BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG QUẢN LÝ AN TỒN THƠNG TIN ĐỀ TÀI: TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI DOANH NGHIỆP TRONG MÔI TRƯỜNG VIỆT NAM Người hướng dẫn     : ThS Nguyễn Hữu Nguyên Sinh viên thực :  Nguyễn Thị Bảo Anh Mã số sinh viên        :  N19DCAT003 Lớp               :  D19CQAT01-N BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG QUẢN LÝ AN TỒN THƠNG TIN ĐỀ TÀI: TRIỂN KHAI QUẢN LÝ AN TỒN THƠNG TIN TẠI DOANH NGHIỆP TRONG MÔI TRƯỜNG VIỆT NAM Người hướng dẫn     : ThS Nguyễn Hữu Nguyên Sinh viên thực :  Nguyễn Thị Bảo Anh Mã số sinh viên        :  N19DCAT003 Lớp               :  D19CQAT01-N   NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Cơng nghê Bưu Viễn thơng Cơ sở thành phố Hồ Chí Minh đưa học phần Quản Lý An Tồn Thơng Tin vào chương trình giảng dạy Đặc biệt, chúng em xin chân thành cảm ơn Thầy Nguyễn Hữu Nguyên - giảng viên học phần Quản Lý An Tồn Thơng Tin dạy, truyền đạt kiến thức quý báu cho em suốt thời gian học tập học phần vừa qua, giúp đỡ em trình học tập trình thực đồ án này.  Trong trình thực đề tài, em cịn nhiều sót kết chưa đạt kỳ vọng, mong giảng viên bạn góp ý để đề tài bổ sung, hồn thiện cách đầy đủ tốt Em xin chân thành cảm ơn! MỤC LỤC Ứng Dụng Chi Tiết Chính Sách Quản Lý A Yêu Cầu Tiêu Chuẩn Bảo Mật Thông Tin Lý Lịch Tuyên Bố B YÊU CẦU QUẢN LÝ VÀ QUẢN TRỊ AN TOÀN THÔNG TIN Lý Lịch VAI TRÒ VÀ TRÁCH NHIỆM VI PHẠM CHÍNH SÁCH .8 MIỀN CHÍNH SÁCH QUẢN LÝ NGHĨA VỤ PHÁP LÝ TÌM SỰ GIÚP ĐỠ Ở ĐÂU .9 Tài sản thông tin cần bảo vệ khỏi sửa đổi không phù hợp, làm mát thông tin, tránh tiết lộ bên ngồi ln đáp ứng tính sẵn có Việc xâm phạm liên quan đến tính bảo mật, tính tồn vẹn tính sẵn có tài sản thông tin dẫn đến ảnh hưởng nghiêm trọng khách hàng công ty, cấu thành hành vi vi phạm quy định pháp luật, gây tổn thất tài tác động tiêu cực đến danh tiếng công ty Theo định nghĩa Tiêu chuẩn Bảo mật Thông tin, tài sản thông tin hiểu thông tin công nghệ thông tin, bao gồm phần mềm, phần cứng liệu (cả mềm cứng) Chính sách quản lý nhằm bảo vệ tài sản thông tin công ty đáp ứng yêu cầu ngành hay quy định liên quan Chính sách phần chiến lược quản lý rủi ro tổng thể doanh nghiệp nằm khuôn khổ tuân thủ Bảo mật thông tin hiệu cho phép doanh nghiệp hoạt động cách cạnh tranh, an toàn, tuân thủ luật pháp quy định môi trường rủi ro, quản lý cách nghiêm ngặt Ứng Dụng Chính sách quản lý áp dụng cho tất nhân viên người lao động tạm thời doanh nghiệp đơn vị chịu kiểm soát doanh nghiệp Chính sách áp dụng kể người dùng làm việc đạo Tập đoàn với tư cách giám đốc vai trị khác Chính sách áp dụng cho tất thông tin doanh nghiệp sở hữu chịu trách nhiệm, bao gồm thông tin lưu trữ sở hạ tầng điện toán đám mây hay địa điểm chứa thông tin khác Doanh nghiệp tuân thủ tiêu chuẩn đặt sách Trong trường hợp có xung đột tiêu chuẩn yêu cầu pháp lý doanh nghiệp, nghĩa vụ pháp lý ưu tiên áp dụng so với tiêu chuẩn quy định sách Chi Tiết Chính Sách Quản Lý Chi tiết sách trình bày hai phần Phần A mô tả yêu cầu tiêu chuẩn bảo mật thông tin Phần B mô tả yêu cầu quản trị quản lý an ninh thông tin A Yêu Cầu Tiêu Chuẩn Bảo Mật Thông Tin Lý Lịch Các yêu cầu tiêu chuẩn bảo mật thông tin bắt buộc doanh nghiệp phải làm để bảo vệ tài sản thông tin Những yêu cầu ghi lại Tiêu chuẩn bảo mật thông tin Các yêu cầu đề xuất thêm vào phải thơng qua chủ sở hữu có liên quan triển khai biện pháp kiểm soát Các tiêu chuẩn trì Miền bảo mật tn thủ thơng lệ quy định doanh nghiệp Tuyên Bố Giáo dục An ninh thông tin để giảm rủi ro bảo mật thơng tin hành vi khơng an tồn gây ra, doanh nghiệp sẽ:  Giáo dục nhân viên người lao động dự bị trách nhiệm họ biện pháp thích hợp để bảo mật thơng tin  Tìm cách giáo dục khách hàng trách nhiệm, trách nhiệm giải trình bảo mật thơng tin thích hợp họ  Đào tạo nhân viên lao động dự bị để thực nghĩa vụ bảo mật thông tin họ Lưu giữ chứng thực nhân viên lao động dự bị đọc hiểu sách Xác thực khách hàng - Để phát hiện, xử lý, ngăn chặn giao dịch trái phép  Thiết lập danh tính khách hàng, liên kết họ với số nhận dạng thiết lập điều khoản điều kiện trước cung cấp quyền truy cập  Xác minh người xuất trình mã nhận dạng khách hàng qua kênh điện tử người mà PTE định mã nhận dạng  Quản lý thơng tin đăng nhập khách hàng quyền truy cập vào tài sản thơng tin Quản lý cấu hình - Để phòng ngừa phát lỗ hổng hệ thống thông tin, doanh nghiệp sẽ:  Xác định, thực trì cấu hình an tồn hệ thống thông tin Mật mã - Để tránh an tồn cho thơng tin mình, doanh nghiệp sẽ:  Sử dụng phương pháp mã hóa để bảo vệ thông tin dựa phân loại bảo mật tồn vẹn kho đường vận chuyển Phân loại thông tin - Để đảm bảo lựa chọn biện pháp kiểm soát phù hợp nhằm bảo vệ tài sản thông tin, doanh nghiệp sẽ:  Xác định tài sản thông tin xác lập chủ sở hữu tài sản thông tin  Phân loại tài sản thơng tin dựa tính bảo mật tồn vẹn: Ghi chép, trì cập nhật định kỳ việc phân loại tài sản thông tin Xử lý thơng tin - Để tránh an tồn thơng tin q trình xử lý thơng tin, doanh nghiệp sẽ:  Bảo vệ thông tin khỏi bị sửa đổi tiết lộ suốt vịng đời (tạo, sử dụng hủy) theo phân loại  Xử lý thơng tin cách an tồn sử dụng, dù định dạng vật hệ thống thông tin  Xử lý thông tin cách an tồn khơng cịn cần thiết 7 Quản lý định danh & truy cập - Để ngăn chặn phát truy cập xử lý không phù hợp hệ thống thông tin, doanh nghiệp sẽ:  Bảo vệ tài sản thông tin khỏi truy cập trái phép  Thiết lập danh tính nhân viên, lao động tạm thời nhà cung cấp trước cung cấp quyền truy cập vào thông tin tài sản  Chỉ cung cấp quyền truy cập chứng minh phù hợp với nhu cầu kinh doanh, định kỳ xem xét quyền truy cập xóa quyền truy cập không cần  Xác thực người dùng trước cấp quyền truy cập hệ thống thông tin  Yêu cầu người sử dụng hệ thống thông tin truy cập thông tin chịu trách nhiệm thay đổi mà họ thực  Duy trì phân chia nhiệm vụ phù hợp để đảm bảo nhân viên người lao động hoạt động độc lập khơng có vị trí để thực che giấu hoạt động trái phép q trình thực vai trị bình thường họ Quản lý cố an ninh thơng tin - Để phát ứng phó với cố an ninh, đồng thời ngăn ngừa tái diễn, doanh nghiệp sẽ:  Giám sát quản lý kiện cố an tồn thơng tin  Ghi lại ứng phó kịp thời với cố bảo mật để ngăn ngừa thiệt hại thêm, khơi phục hoạt động kinh doanh bình thường ngăn ngừa cố tái diễn  Báo cáo tất cố bảo mật thông tin phát  Kiểm tra quy trình ứng phó cố theo định kỳ để đảm bảo chúng phù hợp với mục đích An ninh mạng - Để ngăn chặn truy cập không cần thiết vào thông tin hệ thống thông tin, doanh nghiệp sẽ:  Bảo vệ mạng thông tin liên lạc khỏi truy cập trái phép, chèn liệu sai, mã độc hại  Đặt hệ thống thông tin phân đoạn mạng thích hợp kiểm sốt luồng thơng tin qua ranh giới mạng  Thực việc lọc chặn nội dung không phù hợp, độc hại trái phép khác rời khỏi PTE  Bảo mật thông tin trao đổi PTE với bên bên 10 Quản lý vá bảo mật - Để ngăn chặn việc khai thác lỗ hổng biết, doanh nghiệp sẽ:  Xác định, đánh giá, ưu tiên kiểm tra vá bảo mật cho hệ thống thông tin  Triển khai kích hoạt vá bảo mật biện pháp kiểm soát bù theo tầm quan trọng hệ thống thông tin vá, khung thời gian chấp nhận với tác động vận hành tối thiểu 11 Quản lý sách & tiêu chuẩn - Để trì sách tiêu chuẩn bảo mật thông tin để phản ánh yêu cầu bảo mật thông tin tại, doanh nghiệp sẽ:  Xuất bản, truyền tải trì sách này, đồng thời hỗ trợ việc tuân thủ tiêu chuẩn quốc gia quốc tế để đáp ứng yêu cầu quy định PTE  Duy trì tài liệu kiểm sốt bảo mật thơng tin cho tảng nhạy cảm  Xác định trách nhiệm bảo mật thông tin trách nhiệm người  Tìm cách trì đảm bảo hợp lý việc tn thủ sách bảo mật thơng tin 12 Phát triển quy trình & hệ thống - Để ngăn chặn việc thay đổi mua lại thông tin từ việc tạo lỗ hổng, doanh nghiệp sẽ:  Đưa biện pháp kiểm sốt bảo mật thơng tin vào thiết kế, phát triển thay đổi hệ thống thơng tin  Kiểm sốt việc thay đổi hệ thống thông tin vào sản xuất Bảo vệ mã nguồn liệu thử nghiệm trình phát triển thử nghiệm 13 Quản lý bảo mật bên thứ ba - Để tránh bảo mật thông tin bên thứ ba xử lý tài sản thông tin doanh nghiệp, doanh nghiệp sẽ:  Quản lý rủi ro phát sinh từ bên thứ ba quản lý tài sản thông tin doanh nghiệp  Không cho phép bên thứ ba truy cập vào tài sản thông tin không công khai doanh nghiệp tình trạng bảo mật họ doanh nghiệp đánh giá rủi ro kinh doanh tiếp xúc với bảo mật thông tin chấp nhận  Xác định đưa yêu cầu bảo mật thông tin phù hợp vào hợp đồng với nhà cung cấp, thương lượng điều khoản điều kiện hợp đồng, đánh giá rủi ro lại để xác định xem dịch vụ có nằm rủi ro doanh nghiệp hay không  Thường xuyên đánh giá hiệu biện pháp kiểm sốt bảo mật thơng tin bên thứ ba Nếu có bên thứ tư tham gia cung cấp dịch vụ cho doanh nghiệp, phạm vi đánh giá bao gồm thử nghiệm biện pháp kiểm soát mà bên thứ ba áp dụng để giám sát tình hình bảo mật bên thứ tư 15 Nhận dạng lỗ hổng hệ thống - Để phát ngăn chặn việc khai thác lỗ hổng bảo mật thông tin, doanh nghiệp sẽ:  Quét kiểm tra hệ thống thông tin để kiểm tra xem biện pháp kiểm soát bảo mật thiết kế hiệu hoạt động hiệu hay chưa, đồng thời báo cáo lỗ hổng để khắc phục B YÊU CẦU QUẢN LÝ VÀ QUẢN TRỊ AN TỒN THƠNG TIN Lý Lịch Khung quản trị quản lý bảo mật thông tin phác thảo cách doanh nghiệp quản lý việc triển khai khung kiểm sốt bảo mật thơng tin (ở trên) Quản lý bảo mật thông tin cung cấp đảm bảo cho nội bên bên (bao gồm kiểm tốn quan quản lý) thơng tin doanh nghiệp bảo vệ 16 Quản lý An ninh Thông tin doanh nghiệp sẽ:  Thực trì khả bảo mật thơng tin Người, quy trình cơng nghệ cần có kỹ xử lý phù hợp với quy mô mức độ mà mối đe dọa mang lại gặp phải  Xác định thay đổi mối đe dọa, công nghệ, nghĩa vụ pháp lý đề xuất hành động chiến lược Bao gồm sách, quy trình, tiêu chuẩn kiểm sốt liên quan đến an ninh hình thành vào việc quản lý vịng đời cơng nghệ khn khổ phân phối doanh nghiệp  Triển khai quy trình quản lý để xác định rủi ro bảo mật, đánh giá thơng tin kiểm sốt an ninh quy trình kinh doanh hay hệ thống thơng tin, dự án, trang web thông tin bên thứ ba kiểm soát  Đánh giá ghi lại tác động tiềm ẩn hệ thống thông tin từ việc khai thác biện pháp kiểm sốt an tồn thơng tin không hiệu triển khai kế hoạch xử lý thích hợp nhằm giảm thiểu phơi nhiễm cần thiết  Phân bổ nguồn lực trì trách nhiệm giải trình bảo mật thơng tin tất cấp việc kinh doanh  Duy trì hồ sơ định hành động bảo mật thơng tin 17 Quản trị an tồn thơng tin - doanh nghiệp quản lý việc bảo vệ thông tin thông qua nội dung sau:  Doanh nghiệp chịu trách nhiệm cuối bảo mật thông tin doanh nghiệp Hội đồng giám sát an ninh thông tin thông qua Ủy ban Công nghệ Kinh doanh Kỹ thuật số (DBTC) Ủy ban Rủi ro Hội đồng quản trị (BRC) Những trách nhiệm ghi lại điều lệ ủy ban  Kinh doanh Kỹ thuật số (DBTC) chịu trách nhiệm giám sát hiệu việc quản lý kiểm soát doanh nghiệp chế liên quan đến bảo mật thông tin  Ủy ban Điều hành Rủi ro Hoạt động (OREC) cung cấp giám sát quản lý bảo mật thông tin OREC giám sát tiến độ định hướng chiến lược hoạt động bảo mật thông tin tồn doanh nghiệp, bao gồm tình trạng quản lý bảo mật thông tin yêu cầu cần thiết, hành động đắn  Giám đốc điều hành nhóm có trách nhiệm bảo mật thơng tin ghi lại báo cáo trách nhiệm giải trình BEAR công bố MAX  Ủy ban quản lý rủi ro quốc gia khu vực phê duyệt Chính sách bảo mật thơng tin quốc gia (cấp 3) để trì tuân thủ yêu cầu quy định cụ thể quốc gia bảo mật thông tin yêu cầu cao yêu cầu nêu sách Bảo mật thông tin cấp  Giám đốc An ninh Thông tin (CISO) chịu trách nhiệm trước Hội đồng thơng qua Cơng nghệ Điều hành Tập đồn để phát triển triển khai chiến lược khả Bảo mật Infomon Tập đoàn Miền bảo mật:  Truyền đạt có tài liệu ưu tiên bảo mật thơng tin biện pháp kiểm sốt hiệu quả, xem xét kết bảo mật thông tin phận đề xuất biện pháp khắc phục hoạt động  Báo cáo kết chiến lược cho ủy ban điều hành cấp cao bao gồm OREC, Hội đồng quản trị, quan quản lý bên liên quan khác với tư cách cá nhân  Báo cáo cố an ninh vật chất kiểm soát điểm yếu  Đảm bảo tính hiệu dịch vụ bảo mật thông tin PTE  Triển khai chương trình chiến lược bảo mật thơng tin tồn cầu điều chỉnh chương trình theo mối đe dọa mơi trường  Tư vấn phòng thủ hỗ trợ khả họ liên quan đến bảo mật thông tin bao gồm cách cung cấp báo cáo, số liệu liên quan, công cụ, mẫu, hệ thống đào tạo  Phát triển trì mối quan hệ cởi mở mang tính xây dựng với phủ, quan quản lý bên liên quan ngành 18 Đảm bảo An ninh Thông tin - doanh nghiệp đảm bảo chức quản trị (như trên) cách giám sát việc thực sách với tiêu chuẩn liên quan để đảm bảo biện pháp kiểm soát an ninh thơng tin quy trình quản lý rủi ro có hiệu bền vững Điều quản lý thơng qua ba tuyến phịng thủ:  Tuyến phòng thủ đầu tiên, chức bảo đảm kinh doanh nhúng phận giám sát ủy ban quản lý rủi ro, cung cấp đảm bảo hoạt động phù hợp quy trình quản lý bảo mật thơng tin Các biện pháp kiểm soát hoạt động đảm bảo dựa I.AM (Xác định, Hành động, Giám sát) với khung quản lý rủi ro hoạt động doanh nghiệp bao gồm việc triển khai hiệu biện pháp  Tuyến phòng thủ thứ hai, Risk (là chức quản lý tuân thủ, rủi ro hoạt động chuyên dụng độc lập) giám sát hướng dẫn tuyến phép áp dụng quán quy trình quản lý bảo mật thông tin khung quản lý rủi ro hoạt động I.AM Risk xem xét thách thức hoạt động tự bảo đảm tuyến đầu để xác nhận tính hiệu chúng  Tuyến phòng thủ thứ ba, Kiểm toán nội tiến hành đánh giá độc lập tính đầy đủ biện pháp kiểm sốt quy trình quản lý rủi ro theo kế hoạch kiểm tốn VAI TRỊ VÀ TRÁCH NHIỆM  Trách nhiệm bảo mật thông tin mô tả tiêu chuẩn bảo mật thơng tin hỗ trợ sách này, có sẵn từ MAX  Nhân viên doanh nghiệp lao động tạm thời có trách nhiệm bảo mật thơng tin có tránh nhiệm bổ sung dựa vai trò họ  Khách hàng doanh nghiệp có nghĩa vụ tuân thủ quy định bảo mật thơng tin có điều khoản điều kiện sản phẩm dịch vụ doanh nghiệp Nhân viên doanh nghiệp có trách nhiệm hướng dẫn khách hàng bảo mật thông tin Các trách nhiệm ghi lại chi tiết Tiêu chuẩn giáo dục an tồn thơng tin  Tất bên thứ ba nắm giữ thông tin doanh nghiệp không công khai quản lý tài sản thơng tin doanh nghiệp có nghĩa vụ bảo mật thông tin, ứng dụng hệ thống doanh nghiệp theo sách tiêu chuẩn quy trình hỗ trợ Nhân viên doanh nghiệp có trách nhiệm thông báo cho bên thứ ba nghĩa vụ bảo vệ tài sản thông tin doanh nghiệp đảm bảo họ có bảo mật phù hợp Các trách nhiệm ghi lại chi tiết Tiêu chuẩn quản lý bảo mật bên thứ ba  Các giám đốc điều hành quản lý cấp cao chịu tránh nhiệm đảm bảo có sẵn nguồn lực cần thiết để thực sách tiêu chuẩn quy trình hỗ trợ  Các giám đốc điều hành quản lý cấp cao chịu trách nhiệm đảm bảo có sẵn nguồn lực cần thiết để thực sách tiêu chuẩn quy trình hỗ trợ  Trách nhiệm điều hành nhóm liên quan đến bảo mật thơng tin ghi lại báo cáo trách nhiệm giải trình SEAR công bố MAX  Hội đồng quản trị PTE có trách nhiệm Bảo mật thơng tin theo điều lệ DBTC, ủy ban rủi ro yêu cầu CPS234 tiêu chuẩn thông tin APRA VI PHẠM CHÍNH SÁCH  Tiêu chuẩn bảo mật thơng tin mơ tả hành vi bắt buộc phải tn thủ sách Bất kỳ vi phạm sách vi phạm Quy tắc ứng xử Đạo đức, bị kỷ luật theo Chính sách cải thiện hiệu suất hành vi không chấp nhận Đối với vi phạm nghiêm trọng dẫn đến chấm dứt hợp đồng lao động, phải báo cáo  Người quản lý phòng ban, người quản lý dây chuyền người đại diện phải tuân thủ kiểm soát rủi ro hoạt động nhân viên  Mọi hành vi vi phạm sách tiêu chuẩn hỗ trợ báo cáo lên chủ sở hữu sách MIỀN CHÍNH SÁCH QUẢN LÝ  Chính sách bảo mật thơng tin xác định mục tiêu rộng lớn khó có khả phận doanh nghiệp xin miễn trừ cấp sách Nếu mục tiêu nêu sách bị vi phạm điều dẫn đến việc không tuân thủ nghiêm trọng  Các yêu cầu miễn giảm đáng kể cấp Tập đồn doanh nghiệp cấp quốc gia sách phải gửi cho Ban Quản lý Chính sách để phê duyệt Biểu mẫu Miễn trừ Chính sách Mặc dù việc tuân thủ sách Tiêu chuẩn bảo mật thông tin doanh nghiệp bắt buộc, cho phép miễn trừ trường hợp đặc biệt tuân thủ đầy đủ  Yêu cầu miễn trừ Tiêu chuẩn bảo mật thông tin phải doanh nghiệp phê duyệt (ở cấp độ tương ứng với mức độ tiếp xúc việc không tuân thủ yêu cầu tạo ra) thông báo cho ban quản lý sách Tiêu chuẩn bảo mật thơng tin theo Quy trình thơng báo miễn trừ bảo mật thông tin NGHĨA VỤ PHÁP LÝ  Nêu thực nhiệm vụ theo sách này, bạn vi phạm nghĩa vụ - pháp lý bạn phải báo cáo cho người quản lý phịng ban bạn chủ sở hữu sách TÌM SỰ GIÚP ĐỠ Ở ĐÂU  Thắc mắc Chính sách bảo mật thơng tin doanh nghiệp: Email  Thực sách: Liên hệ với cố vấn bảo mật  Vui lòng tham khảo bảng thuật ngữ sách bảng thuật ngữ tiêu chuẩn bảo mật thông tin để biết định nghĩa thuật ngữ tiêu chuẩn sử dụng sách  Ngoài ra, định nghĩa sau sử dụng sách định nghĩa Thơng tin thận trọng APRA  Tiêu chuẩn bảo mật CPS234 a) Tính khả dụng đề cập đến khả truy cập khả sử dụng yêu cầu; b) Bảo mật đề cập đến quyền truy cập bị hạn chế người ủy quyền; c) Mức độ nghiêm trọng đề cập đến tác động tiềm ẩn việc tính khả dụng d) Tài sản thơng tin có nghĩa thơng tin cơng nghệ thơng tin bao gồm phần mềm, phần cứng liệu (cả mềm cứng) e) Bảo mật thông tin có nghĩa việc trì tính bảo mật, tính tồn vẹn tính sẵn sàng tài sản thơng tin f) Khả bảo mật thơng tin có nghĩa tổng số nguồn lực, kỹ kiểm soát cung cấp khả lực để trì bảo mật thơng tin g) Kiểm sốt an ninh thơng tin có nghĩa biện pháp phịng ngừa, phát ứng phó để giảm khả xảy tác động cố an tồn thơng tin h) Sự cố an tồn thơng tin nghĩa xâm phạm an ninh thông tin thực tế tiềm ẩn i) Khung sách an ninh thơng tin có nghĩa tồn sách, tiêu chuẩn, hướng dẫn thủ tục liên quan đến bảo mật thơng tin j) Nguy (threat) an tồn thơng tin tình kiện có khả khai thác lỗ hổng bảo mật thông tin k) Lỗ hổng bảo mật thông tin điểm yếu tài sản thông tin bị khai thác để xâm phạm bảo mật thơng tin l) Tính tồn vẹn đề cập đến tính đầy đủ, xác khơng bị thay đổi sử dụng trái phép m) Tính nhạy cảm có nghĩa tác động tiềm ẩn việc tính bảo mật tính tồn vẹn