đề tài chính sách an toàn thông tin

Việc xây dựng và thực hiện một chính sách antoàn thông tin đúng đắn không chỉ đảm bảo rằng thông tin này được bảo vệ mà còn giúpđảm bảo sự tin cậy của tổ chức trước mắt đối tác và khách

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH

KHOA THƯƠNG MẠI DU LỊCH



TIỂU LUẬN NHÓM MÔN: AN TOÀN THÔNG TIN LỚP: DHKQ17DTT

ĐỀ TÀI: CHÍNH SÁCH AN TOÀN THÔNT IN

GVHD: TH.S LÊ TRỌNG HIỀN

NHÓM: 9

THÀNH VIÊN

1 Công Thị Trúc Vy 21076721 (Nhóm trưởng)

2 Nguyễn Tiến Nam 20056641

3 Nguyễn Thị Mỹ Uyên 21132091

4 Phạm Thanh Vân 21069911

5 Huỳnh Đức Won 21066801

6 Nguyễn Phước vũ 21079281

TP.HCM, tháng 11 năm 2023

MỤC LỤC

LỜI MỞ ĐẦU 2

I CƠ SỞ LÝ THUYẾT 3

1.1 Khái niệm về chính sách an toàn thông tin 3

1.2 Nguyên tắc quản lý an toàn thông tin 3

1.3 Cấu trúc của chính sách an toàn thông tin 4

1.4 Lợi ích của chính sách an toàn thông tin 5

II Tầm quan trọng của chính sách an toàn thông tin 6

2.1 Bảo vệ thông tin quan trọng 6

2.2 Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát 6

2.3 Bảo vệ tổ chức khỏi những người dùng nội bộ và bên ngoài “độc hại” 7

2.4 Thông báo nội bộ và bên ngoài thông tin đó là tài sản, tài sản riêng của tổ chức, và được bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại 7

2.5 Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề pháp lý phát sinh 7 2.6 Cung cấp hướng nâng cấp các tiêu chuẩn an ninh trong và ngoài tổ chức 7

III Triễn khai một chính sách an toàn thông tin 8

3.1 Xác định mục tiêu 8

3.2 Xác định phạm vi 8

3.3 Lập kế hoạch triễn khai 8

3.4 Đào tạo và Sensibilization 9

IV Ứng dụng thực tế 9

4.1 Tạo chính sách bảo mật mạng 10

4.2 Chính sách quản lí tài sản 11

4.3 Chính sách quản lí quyền try cập 12

KẾT LUẬN 13

TLTK 14

1

LỜI MỞ ĐẦU

Trong thời đại kỹ thuật số phát triển nhanh chóng hiện nay, việc bảo vệ thông tin cá nhân

và công ty trở thành một ưu tiên hàng đầu Cùng với sự phát triển của công nghệ thông tin

và mạng Internet, các rủi ro an ninh mạng ngày càng gia tăng, từ việc xâm nhập, lừa đảo đến việc phá hoại hệ thống Điều này đòi hỏi chúng ta phải đặt chính sách an toàn thông tin vào trung tâm của mọi hoạt động, cả cá nhân và tổ chức

Trong thời đại số hóa hiện nay, thông tin là một tài sản vô cùng quý báu Từ dữ liệu doanh nghiệp cho thông tin cá nhân của cá nhân, việc bảo vệ và duy trì tính toàn vẹn của thông tin đã trở nên quan trọng hơn bao giờ hết Việc xây dựng và thực hiện một chính sách an toàn thông tin đúng đắn không chỉ đảm bảo rằng thông tin này được bảo vệ mà còn giúp đảm bảo sự tin cậy của tổ chức trước mắt đối tác và khách hàng

Đề tài này nhấn mạnh tầm quan trọng của chính sách an toàn thông tin trong môi trường

kỹ thuật số ngày nay Chúng tôi sẽ xem xét các khía cạnh quan trọng của việc phát triển, triển khai, và duy trì chính sách an toàn thông tin hiệu quả trong tổ chức Chúng ta sẽ khám phá tại sao chính sách này là một yếu tố không thể thiếu trong việc bảo vệ thông tin

và đảm bảo tuân thủ pháp luật liên quan đến an toàn thông tin

Tiểu luận này cũng sẽ giới thiệu về các khái niệm cơ bản liên quan đến chính sách an toàn thông tin, bao gồm đào tạo, sensibilization, quản lý rủi ro, và quy trình cập nhật chính sách Chúng ta sẽ thảo luận về cách chính sách an toàn thông tin không chỉ bảo vệ dữ liệu quan trọng mà còn tạo nền tảng cho sự phát triển và thành công của tổ chức

Chúng tôi hy vọng rằng bài tiểu luận này sẽ đóng góp vào việc thúc đẩy nhận thức và sự hiểu biết về an toàn thông tin và góp phần xây dựng một môi trường kỹ thuật số an toàn

và bảo mật hơn

2

I CƠ SỞ LÝ THUYẾT

I.1 Khái niệm về chính sách an toàn thông tin

Chính sách an toàn bảo mật thông tin (Infomaton security policy):

I.2 Nguyên tắc quản lý an toàn thông tin

1 Việc bảo đảm thông tin là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vận hành, nâng cấp và hủy bỏ các hạ tầng kỹ thuật của cơ quan nhà nước

2 Thông tin số thuộc quy định danh mục bí mật nhà nước của các cơ quan nhà nước phải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ bí mật nhà nước

3 Cơ quan nhà nước phải xây dựng nội quy bảo đảm an toàn thông tin; có cán bộ phụ trách quản lý an toàn thông; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toàn thông tin

4 Áp dụng quy trình bảo đảm an toàn dữ liệu bao gồm:

a) Lưu trữ dự phòng;

b) Sử dụng mật mã để bảo đảm an toàn và bảo mật dữ liệu trong lưu trữ và giao dịch theo quy định của Nhà nước về mật mã;

c) Quản lý chặt chẽ việc di chuyển các trang thiết bị công nghệ thông tin lưu trữ các thông tin thuộc danh mục bí mật nhà nước;

d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữ liệu;

e) Các quy trình bảo đảm an toàn dữ liệu khác

3

Too long to read on your phone? Save to

read later on your computer

Save to a Studylist

5 Áp dụng quy trình quản lý an toàn hạ tầng kỹ thuật bao gồm:

a) Các giải pháp bảo vệ nhằm ngăn chặn và phát hiện sớm việc truy cập trái phép vào mạng máy tính hay thiết bị lưu trữ dữ liệu;

b) Áp dụng các công nghệ xác thực, cơ chế quản lý quyền truy cập và cơ chế ghi biên bản hoạt động của hệ thống để quản lý và kiểm tra việc truy cập mạng;

c) Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ và máy trạm; d) Theo dõi thường xuyên tình trạng lây nhiễm và thực hiện loại bỏ phần mềm độc hại khỏi hệ thống;

e) Các quy trình quản lý an toàn hạ tầng kỹ thuật khác

I.3 Cấu trúc của chính sách an toàn thông tin

Cơ cấu của chính sách an toàn thông tin thường được thiết kế để đảm bảo bảo vệ thông tin quan trọng, đảm bảo tính bảo mật, sẵn sàng và toàn vẹn của hệ thống thông tin trong một tổ chức Mặc dù cơ cấu của chính sách an toàn thông tin có thể khác nhau tùy theo tổ chức và ngành công nghiệp, nhưng có một số thành phần chính thường được áp dụng Dưới đây là một số thành phần quan trọng trong cơ cấu chính sách an toàn thông tin:

1 Chính sách và quy định: Đây là tài liệu căn cứ để xác định các nguyên tắc, quy định

và hướng dẫn về an toàn thông tin trong tổ chức Chính sách và quy định này nên được phát triển và duy trì bởi ban lãnh đạo và cung cấp hướng dẫn về việc xác định, đánh giá và xử lý các rủi ro an toàn thông tin

2 Quy trình: Các quy trình an toàn thông tin xác định cách tổ chức triển khai chính sách và quy định bằng cách cung cấp các hướng dẫn chi tiết về việc thực hiện các biện pháp an toàn thông tin Điều này bao gồm việc xác định các quy trình để đảm bảo tính bảo mật của hệ thống, xử lý sự cố và vi phạm, quản lý quyền truy cập và xác thực, sao lưu và phục hồi dữ liệu, và các hoạt động khác liên quan đến an toàn thông tin

3 Tổ chức và trách nhiệm: Cơ cấu chính sách an toàn thông tin cần chỉ rõ trách nhiệm

và vai trò của các cá nhân và phòng ban trong tổ chức Việc xác định người chịu trách

4

nhiệm cho việc triển khai, duy trì và giám sát an toàn thông tin sẽ giúp đảm bảo rằng mọi người trong tổ chức đều có trách nhiệm và ý thức về an toàn thông tin

4 Đào tạo và nâng cao nhận thức: Chính sách an toàn thông tin cần bao gồm các biện pháp đảm bảo rằng tất cả nhân viên được đào tạo và nhận thức về các vấn đề an toàn thông tin Điều này bao gồm việc cung cấp hướng dẫn về an toàn thông tin, quy định

về việc sử dụng thiết bị và dữ liệu, và cách xử lý thông tin nhạy cảm

5 Kiểm tra và đánh giá: Cơ cấu chính sách an toàn thông tin nên bao gồm các biện pháp để kiểm tra và đánh giá hiệu quả của chính sách và biện pháp an toàn thông tin Điều này có thể bao gồm việc thực hiện kiểm tra bảo mật, đánh giá rủi ro, và xem xét định kỳ các quy trình và biện pháp an toàn thông tin

6 Đáp ứng sự cố: Chính sách an toàn thông tin cần có kế hoạch sẵn sàng đối phó với

sự cố và vi phạm an toàn thông tin Điều này bao gồm việc xác định quy trình để phát hiện, phân loại và xử lý sự cố an toàn thông tin, bao gồm cả quy trình khẩn cấp và phục hồi sau sự cố

7 Liên kết với các tiêu chuẩn và quy định: Cơ cấu chính sách an toàn thông tin nên liên kết với các tiêu chuẩn và quy định liên quan đến an toàn thông tin trong ngành công nghiệp hoặc khu vực địa phương Điều này đảm bảo rằng tổ chức tuân thủ các yêu cầu pháp lý và các tiêu chuẩn an toàn thông tin áp dụng

8 Giám sát và cải tiến liên tục: Cơ cấu chính sách an toàn thông tin nên bao gồm các biện pháp để giám sát và đánh giá liên tục hiệu quả của chính sách và biện pháp an toàn thông tin Qua việc theo dõi, đánh giá và phản hồi, tổ chức có thể cải tiến và nâng cao chất lượng của chính sách an toàn thông tin

I.4 Lợi ích của chính sách an toàn thông tin

Chính sách an toàn thông tin mang lại nhiều lợi ích quan trọng cho một tổ chức Dưới đây là một số lợi ích chính của chính sách an toàn thông tin:

1 Bảo vệ thông tin quan trọng: Chính sách an toàn thông tin giúp bảo vệ thông tin quan trọng của tổ chức khỏi những mối đe dọa như truy cập trái phép, sự tấn công mạng, mất mát dữ liệu hay sự xâm nhập hệ thống Bằng cách thiết lập các biện pháp

5

an toàn thông tin như mã hóa, xác thực, kiểm soát truy cập, và sao lưu dữ liệu, chính sách này giúp đảm bảo tính bảo mật và toàn vẹn của thông tin

2 Đáp ứng các yêu cầu pháp lý: Chính sách an toàn thông tin giúp tổ chức tuân thủ các yêu cầu pháp lý và quy định liên quan đến bảo vệ thông tin Các ngành công nghiệp như tài chính, y tế và ngân hàng thường phải tuân thủ các tiêu chuẩn và quy định nghiêm ngặt về an toàn thông tin Bằng cách áp dụng chính sách an toàn thông tin, tổ chức có thể đáp ứng các yêu cầu pháp lý và tránh các hậu quả pháp lý tiềm ẩn

3 Giảm rủi ro và thiệt hại: Chính sách an toàn thông tin giúp giảm rủi ro và thiệt hại liên quan đến an toàn thông tin Việc xác định, đánh giá và quản lý các rủi ro an toàn thông tin sẽ giúp tổ chức đưa ra các biện pháp phòng ngừa và ứng phó hiệu quả Điều này có thể giảm nguy cơ xảy ra sự cố, mất mát thông tin, tiền bạc và thời gian, đồng thời giảm thiểu tác động tiêu cực đến hoạt động kinh doanh

4 Tăng cường hiệu suất và hiệu quả: Chính sách an toàn thông tin giúp cải thiện hiệu suất và hiệu quả của tổ chức Khi các biện pháp an toàn thông tin được triển khai một cách chặt chẽ, nguy cơ gặp sự cố hoặc gián đoạn trong hoạt động kinh doanh sẽ giảm Điều này giúp tăng cường sự tin tưởng và hài lòng của khách hàng, nâng cao khả năng cạnh tranh và tạo điều kiện thuận lợi cho sự phát triển và mở rộng của tổ chức

5 Tuân thủ chuẩn quốc tế: Chính sách an toàn thông tin giúp tổ chức tuân thủ các chuẩn quốc tếvề an toàn thông tin như ISO 27001 Việc tuân thủ các chuẩn này không chỉ đảm bảo tính bảo mật và toàn vẹn của thông tin mà còn giúp tổ chức tham gia vào cộng đồng quốc tế và xây dựng các mối quan hệ đối tác toàn cầu

II Tầm quan trọng của chính sách an toàn thông tin

II.1 Bảo vệ thông tin quan trọng

Chính sách an toàn thông tin giúp bảo vệ thông tin quan trọng của tổ chức khỏi sự truy cập trái phép, sửa đổi, hoặc hủy hoại Thông tin quan trọng có thể là dữ liệu của khách hàng, thông tin kinh doanh, tài liệu nội bộ, và nhiều thông tin quan trọng khác

II.2 Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát

6

Nguy cơ rủi ro ngày càng cao: Trong thế giới kỹ thuật số, các mối đe dọa an toàn thông tin ngày càng phức tạp và nguy cơ rủi ro không ngừng gia tăng Chính sách an toàn thông tin giúp tổ chức xác định, đánh giá và ứng phó với những nguy cơ này

II.3 Bảo vệ tổ chức khỏi những người dùng nội bộ và bên ngoài “độc hại”

Chính sách an toàn thông tin giúp người dùng xác định và đánh giá các nguy cơ an toàn từ cả từ bên trong nội bộ và bên ngoài qua đó có thể áp dụng các biện pháp bảo mật để giảm thiểu rủi ro xảy ra Bên cạnh đó còn giúp đảm bảo rằng người dùng nội

bộ chỉ có quyền truy cập vào thông tin và tài nguyên mà họ cần cho công việc của họ, giới hạn khả năng gây hại từ bên trong tổ chức

II.4 Thông báo nội bộ và bên ngoài thông tin đó là tài sản, tài sản riêng của

tổ chức, và được bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại

Thông tin là một trong những tài sản quý báu nhất của tổ chức, bao gồm dữ liệu về khách hàng, thông tin kinh doanh, tài sản trí tuệ và nhiều thông tin quan trọng khác Chính sách an toàn thông tin đảm bảo rằng tài sản này được bảo vệ chặt chẽ để không

bị mất mát hoặc tổn thất

II.5 Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề pháp lý phát sinh

Rất quan trọng bởi vì nó đảm bảo rằng tổ chức có thể xử lý các vấn đề pháp lý một cách hiệu quả và đáng tin cậy như đảm bảo rằng tổ chức hiểu rõ về cách thông tin của

họ được bảo vệ và xử lý từ góc độ pháp lý tăng tính minh bạch và khả năng giải quyết vấn đề, nó cũng định rõ quy trình và quy tắc để giải quyết các vấn đề pháp lý khi chúng phát sinh và đảm bảo rằng người phải chịu trách nhiệm nếu có vấn đề pháp lý

II.6 Cung cấp hướng nâng cấp các tiêu chuẩn an ninh trong và ngoài tổ chức

Chính sách định rõ quy trình để cập nhật và nâng cấp các tiêu chuẩn an ninh theo thời gian Điều này quan trọng để đảm bảo rằng tổ chức đáp ứng được với các mối đe dọa mới và tiến hóa của kỹ thuật số

7

Tóm lại, tầm quan trọng của chính sách an toàn thông tin đóng một vai trò cực kỳ quan trọng trong việc bảo vệ thông tin quý báu và tài sản của tổ chức Bằng cách định

rõ các quy tắc, tiêu chuẩn, và quy trình an ninh, chính sách này giúp đảm bảo tính bảo mật của thông tin, đồng thời tuân thủ các yêu cầu pháp lý liên quan Nó cũng cung cấp hướng dẫn về cách nâng cấp các tiêu chuẩn an ninh, phòng ngừa rủi ro và ứng phó với

sự vi phạm an toàn thông tin

III Triễn khai một chính sách an toàn thông tin

III.1 Xác định mục tiêu

Một chính sách an toàn thông tin cho sinh viên tham gia sử dụng các trang thiết bị, phần mềm ở phòng thực hành, chính sách cài đặt các phần mềm ứng dụng chống mã độc cho máy tính

III.2 Xác định phạm vi

Áp dụng cho tất cả các trang thiết bị cần sử dụng khi phải đăng nhập có tại phòng máy thực hành bao gồm tất cả hệ thống máy chủ được thiết lập để sử dụng nội bộ

III.3 Lập kế hoạch triễn khai

Ngoài việc phục vụ các lớp học theo thời khóa biểu,phòng máy tính còn phục vụ giảng viên, nhân viên và sinh viên theo việc làm việc sau:

Từ 6:30-17:40 từ thứ Hai đến thứ Sáu, từ 6:30-11:30 ngày thứ bảy và chủ nhật Lưu ý: Để phù hợp với lịch học, học kỳ mùa hè phòng máy mở cửa từ 6:30 Giảng viên, nhân viên và sinh viên muốn sử dụng phòng máy tính ngoài các giờ quy định trên cần đề nghị và được chấp nhận của Người Quản Lý Hành Chánh

Giám Thị Phòng Máy

Trong các giờ làm việc và giờ mở cửa phòng máy luôn có giám thị trực để quản lý phòng máy theo đúng Nôi Quy và hỗ trợ về kỹ thuật cho người sử dụng

Quy Định Vào Phòng Máy

8

Nghiêm cấm sử dụng máy vào việc cá nhân Nghiêm cấm người sử dụng truy cập vào các website không lành mạnh, phản động, không được chơi game, chat trong phòng máy

Người sử dụng máy tính không được phép tự ý di chuyển các thiết bị trong phòng Khi gặp sự cố hoặc cần được hỗ trợ, người sử dụng không được tự ý tháo, lắp các thiết bị

mà liên hệ hỗ trợ với cán bộ trực phòng máy hoặc nhân viên quản trị mạng (Lab administrator or networking supporter)

Người sử dụng máy tính phải tắt máy tính trước khi rời phòng Quy Định Về Trật Tự

và Vệ Sinh Trong Phòng Máy

Người sử dụng phải có thái độ đúng mực và thực hiện các yêu cầu của nhân viên giám thị phòng máy đang thực hiện nhiệm vụ

Nghiêm cấm việc mang đồ ăn, thức uống vào phòng máy

Người sử dụng phòng máy có trách nhiệm bảo vệ và giữ gìn phòng máy luôn được sạch sẽ, ngăn nắp

Người sử dụng cần giữ trật tự, im lặng trong phòng máy, không gây ồn ào làm ảnh hưởng môi trường học tập, làm việc trong phòng

Xử Lý Vi Phạm

Người sử dụng phòng máy vi phạm Nội Quy sẽ nhận các hình thức kỷ luật từ nhắc nhở, cảnh cáo, cấm sử dụng phòng máy đến buộc nghỉ việc, nghỉ học tùy theo mức độ

vi phạm

Chính sách cài đặt các phần mềm ứng dụng chống mã độc cho máy tính

- Sử dụng chung một phần mềm ứng dụng cho cả hệ thống máy tính, dự phòng một phần mềm ứng dụng khác cho trường hợp cần thiết

- Sinh viên không được tự ý cài đặt phần mềm ứng dụng phòng mã độc khác khi chưa được sự đồng ý của giám sát hay giảng viên

- Dành thời gian để cho sinh viên và giảng viên tìm hiểu về các phần mềm ứng dụng phòng chống mã độc, nâng cao hiểu biết

9