15 9 2006 Phụ lục I NHỮNG NỘI DUNG CHÍNH CỦA ISO/IEC 17799 2005 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TOÀN, AN NINH CHO HỆ THỐNG THÔNG TIN (Ban hành kèm theo Quyết định số 36/2010/QĐ UBND ngày 12[.]
Phụ lục I NHỮNG NỘI DUNG CHÍNH CỦA ISO/IEC 17799:2005 DÙNG ĐỂ XÂY DỰNG QUY CHẾ NỘI BỘ ĐẢM BẢO AN TỒN, AN NINH CHO HỆ THỐNG THƠNG TIN (Ban hành kèm theo Quyết định số 36/2010/QĐ-UBND ngày 12 tháng 11 năm 2010 Ủy ban nhân dân tỉnh Khánh Hịa) Chính sách an tồn, an ninh thơng tin Chỉ thị hướng dẫn an toàn, an ninh thông tin An ninh tổ chức a) Hạ tầng an ninh thông tin: Quản lý an ninh thông tin tổ chức b) An ninh bên truy cập thứ ba: Duy trì an ninh cho phương tiện xử lý thông tin tổ chức tài sản thông tin bên thứ ba truy cập Phân loại kiểm soát tài sản a) Trách nhiệm giải trình tài sản: Duy trì bảo vệ tài sản b) Phân loại thông tin tài sản: Đảm bảo loại tài sản có mức bảo vệ thích hợp An ninh cá nhân a) An ninh định nghĩa công việc nguồn lực: Giảm rủi ro hành vi sai sót người b) Đào tạo người sử dụng: Đảm bảo người sử dụng nhận thức mối đe dọa vấn đề liên quan đến an ninh thơng tin c) Đối phó với cố an ninh: Giảm thiểu thiệt hại từ trục trặc cố an ninh, theo dõi rút kinh nghiệm An ninh môi trường vật lý a) Phạm vi an ninh: Ngăn ngừa việc truy cập, gây hại can thiệp trái phép vào vùng an ninh thông tin nghiệp vụ b) An ninh thiết bị: Để tránh mát, lỗi cố khác liên quan đến tài sản gây ảnh hưởng tới hoạt động nghiệp vụ c) Kiểm sốt chung: Ngăn ngừa làm hại đánh cắp thơng tin phương tiện xử lý thông tin Quản lý truyền thông hoạt động a) Thủ tục vận hành trách nhiệm vận hành hệ thống: Đảm bảo phương tiện xử lý thông tin hoạt động an toàn b) Lập kế hoạch hệ thống công nhận: Giảm thiểu rủi ro lỗi hệ thống c) Bảo vệ chống lại phần mềm cố ý gây hại: Bảo vệ tính tồn vẹn phần mềm thơng tin d) Cơng việc quản lý: Duy trì tính tồn vẹn sẵn sàng dịch vụ truyền đạt xử lý thông tin đ) Quản trị mạng: Đảm bảo việc an tồn, an ninh thơng tin mạng bảo vệ sở hạ tầng kỹ thuật e) Trao đổi thông tin: Ngăn ngừa mát, thay đổi sử dụng sai thông tin trao đổi đơn vị Kiểm soát truy cập a) Các yêu cầu nghiệp vụ kiểm soát truy cập: Kiểm sốt truy cập thơng tin b) Quản lý truy cập người dùng: Để tránh truy cập không cấp phép vào hệ thống c) Trách nhiệm người dùng: Để tránh truy cập người dùng khơng cấp phép d) Kiểm sốt truy cập mạng: Bảo vệ dịch vụ mạng đ) Kiểm soát truy cập hệ điều hành: Tránh truy cập vào máy tính khơng phép e) Kiểm sốt truy cập ứng dụng: Tránh truy cập trái phép vào hệ thống g) Giám sát truy cập hệ thống giám sát sử dụng hệ thống: Để phát hoạt động khơng cấp phép h) Kiểm sốt truy cập từ xa: Đảm bảo an tồn, an ninh thơng tin sử dụng phương tiện di động Phát triển trì hệ thống a) Yêu cầu an ninh hệ thống: Để đảm bảo yêu cầu an ninh đưa vào trình xây dựng hệ thống b) An ninh hệ thống ứng dụng: Để ngăn ngừa mát, thay đổi lạm dụng liệu người sử dụng hệ thống ứng dụng c) Các kiểm sốt mật mã hóa: Để bảo vệ tính tin cậy, xác thực tồn vẹn thông tin d) An ninh tệp hệ thống: Đảm bảo dự án công nghệ thông tin hoạt động hỗ trợ quản lý cách an tồn e) An ninh q trình hỗ trợ phát triển: Duy trì an ninh phần mềm thông tin hệ thống ứng dụng Sự tuân thủ a) Tuân thủ yêu cầu pháp lý: Để tránh vi phạm luật hình dân sự, nghĩa vụ có tính luật pháp, nguyên tắc yêu cầu an ninh b) Sốt xét sách an ninh u cầu kỹ thuật để đảm bảo việc tuân thủ hệ thống với sách tiêu chuẩn an ninh Tổ quốc c) Xem xét kiểm tra hệ thống: Để tối đa tính hiệu lực để giảm thiểu can thiệp tới quy trình kiểm tra hệ thống đó./ Phụ lục II CÁC BƯỚC CƠ BẢN ĐỂ XÂY DỰNG KHUNG QUY TRÌNH ĐẢM BẢO AN TỒN, AN NINH THÔNG TIN CHO HỆ THỐNG THÔNG TIN (Ban hành kèm theo Quyết định số 36/2010/QĐ-UBND ngày 12 tháng 11 năm 2010 Ủy ban nhân dân tỉnh Khánh Hòa) Bước Lập kế hoạch bảo vệ an toàn cho hệ thống thông tin - Thành lập phận quản lý an tồn, an ninh thơng tin - Xây dựng định hướng cho cơng tác đảm bảo an tồn, an ninh thơng tin rõ: + Mục tiêu ngắn hạn dài hạn + Phương hướng văn pháp quy, tiêu chuẩn cần tuân thủ tham khảo + Ước lượng nhân lực kinh phí đầu tư - Lập kế hoạch xây dựng hệ thống bảo vệ an tồn, an ninh thơng tin: + Xác định phân loại nguy gây cố an tồn, an ninh thơng tin + Rà sốt lập danh sách đối tượng cần bảo vệ với mô tả đầy đủ về: Nhiệm vụ; chức năng; mức độ quan trọng đặc điểm đối tượng (đối tượng phần mềm, máy chủ, quy trình tác nghiệp thuộc quan đơn vị v.v…) + Xây dựng phương án đảm bảo an toàn cho đối tượng danh sách cần bảo vệ: Nguyên tắc quản lý, vận hành; giải pháp bảo vệ khắc phục cố v.v… + Liên lạc hợp tác chặt chẽ với Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Sở Thông tin Truyền thông quan, tổ chức nghiên cứu cung cấp dịch vụ an toàn mạng + Lập kế hoạch dự trù kinh phí đầu tư cho hệ thống bảo vệ Bước Xây dựng hệ thống bảo vệ an toàn, an ninh thông tin - Tổ chức đội ngũ nhân viên chuyên trách, đủ lực đảm bảo an toàn cho hệ thống thông tin - Xây dựng hệ thống bảo vệ an tồn, an ninh thơng tin theo kế hoạch Bước Quản lý vận hành hệ thống bảo vệ an tồn, an ninh thơng tin - Vận hành quản lý chặt chẽ trang thiết bị, phần mềm theo quy định đặt - Khi phát cố cần nhanh chóng xác định ngun nhân, tìm biện pháp khắc phục báo cáo cố cho quan chức - Cài đặt đầy đủ thường xuyên cập nhật phần mềm theo hướng dẫn nhà cung cấp Bước Kiểm tra đánh giá hoạt động hệ thống bảo vệ an toàn, an ninh thông tin - Thường xuyên kiểm tra giám sát hoạt động hệ thống bảo vệ an toàn, an ninh thơng tin nói riêng tồn hệ thống thơng tin nói chung - Báo cáo tổng kết tình hình theo định kỳ Bước Bảo trì nâng cấp hệ thống bảo vệ an toàn, an ninh thơng tin Thường xun kiểm tra bảo trì hệ thống bảo vệ an tồn, an ninh thơng tin Cần nhanh chóng mở rộng, nâng cấp thay đổi cần thiết./ ... 36/2010/QĐ-UBND ngày 12 tháng 11 năm 2010 Ủy ban nhân dân tỉnh Khánh Hòa) Bước Lập kế hoạch bảo vệ an tồn cho hệ thống thơng tin - Thành lập phận quản lý an tồn, an ninh thơng tin - Xây dựng... thơng tin - Vận hành quản lý chặt chẽ trang thiết bị, phần mềm theo quy định đặt - Khi phát cố cần nhanh chóng xác định nguyên nhân, tìm biện pháp khắc phục báo cáo cố cho quan chức - Cài đặt... Bước Xây dựng hệ thống bảo vệ an tồn, an ninh thơng tin - Tổ chức đội ngũ nhân viên chuyên trách, đủ lực đảm bảo an tồn cho hệ thống thơng tin - Xây dựng hệ thống bảo vệ an tồn, an ninh thơng tin