HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BTL Quản lý xây dựng sách ATTT Đề tài: Một ví dụ sách an tồn thơng tin cho trường đại học (Chính sách truy cập bên thứ ba ) Sinh viên thực hiện: VŨ NGỌC THANH AT15 VŨ HOÀNG LONG AT15 MAI VĂN KHÁ AT15 Nhóm II Chủ đề MỤC LỤC Chương : Tổng quan 1.1 Mục đích 1.2 Phạm vi áp dụng Chương : Chính sách 2.1 Rủi ro 2.2 Quản lý rủi ro .6 Chương : Các sách ,tiêu chuẩn liên quan .8 Chương : Thực thi .9 LỜI MỞ ĐẦU Chương : Tổng quan 1.1 Mục đích Để thiết lập yêu cầu cho bên thứ ba nhà thầu việc trì bảo mật hệ thống thông tin trườngĐại học 1.2 Phạm vi áp dụng Chính sách áp dụng cho tất bên thứ ba làm việc hệ thống thông tin thuộc cung cấp cho trường Đại học bao gồm thức khơng thức dịch vụ th ngồi Nó bao gồm: Quyền truy cập khách vào hệ thống trường Đại học Hỗ trợ, bảo trì phát triển bên thứ ba Chương : Chính sách 2.1 Rủi ro Trong trường hợp khơng có kiểm sốt trách nhiệm giải trình trường Đại học, có mức độ rủi ro liên quan đến việc ủy thác thông tin cho bên thứ ba Ai có quyền truy cập vào liệu Cách liệu người dùng sử dụng Nơi liệu người dùng lưu trữ Bảo mật liệu người dùng Khả dụng ngắn hạn, trung hạn dài hạn Dữ liệu người dùng khơi phục trường hợp xảy thảm họa hay khơng Sẵn sàng hỗ trợ trường hợp có cố Cách sở thay đổi giao diện người dùng chất dịch vụ 2.2 Quản lý rủi ro Việc sử dụng dịch vụ th ngồi khơng thức để lưu trữ liệu cá nhân nhạy cảm vi phạm Đạo luật bảo vệ liệu Các dịch vụ th ngồi khơng thức khơng phê duyệt xúc tiến để xử lý thông tin bí mật Đánh giá tác động tiềm tàng Trường đại học kết bên thứ ba chịu đựng gây vấn đề nên thực Luật Liên minh Châu Âu yêu cầu liệu cá nhân không chuyển đến quốc gia vùng lãnh thổ bên Khu vực Kinh tế Châu Âu trừ quốc gia lãnh thổ đảm bảo mức độ bảo vệ thích hợp quyền tự chủ thể liệu liên quan đến việc xử lý liệu cá nhân Nơi bên thứ ba cung cấp hỗ trợ trì hệ thống thơng tin trường Đại học cần thiết để họ truy cập hệ thống mức đặc quyền cao Điều cần thiết là: Tất quyền truy cập đặc quyền vào thông qua mạng trường Đại học phê duyệt Information Services Một nhân viên trường Đại học chịu trách nhiệm quản lý việc truy cập vào điều khoản phạm vi, mức độ thời hạn Tất quyền truy cập bên thứ ba phải theo dõi ghi lại Chỉ phép truy cập từ xa vào hệ thống thông tin thông qua bảo mật giao thức mạng mã hóa Bên thứ ba nên cung cấp cho Trường đại học quy tắc thực hành nhân viên đại lý họ phải tuân theo xử lý thông tin Tốt quy tắc thực hành phần thỏa thuận với bên thứ ba để cung cấp dịch vụ Các thành viên trường đại học không cho phép sách biện pháp bảo vệ an tồn thông tin bị bỏ qua cho phép cấp độ truy cập không phù hợp vào thông tin trường Đại học hệ thống Mọi quyền truy cập vào hệ thống thông tin cung cấp cho bên thứ ba phải tuân theo thủ tục công nhận Ví dụ: sử dụng IAM để cung cấp Tài khoản liên kết cho truy cập vào dịch vụ máy tính Chương : Các sách ,tiêu chuẩn liên quan Tài liệu nên đọc với Bộ quy tắc trường đại học Thực hành sử dụng phương tiện máy tính, Quản lý Danh tính Truy cập Chính sách, Chính sách kết nối truy cập mạng, Chính sách mã hóa, Điều khiển từ xa Chính sách Truy cập Kết nối Chính sách Bảo mật Máy chủ Chương : Thực thi Bất kỳ người dùng quản trị viên bị phát vi phạm sách phải tuân theo xử lý kỷ luật Các hợp đồng thỏa thuận với Bên thứ ba phải bao gồm biện pháp khắc phục trường đại học trường hợp có tranh chấp ... dụng Chính sách áp dụng cho tất bên thứ ba làm việc hệ thống thông tin thuộc cung cấp cho trường Đại học bao gồm thức khơng thức dịch vụ th ngồi Nó bao gồm: Quyền truy cập khách vào hệ thống trường. .. với bên thứ ba để cung cấp dịch vụ Các thành viên trường đại học không cho phép sách biện pháp bảo vệ an tồn thơng tin bị bỏ qua cho phép cấp độ truy cập không phù hợp vào thông tin trường Đại học. .. chuẩn liên quan Tài liệu nên đọc với Bộ quy tắc trường đại học Thực hành sử dụng phương tiện máy tính, Quản lý Danh tính Truy cập Chính sách, Chính sách kết nối truy cập mạng, Chính sách mã hóa,