1. Trang chủ
  2. » Luận Văn - Báo Cáo

Đề tài đề xuất triển khai quản lý an toàn thông tin tại các tổ chức doanh nghiệp trong điều kiện việt nam

21 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 21
Dung lượng 177 KB

Nội dung

BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG ĐỒ ÁN CUỐI KỲ MƠN HỌC QUẢN LÝ AN TỒN THÔNG TIN Đề tài: “ĐỀ XUẤT TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI CÁC TỔ CHỨC DOANH NGHIỆP TRONG ĐIỀU KIỆN VIỆT NAM” Người hướng dẫn : ThS NGUYỄN HỮU NGUYÊN Sinh viên thực : TRẦN ĐÌNH CHIẾN Mã số sinh viên : N19DCAT010 Lớp : D19DCAT01-N Hệ : Đại Học Chính Quy NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Lời Cảm Ơn Em xin gửi lời cảm ơn chân thành đến thầy hướng dẫn hỗ trợ quý báu q trình hồn thành đồ án cuối kì Thầy dành thời gian công sức để chia sẻ kiến thức, động viên định hình cho em trình nghiên cứu làm việc Từ bắt đầu đồ án, em gặp nhiều khó khăn thách thức Nhưng nhờ dẫn hỗ trợ từ thầy, em vượt qua khó khăn hồn thành dự án cách thành cơng Thầy khơng cung cấp kiến thức chun mơn mà cịn truyền đạt kỹ quan trọng cho em Những lời khuyên, động viên góp ý từ thầy giúp em phát triển kỹ nghiên cứu, phân tích giải vấn đề cách hiệu Em muốn gửi lời cảm ơn đến thầy kiên nhẫn lòng tận tụy việc giảng dạy Thầy ln sẵn lịng trả lời câu hỏi em tạo điều kiện để em tiến học tập Với hỗ trợ dẫn dắt thầy, em học nhiều áp dụng kiến thức vào sống nghiệp tương lai Em xin chân thành cảm ơn thầy tất điều tuyệt vời mà thầy mang lại cho em Mục Lục Mở đầu I, Xác định mức độ rủi ro trước công doanh nghiệp II, Mô Hình đánh giá, xác định cấp độ khả tổ chức III, Kế hoạch triển khai quản lý an tồn thơng tin doanh nghiệp .9 1, Cơ sở hạ tầng (Infrastructure) .9 2, Quản trị môi trường kinh doanh ( Business Enviroment Governance) 3, Đánh giá rủi ro (Risk Assessments) 4, Quản lý rủi ro (Risk Management) 10 5, Quản lý rủi ro chuỗi cung ứng (Supply chain Risk Management) .10 6, Đào tạo nhận thức (Awareness and Training) .11 Phụ lục : Bảng câu hỏi khảo sát .15 Mở đầu Kế hoạch triển khai quản lý an tồn thơng tin bước quan trọng việc bảo vệ thông tin quan trọng doanh nghiệp khỏi mối đe dọa rủi ro Trong giới liên kết mạng ngày phức tạp, việc đảm bảo an tồn thơng tin trở thành ưu tiên hàng đầu để bảo vệ danh tiếng tin tưởng khách hàng, đối tác nhân viên Chúng ta đối mặt với mối đe dọa an ninh mạng ngày tinh vi phức tạp hết Các công mạng, việc lộ thông tin nhạy cảm vụ vi phạm an tồn thơng tin gây thiệt hại khơng mặt tài mà cịn ảnh hưởng đến uy tín danh tiếng doanh nghiệp Chính vậy, việc triển khai kế hoạch quản lý an tồn thơng tin chặt chẽ hiệu cần thiết để bảo vệ doanh nghiệp khỏi mối đe dọa Kế hoạch triển khai quản lý an tồn thơng tin khơng đảm bảo tuân thủ quy định tiêu chuẩn pháp lý liên quan, mà cịn tạo mơi trường làm việc an tồn, đáng tin cậy bảo vệ thơng tin Bằng cách triển khai biện pháp an ninh mạng thích hợp, giảm thiểu rủi ro, tăng cường khả phát ứng phó với cố an ninh, đảm bảo bền vững doanh nghiệp thời đại số hóa ngày Trong kế hoạch này, tập trung vào việc xây dựng sở vững cho quản lý an tồn thơng tin doanh nghiệp Chúng ta xác định mục tiêu, phạm vi nguồn lực cần thiết để triển khai quản lý an tồn thơng tin Chúng ta xây dựng sách, quy trình biện pháp bảo mật thích hợp, đảm bảo nhân viên đào tạo I, Xác định mức độ rủi ro trước công doanh nghiệp Khả Năng Rất cao Cao  Đối phương gần chắn bắt đầu công  Tai nạn lỗi gần chắn; xảy 100 lần năm  Gần chắn có tác động bất lợi Tác động Mức độ rủi ro Nhiều tác động bất Sự kiện gây lợi nghiêm trọng nhiều tác động bất lợi thảm khốc đến với tổ thảm khốc chức  Đối phương bắt đầu Tác động bất lợi, Sự kiện cơng chí nghiêm cho có tác động bất  Tai nạn lỗi xảy ra; trọng tổ chức lợi nghiêm trọng đến với tổ chức xảy từ 10-100 lần năm  Rất có tác động tiêu cực Trung Bình hưởng xấu  Đối phương phần có khả Ảnh nghiêm trọng đến với bắt đầu cơng  Tai nạn sai sót phần có tổ chức khả xảy ra; từ 1-10 lần năm  Hơi có khả có tác động bất lợi Sự kiện cho có tác động tiêu cực, nghiêm trọng tổ chức Thấp  Đối phương khơng có khả bắt Hạn chế ảnh hưởng Sự kiện dự kiến xấu đến với tổ chức có tác động bất lợi đầu công đến với tổ chức  Tai nạn lỗi khó xảy ra; lần năm, 10 lần năm  Khơng có khả có tác động tiêu cực Rất Thấp  Đối phương khó có khả Tác động không đáng Không gây tác động đáng kể đến với tổ công, vấn đề bảo mật kể tổ chức chức lỗi khó để xảy  Tỷ lệ xảy 10 năm lần  Rất khó để có tác động Sự ưu tiên (Priority) - 10 Rất Cao Kiểm soát tới hạn tảng kiểm sốt tới hạn; thiếu kiểm sốt có nhiều tác động bất lợi nghiêm trọng thảm khốc tổ chức 7-8 Cao Rất quan trọng tảng cho kiểm soát quan trọng; thiếu kiểm sốt có tác động bất lợi nghiêm trọng thảm khốc tổ chức 4–6 Trung Bình Kiểm soát quan trọng tảng cho kiểm soát quan trọng; thiếu kiểm soát có tác động bất lợi nghiêm trọng tổ chức 2-3 Thấp Kiểm sốt có tầm quan trọng thấp sở cho kiểm sốt có tầm quan trọng thấp; thiếu kiểm sốt có tác động bất lợi hạn chế tổ chức 0-1 Rất Thấp Kiểm sốt khơng phải ưu tiên khơng phải kiểm sốt bản; thiếu kiểm sốt có tác động bất lợi khơng đáng kể tổ chức II, Mơ Hình đánh giá, xác định cấp độ khả tổ chức Thực cải tiến chủ động liên tục để đạt mục tiêu Chủ động cải tiến liên tục Cải tiến quy trình Gắn liền với văn hóa doanh nghiệp Cấp độ 4: Được quản lý Quản lý quy trình kết cách có định lượng hoạt động tiêu chuẩn hóa Các q trình đo lường kiểm sốt Kết dự đốn Kiểm soát chủ động Cấp độ 3: Được xác định Phát triển quy trình, biện pháp đào tạo tiêu chuẩn cho việc cung cấp sản phẩn dịch vụ Các quy trình chuẩn hóa Có cách tiếp cận quán, chủ động =>> phù hợp với tổ chức Xây dựng quản lý đơn vị làm việc có kỷ luật để ổn định cơng việc kiểm soát cam kết Thực hành lặp lặp lại Các quy trình xác định lập thành văn Các chức công nghệ theo dõi Cấp độ 5: Tối Ưu Hóa Cấp độ 2: Có thể lặp lại Cấp độ 1: Ban Đầu Thúc đẩy người “Hồn Thành Cơng Việc”  Quy trình đặc biệt  Khơng qn khơng thể đoán trước  Kiểm soát phản ứng  Thành công phụ thuộc vào nỗ lực cá nhân III, Kế hoạch triển khai quản lý an tồn thơng tin doanh nghiệp 1, Cơ sở hạ tầng (Infrastructure) An ninh vận hành quản lý tài sản:      ID.AM-1: Các thiết bị hệ thống vật lý tổ chức kiểm kê ID.AM-2: Nền tảng phần mềm ứng dụng tổ chức kiểm kê ID.AM-3: Cơ cấu tổ chức luồng liệu liên lạc tổ chức ID.AM-4: Lập danh mục sử dụng hệ thống thơng tin bên ngồi ID.AM-5: Tài ngun tổ chức ( Ví dụ: Phần cứng, Thiết bị, Dữ liệu, thời gian, nhân phần mềm) ưu tiên dựa mức độ phân loại mức độ quan trọng giá trị kinh doanh chúng  ID.AM-6: Thiết lập chặt chẽ vai trò trách nhiệm An ninh mạng toàn lực lượng lao động bên liên quan (bên thứ 3) (ví dụ: Nhà cung cấp, khách hàng, đối tác,…) 2, Quản trị môi trường kinh doanh ( Business Enviroment Governance) An ninh chiến lược môi trường kinh doanh:  ID.BE-1: Xác định truyền đạt rõ ràng vai trò tổ chức chuỗi cung ứng dịch vụ  ID.BE-2: Xác định rõ ràng vị trí tổ chức sở hạ tầng lĩnh vực hoạt động tổ chức  ID.BE-3: Xác định ưu tiên cho nhiệm vụ, mục tiêu hoạt động tổ chức  ID.BE-4: Thiết lập thành phần phụ thuộc chức quan trọng để cung cấp dịch vụ  ID.BE-5: Hỗ trợ cung cấp yêu cầu khả phục hồi dịch vụ quan trọng thiết lập cho toàn trạng thái vận hành cảu tổ chức (Ví dụ: Bị cưỡng bức/bị cơng, q trình phục hồi, hoạt động bình thường) An ninh chiến lược – quản trị tuân thủ:  ID.GV-1: Thiết lập chia sẻ sử dụng rộng rãi tổ chức sách an ninh mạng tổ chức  ID.GV-2: Các vai trò trách nhiệm An ninh mạng điều phối liên kết với vai trị nội đối tác bên ngồi  ID.GV-3: Các yêu cầu pháp lý quy định liên quan đến an ninh mạng, bao gồm nghĩa vụ quyền riêng tư quyền tự dân sự, hiểu quản lý  ID.GV-4: Quy trình quản trị quản lý rủi ro giải rủi ro an ninh mạng 3, Đánh giá rủi ro (Risk Assessments) An ninh chiến lược – quản lý rủi ro:  ID.RA-1: Xác định ghi lại lỗ hổng nội dung  ID.RA-2: Thơng tin tình báo Mối đe dọa mạng nhận từ nguồn diễn đàn chia sẻ thông tin  ID.RA-3: Các mối đe dọa, bên bên ngoài, xác định ghi lại  ID.RA-4: Xác định tác động khả kinh doanh tiềm ẩn  ID.RA-5: Các mối đe dọa, lỗ hổng, khả xảy tác động sử dụng để xác định rủi ro  ID.RA-6: Các phản hồi rủi ro xác định ưu tiên 4, Quản lý rủi ro (Risk Management) An ninh chiến lược – Quản lý rủi ro:  ID.RM-1: Các quy trình quản lý rủi ro thiết lập, quản lý đồng ý bên liên quan tổ chức  ID.RM-2: Xác định thể rõ ràng mức độ chấp nhận rủi ro tổ chức  ID.RM-3: Việc xác định mức độ chấp nhận rủi ro tổ chức xác định người đóng vai trị trách nhiệm sở hạ tầng phân tích rủi ro 5, Quản lý rủi ro chuỗi cung ứng (Supply chain Risk Management) Bí mật chiến lược – Quản lý rủi ro chuỗi cung ứng:  ID.SC-1: Các quy trình quản lý rủi ro chuỗi cung ứng không gian mạng bên liên quan tổ chức xác định thiết lập, đánh giá, quản lý đồng ý  ID.SC-2: Các nhà cung cấp đối tác bên thứ ba hệ thống thông tin, thành phần dịch vụ xác định, ưu tiên đánh giá quy trình đánh giá rủi ro chuỗi cung ứng khơng gian mạng  ID.SC-3: Hợp đồng với nhà cung cấp đối tác bên thứ sử dụng để thực biện pháp thích hợp thiết kế nhằm đáp ứng mục tiêu chương trình an ninh mạng kế hoạch quản lý rủi ro chuỗi cung ứng mạng tổ chức  ID.SC-4: Các nhà cung cấp đối tác bên thứ đánh giá thường xuyên cách sử dụng kiểm toán, kết kiểm tra hình thức đánh giá khác để xác nhận họ đáp ứng nghĩa vụ theo hợp đồng  ID.SC-5: Thử nghiệm lập kế hoạch để phản hồi phục hồi tiến hành với nhà cung cấp đối tác bên thứ Quản lý danh tính kiểm sốt lượng truy cập:  PR.AC-1: Danh tính thơng tin đăng nhập cấp, quản lý, xác minh, thu hồi kiểm tra cho thiết bị, người dùng quy trình ủy quyền  PR.AC-2: Quyền truy cập vật lý vào tài sản quản lý bảo vệ  PR.AC-3: Quản lý truy cập từ xa  PR.AC-4: Quyền truy cập ủy quyền quản lý, kết hợp nguyên tắc đặc quyền tối thiểu phân chia nhiệm vụ  PR.AC-5: Tính tồn vẹn mạng bảo vệ (ví dụ: phân tách mạng, phân đoạn mạng)  PR.AC-6: Danh tính xác minh ràng buộc với thông tin đăng nhập khẳng định lần tương tác với hệ thống  PR.AC-7: Người dùng, thiết bị tài sản khác xác thực (ví dụ: hay nhiều yếu tố) Tương xứng với rủi ro giao dịch (ví dụ: rủi ro bảo mật quyền riêng tư cá nhân rủi ro khác tổ chức) 6, Đào tạo nhận thức (Awareness and Training) An ninh chiến lược – nhận thức đào tạo:  PR.AT-1: Đảm bảo tất người dùng nắm đầy đủ thông tin đào tạo  PR.AT-2: Những người dùng đặc quyền phải hiểu vai trò trách nhiệm họ  PR.AT-3: Các bên liên quan thứ (ví dụ: nhà cung cấp dịch vụ, khách hàng, đối tác) hiểu vaiu trò trách nhiệm họ  PR.AT-4: Các nhà quản lý cấp cao hiểu rõ vai trò trách nhiệm họ  PT.AT-5: Các nhân viên vận hành nhân viên an ninh mạng hiểu rõ vai trò trách nhiệm họ Bảo mật liệu – Mã hóa tàon vẹn liệu:  PR.DS-1: Dữ liệu lưu trữ bảo vệ  PR.DS-2: Dữ liệu truyền bảo vệ  PR.DS-3: Tài sản quản lý thức suốt q trình di dời, chuyển nhượng định đoạt  PR.DS-4: Năng lượng đầy đủ để đảm bảo trì tính khả dụng  PR.DS-5: Triển khai biện pháp bảo vệ chống rò rỉ liệu  PR.DS-6: Cơ sở kiểm tra tính tồn vẹn sử dụng để xác minh tính tồn vẹn phần mềm, chương trình sở thơng tin  PR.DS-7: Các môi trường thử nghiệm phát triển tách biệt với môi trường sản xuất  PR.DS-8: Cơ chế kiểm tra tính tồn vẹn sử dụng để xác minh tính tồn vẹn phần cứng Quy trình thủ tục bảo vệ thơng tin:  PR.IP-1: Cấu hình hệ thống công nghệ thông tin tạo trì kết hợp với nguyên tắc bảo mật  PR.IP-2: Hệ thống phải triển khai kiểm sốt vịng đời phát triển hệ thống quản lý  PR.IP-3: Áp dụng quy trình kiểm sốt thay đổi cấu hình  PR.IP-4: Sao lưu lại thơng tin tiến hành trì kiểm tra  PR.IP-5: Đáp ứng sách quy định liên quan đến môi trường vận hành vật lý tài sản tổ chức  PR.IP-6: Những liệu không quán bị hủy theo sách  PR.IP-7: Cải thiện quy trình, vịng bảo vệ hệ thống thơng tin tổ chức  PR.IP-8: Chia sẻ hiệu hệ thống bảo vệ công nghệ thông tin  PR.IP-9: Quản lý đưa kế hoạch ứng phó (ứng phó cố tính liên tục kinh doanh) kế hoạch khôi phục (khắc phục cố khắc phục thảm họa)  PR.IP-10: Thử nghiệm kế hoạch phản hồi khôi phục liệu cho tổ chức  PR.IP-11: Cyber Security bao gồm tất hoạt động nhân (Ví dụ: hủy cấp phép, sàng lọc nhân sự)  PR.IP-12: Phát triển triển khai kế hoạch quản lý lỗ hổng thông tin cho hệ thống Bảo Mật hoạt động - Bảo trì tài sản tổ chức (quản lý vòng đời):  PR.MA-1: Thực ghi lại cơng việc bảo trì sửa chữa tài sản tổ chức công cụ phê duyệt kiểm soát chặt chẽ tổ chức  PR.MA-2: Phê duyệt bảo trì từ xa tài sản tổ chức, ghi nhật kí thực cách ngăn chặn truy cập trái phép Bảo mật vận hành – Bảo vệ tài sản :  PR.PT-1: Xác định hồ sơ, nhật kí / kiểm toán lập thành văn bản, triển trai xem xét theo sách tổ chức  PR.PT-2: Bảo vệ phương tiện di động việc sử dụng phương tiện di động bị hạn chế theo sách tổ chức  PR.PT-3: Hệ thống cung cấp khả cần thiết cho nguyên tắc sử dụng chức áp dụng cách cấu hình hệ thống  PR.PT-4: Mạng truyền thông điều khiển bảo vệ  PR.PT-5: Các chế (ví dụ: an tồn dự phịng, cân tải, trao đổi nóng) triển khai để đạt yêu cầu khả phục hồi tất tình bình thường bất lợi Bảo mật hoạt động – Giám sát, phân tích phát kiện:  DE.AE-1: Thiết lập quản lý đường sở hoạt động mạng luồng liệu dự kiến dành cho người dùng hệ thống  DE.AE-2: Các công phát phân tích liệu để hiểu mục tiêu phương pháp công  DE.AE-3: Thu thập liệu từ công so sánh tương quan từ nhiều nguồn khác  DE.AE-4: Xác định nguyên nhân, tác động, tác nhân công mạng  DE.AE-5: Thiết lập ngưỡng cảnh báo cố trước công cho tổ chức An ninh vận hành – Giám sát an ninh liên tục:  DE.CM-1: Mạng giám sát để phát công an ninh mạng tiềm ẩn  DE.CM-2: Môi trường vật lý giám sát để phát công an ninh mạng tiềm ẩn  DE.CM-3: Các hoạt động người, nhân giám sát để phát công an ninh mạng tiềm ẩn  DE.CM-4: Phát mã độc công  DE.CM-5: Phát mã truy cập di động trái phép  DE.CM-6: Các hoạt động nhà cung cấp, dịch vụ bên giám sát để phát công an ninh mạng tiềm ẩn  DE.CM-7: Thực giám sát nhân viên, kết nối đến, thiết bị phần mềm trái phép  DE.CM-8: Thực quét lỗ hổng công an ninh mạng Bảo mật hoạt động – Quy trình phát hiện:  DE.DP-1: Nhân viên có vai trò trách nhiệm phát cơng phải giải trình rõ để đảm bảo trách nhiệm  DE.DP-2: Phát công phải tuân thủ tất yêu cầu hành tổ chức  DE.DP-3: Thử nghiệm quy trình phát cơng mạng vào tổ chức  DE.DP-4: Truyền đạt thông tin phát từ công nhắm đến tổ chức  DE.DP-5: Cải thiện liên tục quy trình phát công mạng đến tổ chức An ninh hoạt động – Lập kế hoạch ứng phó:  RS.RP-1: Thực kế hoạch ứng phó với công sau cố công từ bên ngồi Nghiệp vụ an ninh – Truyền thơng:  RS.CO-1: Nhân viên biết vai trò thứ tự hoạt động họ cố xaỷ cần phản hồi với CEO  RS.CO-2: Các cố báo cáo phù hợp với tiêu chí thiết lập  RS.CO-3: Các thông tin chia sẻ phù hợp với kế hoạch ứng phó  RS.CO-4: Sự phối hợp với bên liên quan diễn quán với kế hoạch ứng phó xảy cố  RS.CO-5: Tự nguyện chia sẻ thông tin xảy với bên liên quan bên ngồi để đạt nhận thức tình an ninh mạng Bảo mật hoạt động – Phân tích:  RS.AN-1: Phát điều tra thơng báo từ hệ thống xảy công  RS.AN-2: Hiểu rõ tác động cố an ninh mạng  RS.AN-3: Thực biện pháp pháp y xảy công mạng hướng đến tổ chức  RS.AN-4: Phân loại cố phù hợp với loại kế hoạch ứng phó  RS.AT-5: Thiết lập quy trình để tiếp nhận, phân tích phản hồi lỗ hổng tiết lộ cho tổ chức từ nguồn từ bên bên tổ chức (Ví dụ: Thử nghiệm nội bộ, tin bảo mật hàng quý từ nhà ngheien cứu bảo mật) Bảo mật hoạt động – Giảm nhẹ:  RS.MI-1: Ngăn chặn cố xảy trước công hướng đến tổ chức  RS.MI-2: Giảm thiểu cố xảy trước công hướng đến tổ chức  RS.MI-3: Ghi nhận lỗ hổng xác định giảm thiểu ghi nhận rủi ro Bảo mật hoạt động – Cải tiến:  RS.IM-1: Kết hợp với kế hoạch ứng phó tổ chức học kinh nghiệm để rút kế hoạch ứng phó tốt  RS.IM-2: Cập nhật liên tục chiến lược phản hồi có cơng Bảo mật hoạt động – Lập kế hoạch phục hồi:  RC.RP-1: Kế hoạch phục hồi thực thi sau xảy cố an ninh mạng Bảo mật hoạt động – Cải tiến:  RC.IM-1: Kết hợp kế hoạch phục hồi học kinh nghiệm  RC.IM-2: Cập nhật liên tục chiến lược phục hồi sau công Nghiệp vụ an ninh – Truyền thông:  RC.CO-1: Kết hợp kế hoạch phục hồi học kinh nghiệm để đưa kế hoạch tốt phục hồi sau công  RC.CO-2: Lấy lại truyền thông, danh tiếng sau cố công  RC.CO-3: Các hoạt động khôi phục truyền đạt tới bên liên quan bên bên ngồi nhóm điều hành quản lý bao gồm khối vận hành Phụ lục : Bảng câu hỏi khảo sát CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc -CAM KẾT BẢO MẬT THÔNG TIN - Căn vào nội quy lao động công ty……………… - Căn vào Hợp đồng lao động số: …… ký kết vào ngày … tháng … năm … công ty ………… ông/bà …………… - Căn trách nhiệm công việc Nhân viên liên quan đến hoạt động Cơng ty Tơi là: …………………… Giới tính: …………… Sinh ngày: ………………… Vị trí làm việc: Chức vụ: …………………… Công ty: Theo nội quy lao động điều…: “ Bảo mật thông tin tài liệu công nghệ Kinh doanh Công ty tồn hình thức nào.” Theo quy định việc bàn giao tài liệu, thông tin mật Công ty, làm cam kết xin cam đoan không tiết lộ thông tin tài liệu có chứa Thơng tin bảo mật kể chấm dứt hợp đồng lao động, trừ trường hợp Thông tin mật Công ty phổ biến rộng rãi trước công chúng; Tôi xin cam đoan không phép mua, bán, sử dụng, chuyển giao thu lợi theo cách thức tiết lộ Thơng tin mật mà thu biết q trình làm việc Cơng ty cho bên thứ ba Đặc biệt bàn giao đầy đủ thứ bàn giao tài sản công ty ………., ngày … tháng … năm … Người cam đoan (Ký, ghi rõ họ tên) BỘ CÂU HỎI KHẢO SÁT VỀ HOẠT ĐỘNG ĐẢM BẢO AN TỒN, BẢO MẬT THƠNG TIN CỦA TỔ CHỨC, DOANH NGHIỆP Doanh nghiệp, Tổ chức bạn có sách bảo mật thơng tin chung dành cho Doanh nghiệp – Tổ chức hay khơng ? A Có B Không Mức độ quan tâm Tổ chức/Doanh nghiệp bạn Bảo mật an tồn thơng tin? A Critical B High C Medium D Low Mức độ An toàn Tổ chức/Doanh nghiệp bạn? A Critical B High C Medium D Low Mức độ quan trọng thông tin mà Tổ chức/Doanh nghiệp bạn nắm giữ? A Critical B High C Medium D Low Mức độ rủi ro mang lại thông tin tổ chức bị lộ ? A Critical B High C Medium D Low Nơi lưu trữ thông tin quan trọng nhạy cảm Tổ chức/Doanh nghiệp bạn? Thời gian quản lý vịng đời đảm bảo an tồn, bảo mật thông tin Tổ chức/Doanh nghiệp bạn? A Hằng ngày B Hằng Tuần C Hằng tháng D Hằng quý E Hằng năm F Khi có yêu cầu cố xảy G không thực Tại việc đảm bảo an tồn, bảo mật thơng tin quan trọng tổ chức/doanh nghiệp bạn? A Bảo vệ thông tin quan trọng nhạy cảm khỏi việc truy cập trái phép lợi dụng người khơng có quyền B Ngăn chặn mát thơng tin quan trọng gây hậu lớn tổ chức/doanh nghiệp C Đảm bảo tin tưởng độ tin cậy từ phía khách hàng, đối tác nhà cung cấp D Tuân thủ quy định tiêu chuẩn bảo mật liên quan đến ngành hoạt động tổ chức/doanh nghiệp E Tránh rủi ro pháp lý hình phạt tài liên quan đến việc xâm phạm an ninh thông tin F Bảo vệ danh tiếng hình ảnh tổ chức/doanh nghiệp trước cơng chúng cộng đồng kinh doanh G Mục khác : Trong tổ chức/doanh nghiệp bạn, hoạt động đảm bảo an tồn, bảo mật thơng tin thực phận nào? A Bộ phận Công nghệ thông tin (IT) B Bộ phận An ninh thông tin (Information Security) C Bộ phận Quản lý rủi ro (Risk Management) D Bộ phận Nhân (Human Resources) E Bộ phận Quản lý hệ thống (System Management) F Mục khác : 10 Tổ chức/doanh nghiệp bạn xác định phân loại rủi ro an tồn, bảo mật thơng tin chưa? A Có B Khơng C Chưa biết 11 Làm tổ chức/doanh nghiệp bạn xác định đánh giá rủi ro an tồn, bảo mật thơng tin? A Đánh giá rủi ro theo kịch (scenario-based risk assessment) B Đánh giá rủi ro dựa tiêu chuẩn quy định (compliance-based risk assessment) C Sử dụng phương pháp định hạng rủi ro (risk rating method) D Sử dụng cơng cụ/ phần mềm hỗ trợ (vui lịng ghi rõ công cụ/ phần mềm) E Mục khác : 12 Tổ chức/doanh nghiệp bạn có kế hoạch quy trình đánh giá rủi ro an tồn, bảo mật thơng tin khơng? A Có B Khơng 13 Tổ chức/doanh nghiệp bạn triển khai biện pháp kiểm soát rủi ro xác định khơng? A Có B Khơng 14 Làm tổ chức/doanh nghiệp đảm bảo biện pháp phòng ngừa kiểm soát rủi ro triển khai tuân thủ? A Đào tạo định kỳ B Chương trình giáo dục an tồn thơng tin C Chính sách quy định nghiêm ngặt D Sử dụng tài liệu tham khảo E Mục khác : 15 Tổ chức/doanh nghiệp bạn có sử dụng công cụ phần mềm hỗ trợ đánh giá quản lý rủi ro khơng? A Có B Khơng 16 Làm tổ chức/doanh nghiệp đảm bảo tính liên tục hoạt động quản lý rủi ro an tồn, bảo mật thơng tin? A Quản lý khẩn cấp phục hồi sau cố B Sao lưu khôi phục liệu thường xuyên C Kiểm tra thường xuyên đánh giá hiệu D Đào tạo nâng cao nhận thức thường xuyên E Mục khác : 17 Làm tổ chức/doanh nghiệp liên kết rủi ro an toàn, bảo mật thông tin với mục tiêu chiến lược tổ chức? A Quản lý rủi ro tích hợp B Định rõ mục tiêu tiêu an toàn, bảo mật thông tin C Liên kết với chiến lược tổ chức chung D Đánh giá điều chỉnh định kỳ E Mục khác : 18 Tổ chức/doanh nghiệp bạn xác định tuân thủ quy định pháp luật liên quan đến bảo mật thơng tin khơng? A Có B Khơng 19 Chính sách ISSP tổ chức bạn có đủ thành phần hay khơng? Nếu khơng đủ nêu thành phần cịn thiếu A Có B Khơng C Mục khác : 20 Tổ chức bạn có Danh sách kiểm sốt quyền truy cập (ACL) để kiểm soát quyền đặc quyền hay chưa? A Có B Khơng 21 Tổ chức có đảm bảo sách ATTT thực đến tay người dùng cuối? (Bao gồm rào cản ngơn ngữ, học vấn) A Có B Khơng 22 Nếu nhân viên bị trừng phạt, kiểm duyệt bị sa thải từ chối tuân theo sách sau có chứng minh sách không áp dụng thực thi cách thống nhất, tổ chức phải đối mặt với vấn đề gì?

Ngày đăng: 31/07/2023, 09:51

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w