầng nên chọn khu vực thuận tiện cho việc lại, khu vực phát triển, dễ đầu tư, để đảm bảo yêu cầu việc phát triển sách Khơng gặp cố, dủi ta kịp thời ứng phó 2.3 Chính sách xử lý cố Xử lý cố (XLSC) q trình khắc phục cố khơng mong muốn khó tránh khỏi q trình phát triển phần mềm phát triển hệ thống, hệ thống lớn, phức tạp, vận hành lâu rủi ro lại nhiều, điểm quan trọng xử lý cố an tồn xác, bạn cần có quy trình xử lý cố, xây dựng team có kĩ XLSC đảm bảo học hỏi từ cố xảy để phát triển hệ thống người tổ chức Hình 2.3: Chính sách xử lí cố Chính sách giải thích cách cung cấp thơng tin báo cáo cố, chịu trách nhiệm báo cáo, phản hồi điều tra cách xử lý cố 14 Nó áp dụng cho tất người có liên quan đến cố thực tế, bị nghi ngờ, bị đe dọa tiềm ẩn liên quan đến việc liệu vi phạm bảo mật thơng tin Điều bao gồm tất nhân viên, sinh viên, cộng khác phép sử dụng sở CNTT thông tin Trường 2.3.1       Mục đích sách xử lý cố Kiểm soát ảnh hưởng hiểm họa hệ thống Bảo vệ người thơng tin Hỗ trợ tối thiểu hóa rủi ro Xác định phê chuẩn hậu vi phạm Đảm bảo sẵn sàng để ứng phó trước cố Ngăn chặn gián đoạn hệ thống cách cung cấp biện pháp kiểm soát nhanh chóng cần thiết 2.3.2 Những vấn đề tồn  Hầu hết sách khơng quy định rõ ràng việc xử lý cố, có quy định chung chung cho tổ chức, khơng có người chịu trách nhiệm cụ thể Vì cố xảy ra, người thường lúng túng, không chịu đứng xử lý  Các quy định ứng cứu cố chưa rõ ràng, khó khăn việc thực Các cố vượt qua khả xử lý, đơn vị cần thơng báo với đội ứng cứu để hỗ trợ khắc phục Tuy nhiên, lại phải báo cáo, làm đơn, chờ xác nhận, dẫn tới cố xảy nghiêm trọng hơn, tổn thất lớn  Việc phân loại, đánh giá, giám sát cố an tồn thơng tin chưa thực đầy đủ hồn thiện, trình độ ứng phó, giải cố cịn yếu kém, khơng đáp ứng quy định mà sách xử lý cố đưa  Chưa có điều phối, kết hợp chặt chẽ, hiệu giám sát, ứng phó cố quốc gia (do hệ thống giám sát ứng phó quốc gia thực hiện) giám sát, ứng phó chỗ Tính liên thơng ứng phó xự cố quốc gia ứng phó chố chưa đảm bảo Đơi hoạt động ứng phó giám sát cịn lỏng lẻo, khơng tn thủ quy trình, khơng thường xun Điều làm cho việc phát ngăn chặn xự cố an tồn thơng tin khơng kịp thời 15  Mọi người chưa nhận lợi ích cách tiếp cận, quán, quản lý cố Khi gặp cố liên hệ ai, xử lý Các kênh truyền thông chưa tuyên truyền tốt vấn đề 2.3.3 Đề xuất giải pháp  Cần phải rõ ràng, đảm bảo người hiểu trách nhiệm trước hành động họ thực thi Tăng khả tốc độ giải xự cố  Chủ sở hữ, nhà cấp, người sử dụng cần phối hợp chặt chẽ bên khác phải biết sách xử lý cố, kịp thời góp ý, phản hồi để cải thiện sách cho phù hợp  Liên tục đánh giá định kỳ, phân loại, cập nhật, thu thập cố để đảm bảo sách phù hợp để đảm bảo an tồn thơng tin  Xem xét, phân tích trách nhiệm cho phù hợp cho người nhóm người cụ thể để phối hợp tránh gây mát phá hủy thơng tin  Chính sách phải xem xét tất người người bị ảnh hưởng, bao gồm: nhân viên, kĩ thuật, quản trị, tổ chức, vận hành, thương mại, giáo dục, pháp luật 2.4 Chính sách phân loại quản lý liệu 2.4.1 Chính sách phân loại liệu Chính sách phân loại liệu yêu cầu tất liệu tổ chức, đơn vị phải phân loại thành danh mục để thuận tiện cho việc quản lý Tùy thuộc vào mức độ gắn nhãn liệu liệu mở, thông tin nhạy cảm thơng tin bí mật thiết lập mực độ kiểm sốt truy cập khác Hình 2.4: Chính sách phân loại liệu 16 Phân loại liệu bao gồm tất vấn đề gán nhãn liệu Gán nhãn liệu giúp người tìm liệu cách nhanh chóng quản lý liệu cách phù hợp Dữ liệu máy tính điện tử cần phân loại liệu in báo cáo Tổ chức cần phải có sách phân loại liệu để bảo vệ, lưu trữ phục hồi thơng tin Có số cách phân loại liệu phân loại theo mục đích quân sự, mục đích kinh doanh theo nhu cầu người dùng Tùy theo mục đích mà có cách phân loại riêng khác phù hợp 2.4.1.1 Những vấn đề tồn  Phân loại liệu phải gán nhãn liệu, công việc cần phải xác định kỹ xem tính chất liệu thuộc mức độ việc không dễ, hay nhầm lẫn đánh giá khơng xác Điều gây khó khăn cho việc phát triển sách phân loại liệu  Người sở hữu liệu chưa cung cấp đủ thông tin yêu cầu quản lý liệu họ tổ chức Lúc này, phía bên tổ chức điều mà chậm trễ hồn thiện sách phân loại liệu cho khách hàng Đơi chí khách hàng họ khơng hiểu biết CNTT nên khó để đưa yêu cầu phù hợp  Mối quan hệ phân loại liệu kiểm soát an tồn đơi bị nhầm lẫn, từ khâu xác định phân loại gán nhãn liệu có phần khơng xác Khi đó, nguy hiểm liệu có độ nhạy cảm cao bị bỏ sót cấp độ khiểm sốt an tồn cao dẫn đến việc liệu bị đánh cắp, tạo hội cho kẻ xấu công hệ thống 2.4.1.2 Đề xuất giải pháp  Cần có đội ngũ chuyên gia có lực cao hiểu biết chuyên sâu liệu làm việc để đánh giá mức độ nhạy cảm liệu, phục vụ cho việc gán nhãn liệu  Trong trường hợp người sở hữu liệu khơng có nhiều hiểu biết liệu họ, chuyên viên nên đề xuất hướng tiếp cận cụ thể, phù hợp, rõ ràng bắt tay vào việc xây dựng sách phân loại liệu  Cần có liên kết phần làm việc với để đến phân loại xong có kết phù hợp thực việc kết nối phân loại liệu kiểm soát an toàn Đây điều khuyến nghị để biện pháp kiểm sốt liệu an tồn thực thi tốt 2.4.2 Chính sách quản lý liệu 17 Chính sách quản lý liệu phát triển để thực công việc quản lý liệu, đây là công việc cần phải thực quan, tổ chức có xây dựng quản lý liệu dù quan nhà nước hay doanh nghiệp Nói chi tiết sách giúp vừa sử dụng liệu vừa bảo vệ liệu ``````` Hình 2.5: Chính sách quản lý liệu 2.4.2.1 Những vấn đề tồn  Đôi sách đưa yêu cầu chung cho việc quản lý liệu lại chưa đưa cụ thể giai đoạn vòng đời liệu có sách cụ thể Việc hồn tồn khơng hợp lý không hiệu  Chưa đưa trách nhiệm cụ thể mà người sử dụng phải có liệu họ sử dụng hậu khơng tn thủ theo Khi đó, xảy cố dù vơ tình hay cố ý gây thiệt hại cho hệ thống, gây tổn thất mặt tiền bạc lẫn uy tín tổ chức  Chưa đưa khuyến nghị phương tiện cách thức truyền liệu an toàn, lưu trữ liệu an toàn hay di chuyển liệu an toàn Việc khiến cho người dùng khó lịng thực theo sách an tồn họ khơng biết cách để an tồn liệu tổ chức  Chính sách quản lý liệu khơng theo dõi thay đổi thường xuyên, dẫn đến việc chậm trễ trình cập nhập, triển khai sách phù hợp với tình hình thực tế 2.4.2.2 Đề xuất giải pháp 18  Cần đưa sách cụ thể cho giai đoạn vịng đời liệu Lúc việc kiểm soát liệu trở nên dễ dàng  Cần đưa khung hình phạt cụ thể, theo mức độ vi phạm có sức răn đe, hạn chế việc khơng tn thủ theo sách Ngồi phải đặc biệt ý xây dưng khung sách phải rõ ràng, cụ thể tránh trường hợp lách luật gây thiệt hại cho tổ chức mà ta không xử lý xác mức độ vi phạm  Cần phải xây dựng riêng mục khuyến nghị cách sử dụng, truy nhập, truyền, di chuyển, lưu trữ chí nơi tạo liệu hủy liệu riêng để người sử dụng nhìn vào thực theo, tránh việc phải sửa chữa, phục hồi lỗi liệu khơng đáng có  Cuối sách quản lý liệu cần theo dõi thường xuyên sửa đổi theo phát triển và sau trình tổng kết kinh nghiệm.  19 KẾT LUẬN Bất kỳ tổ chức dù có quy mơ lớn hay nhỏ cần phải có sách quản lý để góp phần vào cơng việc đảm bảo an tồn hệ thống thơng tin Song song với biện pháp kỹ thuật yếu tố người phần quan trọng ảnh hưởng đến độ an tồn hệ thống thơng tin Để quản lý yếu tố người cần phải xây dựng khung sách dựa theo chuẩn quốc tế khuyến nghị phải dựa theo tình hình thực tế tổ chức để tiến hành xây dựng Khi làm điều hồn thiện sách an toàn, phù hợp với riêng tổ chức Tuy nhiên dựa theo chuẩn khuyến nghị tồn hạn chế việc phát triển sách Hướng phát triển đề tài: Tiếp tục tìm hiểu loại sách khác tìm hiểu thêm tồn việc phát triển sách an tồn thơng tin Cố gắng thử nghiệm giải pháp hệ thống cụ thể nghiên cứu thêm giải pháp tính khả thi chúng Qua nghiên cứu tìm hiểu, chúng em thấy tầm quan trọng sách an tồn thơng tin hệ thống, tìm hiểu vấn đề đáng lưu tâm việc phát triển sách an tồn thơng tin 20 TÀI LIỆU THAM KHẢO [1] Ths.Trần Thị Xuyên, KS.Nguyễn Thị Thu Thủy giáo trình Quản lý xây dựng sách an tồn thơng tin [2].https://data.gov.vn/web/guest/news//asset_publisher/FRkblAs8yr3H/content/qua nlydulieutotuk [3].https://www.augusta.edu/compliance/policyinfo/policy/data-managementclassification.pdf PHÂN CƠNG CƠNG VIỆC Thành Viên Đầu Cơng Việc Đinh Thị Hồng Phúc Tổng hợp, chỉnh sửa word nhóm + làm phần 2.2 Nguyễn Đức Phương Làm phần 2.3 Nguyễn Quang Trung Làm phần 2.1 Lê Văn Lộc Làm phần 2.4 Nguyễn Năng Lực Làm slide 21 Hà nội, tháng 12 năm 2021 XÁC NHẬN CỦA GIẢNG VIÊN HƯỚNG DẪN KS.NGUYỄN THỊ THU THỦY 22 ... đề xuất giải pháp? ?? để thực báo cáo cho môn Quản lý & Xây dựng sách An tồn thơng tin Mục tiêu đề tài nghiên cứu, tìm hiểu số vấn đề tồn việc phát triển sách an tồn thơng tin đề xuất giải pháp Báo... nghiên cứu kỹ Nhưng công việc hồn thiện nhiều cịn tồn hạn chế việc phát triển sách an tồn thơng tin Chính nhóm chọn thực đề tài “ Nghiên cứu số vấn đề tồn việc phát triển sách an tồn thơng tin đề xuất. .. hệ thống quản lý an tồn thơng tin tương tự ISO 9001 tiêu chuẩn quản lý cấp giấy chứng nhận Hình 1.2: Tiêu chuẩn an tồn thơng tin 1.2 Chính sách an tồn thơng tin Chính sách an tồn thơng tin tun