Assuming the Role of the Systems Analyst 4 (INFORMATION SECURITY POLICY) Nội dung chính 1) Các khái niệm cơ bản 2) Các thành phần của chính sách ATTT 3) Tầm quan trọng của chính sách an toàn thông tin.
4 (INFORMATION SECURITY POLICY) Nội dung 1) Các khái niệm 2) Các thành phần sách ATTT 3) Tầm quan trọng sách an tồn thơng tin doanh nghiệp/cá nhân 4) Vịng đời sách an tồn thơng tin 5) Xây dựng đưa khuyến nghị sách an tồn thơng tin thích hợp 6) Các bước triển khai sách an tồn thơng tin https://www.sans.org/securityTrần Thị Kim Chi 1-2 Các khái niệm 1) Chính sách • Chính sách hệ thống ngun tắc có chủ ý hướng dẫn định đạt kết hợp lý Một sách tuyên bố ý định, thực thủ tục giao thức • Các sách thường quan quản trị thông qua tổ chức Chính sách hỗ trợ việc đưa định chủ quan khách quan • Ví dụ: sách cân cơng việc sống 1-3 Các khái niệm 1) Chính sách: • Các sách tương phản để hỗ trợ việc định khách quan thường hoạt động tự nhiên kiểm tra khách quan, ví dụ: sách mật • Chính sách khác với quy tắc luật pháp Mặc dù luật pháp buộc cấm hành vi (ví dụ: luật yêu cầu nộp thuế thu nhập), sách hướng dẫn hành động hành vi có nhiều khả đạt kết mong muốn 1-4 Các khái niệm 2) An tồn thơng tin: giá trị thơng tin 1-5 Các khái niệm 3) Chính sách bảo mật an tồn thông tin: Information Security Policy (ISP) ISP tập quy tắc, hướng dẫn mà tổ chức đưa nhằm đảm bảo tính an tồn hệ thống thơng tin miễn nhiễm chống lại công nguy hiểm 1-6 Các khái niệm 3) Chính sách an tồn thơng tin: • ISP cung cấp mơi trường để quản lý thơng tin cách an tồn tồn tổ chức • ISP viết cho tất cấp nhân viên khác • ISP gồm quy tắc chung tất chủ đề có liên quan đến an tồn thơng tin sử dụng máy tính quy tắc riêng biệt chủ đề khác • Ví dụ: quy tắc dùng e-mail, quyền hạn truy xuất liệu, quy trình backup liệu, 1-7 RỦI RO KHI MẤT AN TỒN THƠNG TIN • Đối với cá nhân: Việc rò rỉ hay bị đánh cắp thông tin làm ảnh hưởng vô nghiêm trọng đến tài chính, uy tín, mối quan hệ cá nhân Đặc biệt hành vi đánh cắp liệu, tung lên mạng nhằm mục đích bơi xấu cá nhân hack hệ thống tài khoản ngân hàng gây thiệt hại lớn • Đối với doanh nghiệp: Nếu chẳng may bị tin tặc công, doanh nghiệp phải đối mặt với nguy liệu, thất tài chính, gián đoạn hoạt động cơng ty, thiệt hại điện tử vật lý Đó cịn chưa kể đến việc hình ảnh thương hiệu bị ảnh hưởng Mục đích ISP - Tầm quan trọng ISP Các tổ chức đưa ISP nhiều lý khác nhau: • Thiết lập cách tiếp cận chung an toàn thơng tin • Phát ngăn chặn thoả hiệp an tồn thơng tin lạm dụng liệu, mạng, hệ thống máy tính ứng dụng • Để bảo vệ danh tiếng công ty trách nhiệm đạo đức pháp lý công ty • Thực quyền khách hàng; Cung cấp chế hiệu để đáp ứng khiếu nại thắc mắc liên quan đến không tuân thủ sách thực tế khơng nhận thức cách để đạt mục tiêu Mục đích ISP - Tầm quan trọng ISP • Giảm thiểu nguy rò rỉ liệu mát • Bảo vệ tổ chức khỏi người dùng bên bên ngồi "độc hại“ • Thiết lập hướng dẫn việc thực sử dụng sách để đảm bảo tn thủ • Thơng báo cá nhân, tổ chức bên bên ngồi thơng tin tài sản, tài sản riêng tổ chức, bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ hủy hoại • Đẩy mạnh lập trường chủ động cho tổ chức có vấn đề pháp lý phát sinh • Cung cấp hướng nâng cấp tiêu chuẩn an toàn tổ chức ... phần sách ATTT 3) Tầm quan trọng sách an tồn thơng tin doanh nghiệp/cá nhân 4) Vịng đời sách an tồn thơng tin 5) Xây dựng đưa khuyến nghị sách an tồn thơng tin thích hợp 6) Các bước triển khai sách. .. thức • Các sách thường quan quản trị thơng qua tổ chức Chính sách hỗ trợ việc đưa định chủ quan khách quan • Ví dụ: sách cân công việc sống 1-3 Các khái niệm 1) Chính sách: • Các sách tương phản... thơng tin khơng cần thiết Vịng đời sách an tồn thơng tin • Vịng đời sách an tồn thơng tin chia thành giai đoạn: (1) Thu thập thơng tin phân tích kẽ hở; (2) Xây dựng sách; (3) Thực thi sách;