Tiêu chuẩn ISO 17799 ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàn cầu. Các quốc gia là các thành viên của ISO và IEC tham gia vào sự phát triển chung của các chuẩn quốc tế thông qua các ủy ban được thiết lập bởi các tổ chức tương ứng nhằm giải quyết các lĩnh vực cụ thể về kỹ thuật. ISO và Iec phối hợp trong các lĩnh vực liên quan đến lợi ích của nhau. Các tổ chức quốc tế khác trong mối quan hệ với ISO, IEC, thuộc chính phủ cũng như phi chính phủ đều tham gia vào công việc chung của ISO và IEC. Các chuẩn quốc tế được dự thảo nhằm phù hợp với các quy tắc đã đưa ra trong ISO/IEC. Trong lĩnh vực công nghệ thông tin, ISO và IEC đã thiết lập một hội đồng kỹ thuật chung ISO/IEC JTC 1. Bản dự thảo chuẩn quốc tế ISO/IEC đã được chấp nhận bởi hội đồng kỹ thuật chung được đưa đến các quốc gia để bầu cử. Sự xuất bản như một chuẩn quốc tế yêu cầu sự chấp thuận chung của ít nhất là 75% các quốc gia. ISO và IEC sẽ không được nắm giữ các trách nhiệm cho việc phát triển và các quyền sáng chế. Chuẩn quốc tế ISO/IEC 17799 được chuẩn bị bởi Viện tiêu chuẩn Anh (cụ thể là BS 7799) và được chấp nhận dưới một "thủ tục lối mòn" (fast-track procedure) bởi Hội đồng kỹ thuật chung ISO/IEC JTC 1, Công nghệ thông tin, song song với sự phê chuẩn từ các quốc gia trong các tổ chức ISO và IEC. Giới thiệu An toàn thông tin là gì ? Thông tin là một loại tài sản, cũng như các loại tài sản quan trọng khác của một doanh nghiệp, có giá trị cho một tổ chức và do đó, cần có nhu cầu để bảo vệ thích hợp. An toàn thông tin là bảo vệ thông tin trước nguy cơ mất an toàn nhằm đảm bảo tính liên tục trong hoạt động kinh doanh của doanh nghiệp, giảm thiểu sự phá hoại doanh nghiệp và gia tăng tới mức tối đa các cơ hội kinh doanh và đầu tư phát triển. Thông tin có thể tồn tại dưới nhiều dạng. Thông tin có thể được in hoặc được viết trên giấy, được lưu trữ dưới dạng điện tử, được truyền đi qua bưu điện hoặc dùng thư điện tử, được trình diễn trên các bộ phim, hoặc được nói trên các cuộc đàm thoại. Nhưng cho dù thông tin tồn tại dưới dạng nào đi chăng nữa, thông tin được đưa ra với 2 mục đích chính là chia sẻ và lưu trữ, nó luôn luôn cần sự bảo vệ thích hợp. An toàn thông tin được mô tả ở đây là sự duy trì: a) tính mật (confidentiality): đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép. b) tính toàn vẹn (integrity): bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương pháp xử lý; c) sẵn sàng (availability): đảm bảo những người dùng hợp pháp mới được truy cập các thông tin và tài sản liên quan khi có yêu cầu. An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được đầy đủ các đối tượng của tổ chức cần được bảo vệ. Tại sao an toàn thông tin là nhu cầu thiết yếu Thông tin và các quy trình hỗ trợ, các hệ thống máy móc, hệ thống mạng là các tài sản quan trọng đối với một doanh nghiệp. Tính mật, tính toàn vẹn và tính sẵn sàng của thông tin là vấn đề sống còn tạo ra tính cạnh tranh, vòng quay tài chính (cash- flow), là khả năng tạo ra lợi nhuận, vấn đề tuân thủ luật pháp và các ý tưởng trong thương mại. Thêm vào đó, các tổ chức cùng với các hệ thống thông tin, hệ thống mạng của doanh nghiệp phải đối mặt với hàng loạt các nguy cơ về an toàn thông tin từ các nguồn tài nguyên, bao gồm các vấn đề về gian lận có sự trợ giúp của máy tính, các hoạt động gián điệp, các hành động phá hoại, hỏa hoạn, lũ lụt…. Nguồn gốc của các sự phá hoại như virus máy tính, hacking, các tấn công từ chối dịch vụ đã trở nên phổ biến, nhiều tham vọng và ngày càng trở nên phức tạp. Ràng buộc vào các hệ thống thông tin và các dịch vụ nghĩa là các tổ chức càng có nhiều nguy cơ về an toàn thông tin. Các kết nối mạng riêng cũng như mạng công cộng và vấn đề chia sẻ tài nguyên thông tin càng làm cho vấn đề kiểm soát truy cập trở nên khó khăn hơn. Xu hướng sử dụng máy tính phân tán làm giảm hiệu quả của việc quản lý tập trung, đặc biệt là vấn đề kiểm soát. Rất nhiều hệ thống thông tin không được thiết kế một cách an toàn. Vấn đề an toàn có thể đạt được thông qua kỹ thuật có nghĩa là được giới hạn và được hỗ trợ bởi các thủ tục và sự quản lý tương ứng. Cần đặc biệt chú ý và cần có kế hoạch cụ thể khi đưa ra các quy tắc quản lý. Trong các yêu cầu quản lý an toàn thông tin, yêu cầu tối thiểu là sự tham gia của các nhân viên trong tổ chức. Hơn thế nữa, là cần sự tham gia của các nhà cung cấp, khách hàng và các cổ đông. Các ý kiến chuyên gia ngoài tổ chức cũng là một trong các nhu cầu mang tính cần thiết. Các sự kiểm soát an toàn thông tin được coi là rẻ hơn và hiệu quả hơn đáng kể nếu kết hợp được chặt chẽ các giai đoạn thiết kế và đặc tả yêu cầu. Làm thế nào để thiết lập các yêu cầu về an toàn thông tin Đây là vấn đề then chốt đối với một tổ chức nhằm đưa ra các yêu cầu về an toàn thông tin. Có 3 xuất phát điểm: Thứ nhất là xuất phát từ việc định giá các rủi ro trong tổ chức. Thông qua việc định giá các rủi ro này các mối đe dọa đối với tài sản của công ty sẽ dần được hình thành, có thể đánh giá được các nguy cơ có thể xảy ra và ước tính các ảnh hưởng tiềm ẩn. Thứ hai là xuất phát từ các yêu cầu thuộc về luật pháp, do luật pháp ban hành và điều tiết cũng như các yêu cầu hợp đồng mà một tổ chức, các đối tác của họ, các nhà thầu (contractor) và các nhà cung cấp dịch vụ phải đáp ứng. Thứ ba là xuất phát từ các nguyên tắc cụ thể, các đối tượng và các yêu cầu phục vụ cho quy trình xử lý thông tin mà một tổ chức đã phát triển nhằm hỗ trợ cho hoạt động của công ty. Đánh giá các rủi ro về an toàn (Assessing security risks) Các yêu cầu về an toàn thông tin được xác định bằng phương pháp định giá các rủi ro về an toàn. Vấn đề chi phí trên các sự kiểm soát cần được cân nhắc kỹ lưỡng đối với sự thiệt hại trong kinh doanh do sự mất đi tính an toàn. Các kỹ thuật định giá rủi ro có thể được áp dụng trong tổ chức, hoặc chỉ một bộ phận của tổ chức, như các hệ thống thông tin cá nhân, các thành phần hệ thống xác định hoặc các dịch vụ, … mang tính chất khả thi, thực tế và hữu ích. Đánh giá rủi ro là một vấn đề có tính chất hệ thống của: a). sự thiệt hại trong kinh doanh do mất đi tính mặt an toàn, dẫn đến các hậu quả tiềm ẩn như làm mất đi tính mật, tính toàn vẹn hoặc tính sẵn sàng của thông tin và các tài sản khác; b). trên thực tế khả năng mất tính an toàn xảy ra trong các tình huống như xem nhẹ các nguy cơ đe dọa và các quy tắc triển khai hiện tại. Kết quả của việc đánh giá sẽ hướng dẫn và xác định các hành động quản lý tương ứng và mức độ ưu tiên cho vấn đề quản lý các rủi ro an toàn thông tin, và cho việc triển khai các quy tắc đã lựa chọn để bảo vệ các rủi ro này. Quá trình đánh giá các rủi ro và lựa chọn các quy tắc cần được thực hiện nhiều lần nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân. Đó là vấn đề quan trọng để tiến hành một cách định kỳ nhằm review lại các rủi ro về an toàn cũng như các quy tắc đã triển khai để: a). đưa ra các thay đổi về các yêu cầu cũng như mức độ ưu tiên trong kinh doanh. b). rà soát các nguy cơ và các mối đe dọa mới. c). xác nhận lại các quy tắc còn hiệu quả và thích hợp. Việc xem xét nên được thực hiện ở các mức độ khác nhau về chiều sâu phụ thuộc vào các kết quả đánh giá lần trước và việc thay đổi mức độ rủi ro mà nhà quản lý sẵn sàng cho việc chấp nhận. Đánh giá rủi ro thường được tiến hành đầu tiên ở mức độ cao, như quyền ưu tiên về các tài nguyên trong lĩnh vực có nguy cơ rủi ro cao, sau đó đến các mức độ cụ thể hơn, và cuối cùng là đến các rủi ro cụ thể. Chọn lựa quy tắc (Selecting controls) Khi đã xác định được các yêu cầu về an toàn, cần bắt đầu bằng việc chọn lựa và triển khai các quy tắc nhằm giảm thiểu rủi ro tới mức có thể chấp nhận được. Có thể chọn lựa các quy tắc từ tài liệu này hoặc từ các tập quy tắc khác, hoặc có thể thiết kế các quy tắc mới sao cho phù hợp với yêu cầu đặt ra. Có nhiều cách để quản lý rủi ro và tài liệu này cung cấp cách tiếp cận chung qua các ví dụ. Tuy nhiên, điều cần thiết là phải nhận biết một số quy tắc không thể áp dụng cho mọi môi trường và hệ thống thông tin, và cũng có thể không thể áp dụng cho mọi tổ chức. VD 8.1.4 mô tả cần phân bổ nhiệm vụ như thế nào nhằm ngăn chặn vấn đề gian lận và các lỗi. Có thể nó không phù hợp với các tổ chức nhỏ trong việc phân bổ mọi nhiệm vụ còn các cách khác lại có thể đạt được mục tiêu của quy tắc này cho tổ chức. Một ví dụ khác, 9.7 và 12.1 mô tả làm thế nào để hệ thống có thể được giám sát và tự bảo vệ. Các quy tắc đã mô tả như event log có thể mâu thuẫn về vấn đề luật pháp như bảo vệ thông tin cá nhân cho khách hàng hoặc trong công sở. Nếu xuất hiện các lỗ hổng về an toàn, sự chọn lựa các quy tắc cần dựa trên chi phí triển khai nhằm giảm thiểu các rủi ro và nguy cơ mất mát thông tin. Cũng cần đưa ra các nhân tố phi tài chính như sự làm ảnh hưởng đến uy tín, thương hiệu của tổ chức. Các quy tắc trong tài liệu này có thể coi là các nguyên lý hướng dẫn cho vấn đề quản lý an toàn thông tin và có thể áp dụng cho các tổ chức, và sẽ được thảo luận cụ thể hơn trong phần "Xuất phát điểm của an toàn thông tin" dưới đây. Xuất phát điểm của an toàn thông tin Information security starting point Nhiều quy tắc có thể xem là nguyên lý cung cấp xuất phát điểm tốt cho việc triển khai an toàn thông tin. Các quy tắc này hoặc là dựa trên các yêu cầu về luật pháp hoặc là được xem là nguyên tắc chung nhất cho vấn đề an toàn thông tin. Xuất phát từ quan điểm luật pháp, các quy tắc được coi là thiết yếu đối với một tổ chức bao gồm: a). bảo vệ dữ liệu và tính riêng tư của các thông tin cá nhân (xem 12.1.4) b). an toàn các hồ sơ của tổ chức (12.1.3) c). quyền sở hữu tài sản trí tuệ (12.1.2) Các quy tắc được xem là các nguyên lý chung nhất cho vấn đề an toàn thông tin bao gồm: a) tài liệu về chính sách an toàn thông tin (3.1) b) đưa ra các trách nhiệm về vấn đề an toàn thông tin (4.1.3); c) đào tạo và giáo dục về an toàn thông tin (6.2.1) d) báo cáo các vấn đề về an toàn thông tin (6.3.1) e) quản lý tính liên tục trong kinh doanh (11.1) Các quy tắc này được áp dụng cho hầu hết các tổ chức và trong hầu hết các môi trường. Lưu ý rằng mặc dù các quy tắc trong tài liệu này quan trọng, nhưng tính phù hợp của từng quy tắc cần được xác định dưới các rủi ro mà tổ chức phải đối mặt. Vì vậy, mặc dù cách tiếp cận ở trên được coi là một xuất phát điểm tốt, nhưng nó không thể thay thế sự lựa chọn các quy tắc dựa trên việc đánh giá rủi ro. Các nhân tố quyết định sự thành công Critical success factors Kinh nghiệm cho thấy rằng, các nhân tố dưới đây thường quyết định sự thành công trong việc triển khai vấn đề an toàn thông tin trong một tổ chức: a). chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh nghiệp; b). cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức; c). các sự hỗ trợ tâm huyết từ các nhà quản lý; d). sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro; e). phổ biến vấn đề an toàn cho tất cả các nhà quản lý cũng như các nhân viên; f). đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn cho mọi nhân viên cũng như các nhà thầu; g). có sự đào tạo và giáo dục thích hợp; h). sử dụng các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có tính ổn định, tính toàn diện và đưa ra các đề xuất nhằm cải thiện tốt hơn. Phát triển các nguyên tắc chỉ đạo Developing your own guidelines Nguyên lý này có thể được xem như xuất phát điểm cho sự phát triển các đường lối/nguyên tắc chỉ đạo cho tổ chức. Không phải mọi nguyên tắc quản lý và chỉ đạo trong tập hợp các nguyên tắc này đều có thể áp dụng được. Hơn nữa, các sự quản lý không có trong tài liệu này cũng có thể hoàn toàn cần đến. Khi đó, điều này rất hữu ích làm các tham chiếu, tạo ra thuận lợi trong việc kiểm tra của các soạn giả và các doanh nghiệp. CÔNG NGHỆ THÔNG TIN – NGUYÊN TẮC QUẢN LÝ AN TOÀN THÔNG TIN 1 Mục tiêu Chuẩn này đưa ra khuyến nghị về vấn đề quản lý an toàn thông tin cho những người giữ vai trò đề xướng, triển khai và bảo trì vấn đề an toàn cho tổ chức. Mục tiêu là cung cấp nền tảng chung cho việc phát triển các chuẩn về an toàn thông tin và nguyên tắc quản lý an toàn thông tin hiệu quả đồng thời cung cấp tính tin cậy cho tổ chức. Các khuyến nghị xuất phát từ chuẩn này cần được chọn lọc và sử dụng sao cho phù hợp với quy định luật pháp. 2 Các thuật ngữ và định nghĩa Các thuật ngữ được đưa ra trong tài liệu này bao gồm: 2.1 An toàn thông tin (Information security) Đảm bảo tính mật, tính toàn vẹn và tính sẵn sàng thông tin. - Tính mật (Confidentiality) - Đảm bảo thông tin chỉ có thể truy cập bởi những người dùng có quyền truy cập. - Tính toàn vẹn (Integrity) - Bảo vệ tính chính xác và đầy đủ của thông tin cùng với các biện pháp xử lý. - Tính sẵn sàng (Availability) - Đảm bảo những người dùng hợp pháp, khi có yêu cầu, hoàn toàn có thể truy cập thông tin và các tài sản có liên quan. 2.2 Đánh giá rủi ro (Risk assessment) Sự đánh giá các mối đe dọa, khả năng ảnh hưởng và các nguy cơ về an toàn thông tin, các khả năng xử lý thông tin cũng như khả năng xảy ra các sự cố về an toàn thông tin. 2.3 Quản lý rủi ro (Risk management) Các quá trình xác định, quản lý và giảm thiểu hoặc đánh giá các rủi ro an toàn có thể ảnh hưởng đến các hệ thống thông tin, đưa ra chi phí có thể chấp nhận được. 3 Chính sách an toàn (Security policy) 3.1 Chính sách an toàn thông tin (Information security policy) Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin. Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết về an toàn thông tin thông qua việc đưa ra và duy trì các chính sách về an toàn thông tin đối với một tổ chức. 3.1.1 Tài liệu chính sách an toàn thông tin (Information security policy document) Tài liệu chính sách cần được phê chuẩn bởi nhà quản lý và cung cấp phổ biến cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông tin.Tối thiểu là bao gồm: a) định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiết lập cơ chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu); b) đưa ra mục tiêu của sự quản lý, hỗ trợ mục đích và nguyên lý của an toàn thông tin c) bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có tính chất quan trọng cho một tổ chức, ví dụ như: 1) đúng theo luật pháp và các yêu cầu hợp đồng 2) các yêu cầu về kiến thức an toàn 3) ngăn chặn và nhận dạng virus và các phần mềm hiểm độc khác; 4) quản lý tính liên tục trong kinh doanh; 5) các hậu quả của sự vi phạm các chính sách an toàn thông tin d) định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin bao gồm các báo cáo về các vấn đề an toàn nói chung. e) tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người dùng. Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng có liên quan. 3.1.2 Nhận xét và đánh giá (Review and evaluation) Cần có người chịu trách nhiệm cho việc duy trì và đánh giá các chính sách theo quá trình đã nhận xét ở phần trên. Quá trình đó cần đảm bảo rằng các nhận xét đưa ra cần được thực hiện nhằm tạo ra các thay đổi có ảnh hưởng cơ bản đến sự đánh giá rủi ro ban đầu, chẳng hạn như các sự cố an toàn mang tính chất quan trọng, các nguy cơ mới hoặc các thay đổi về cơ sở hạ tầng kỹ thuật trong tổ chức. Quá trình đó cần được ghi lại theo một trình tự, các nhận xét có tính định kỳ như dưới đây: a) tính hiệu quả của các chính sách, số lượng cũng như các tác động của các vấn đề bảo mật đã ghi lại, … b) chi phí và ảnh hưởng của các quy tắc đến hiệu quả kinh doanh. c) hiệu quả của việc thay đổi kỹ thuật. 4 Vấn đề an toàn trong tổ chức (Organizational security) 4.1 Cơ sở hạ tầng về an toàn thông tin (Information security infrastructure) Mục tiêu: Nhằm quản lý an toàn thông tin trong một tổ chức. Cần thiết lập phạm vi quản lý nhằm khởi xướng và kiểm soát vấn đề triển khai an toàn thông tin trong một tổ chức. Cần thiết lập sự quản lý các diễn đàn với phương pháp quản lý phù hợp nhằm chứng tỏ chính sách an toàn thông tin, đưa ra các vai trò an toàn và phối hợp nhằm triển khai vấn đề an toàn cho tổ chức. Nếu cần thiết, cũng nên có sự tư vấn của các chuyên gia an toàn thông tin nhằm tạo ra tính sẵn sàng trong tổ chức. Việc liên lạc với các chuyên gia bên ngoài cần được đẩy mạnh nhằm bắt kịp với xu hướng công nghệ, theo dõi các chuẩn và các phương pháp đánh giá đồng thời cung cấp các điểm liên hệ khi phải đối mặt với các vấn đề về an toàn thông tin. Các vấn đề về an toàn thông tin cần được khuyến khích nhằm đưa dần vào kỷ luật, như phối hợp và cộng tác giữa các người quản lý, người dùng, người quản trị, các nhà thiết kế ứng dụng, kiểm toán và các nhân viên bảo mật, và các chuyên gia trong các lĩnh vực như bảo hiểm và quản lý rủi ro. 4.1.1 Quản lý diễn đàn an toàn thông tin (Management information security forum) An toàn thông tin là trách nhiệm của doanh nghiệp, là trách nhiệm của các nhà quản lý. Do sự quản lý diễn đàn nhằm là định hướng rõ nhất và hỗ trợ cho việc giải quyết các vấn đề về an toàn nên vấn đề này cũng cần chú ý. Diễn đàn này cần được đẩy mạnh tính an toàn trong phạm vi tổ chức thông qua các trách nhiệm cũng như các tài nguyên liên quan. Diễn đàn này có thể coi là một bộ phận của người quản lý. Ví dụ như, một diễn đàn đảm bảo các vấn đề sau: a) Đánh giá và xác nhận các chính sách an toàn thông tin bao gồm cả các trách nhiệm. b) giám sát các thay đổi mang tính quan trọng qua truyền hình, báo chí về tài sản cũng như các mối đe dọa nói chung. c) đánh giá và giám sát các vấn đề an toàn thông tin; d) tán thành các sáng kiến nhằm đề cao vấn đề an toàn thông tin Người quản lý có trách nhiệm đối với mọi hành động liên quan đến vấn đề an toàn. 4.1.2 Phối hợp về vấn đề an toàn thông tin (Information security co-ordination) Trong một tổ chức quy mô lớn, vấn đề quản lý diễn đàn chồng chéo thể hiện từ bộ phận liên quan trong tổ chức là yếu tố cần thiết để kết hợp nhằm triển khai các quy tắc an toàn thông tin. Tiêu biểu như một diễn đàn: a) thống nhất vai trò và trách nhiệm cho vấn đề an toàn thông tin thông qua tổ chức; b) thống nhất các phương pháp và quy trình cho vấn đề an toàn thông tin như đánh giá rủi ro, phân loại hệ thống an toàn; c) thống nhất và hỗ trợ xuất phát điểm của vấn đề an toàn thông tin trong toàn tổ chức, như chương trình nhận thức về an toàn; d) đảm bảo rằng vấn đề an toàn là một bộ phận của quy trình lập kế hoạch thông tin; e) đánh giá mức độ đầy đủ và phối kết hợp của việc triển khai các quy tắc an toàn thông tin cho các hệ thống và dịch vụ mới; f) đánh giá các vấn đề về an toàn thông tin; g) đẩy mạnh tầm nhìn doanh nghiệp cho vấn đề an toàn thông tin trong toàn tổ chức. 4.1.3 Phân bổ trách nhiệm an toàn thông tin (Allocation of information security responsibilities) Cần được xác định rõ trách nhiệm cho đối với việc bảo vệ các tài sản cá nhân và thực hiện các quy trình an toàn. Chính sách an toàn thông tin (Phần 3) cần có hướng dẫn trên cơ sở phân bổ vai trò và trách nhiệm an toàn trong tổ chức. Phần này cần được bổ sung nếu cần thiết, cụ thể là cho từng địa điểm, từng hệ thống và từng dịch vụ. Các trách nhiệm đối với các tài sản thông tin cũng như tài sản vật lý thuộc về cá nhân và các quy trình an toàn, như kế hoạch kinh doanh, cũng cần được xác định rõ. Đối với nhiều tổ chức, người quản lý an toàn thông tin sẽ đưa ra trách nhiệm cho sự phát triển và triển khai an toàn đồng thời hỗ trợ việc xác định các quy tắc quản lý. Tuy nhiên, các trách nhiệm đối với tài nguyên và sự triển khai các quy tắc thường thuộc về các cá nhân quản lý. Một nguyên tắc chung là giao cho người sử hữu tài sản thông tin đi kèm với trách nhiệm về an toàn cho tài sản đó hàng ngày. Người sở hữu tài sản thông tin có thể ủy nhiệm trách nhiệm về an toàn của họ cho cá nhân người quản lý hoặc các nhà cung cấp dịch vụ. Tuy nhiên, suy cho cùng, về mặt pháp lý, những người sở hữu này phải chịu trách nhiệm cho vấn đề an toàn của tài sản và có thể xác định bất kỳ trách nhiệm ủy quyền nào đã được hủy bỏ hay chưa. Về cơ bản, đối với mỗi lĩnh vực, mỗi nhà quản lý phải có trách nhiệm rất rõ ràng, cụ thể là cần đưa ra như sau: a) Các tài sản khác nhau cũng như các quy trình về an toàn liên quan đến từng hệ [...]... tiêu chuẩn về bảo mật và quy trình cho việc chấp hành đánh giá; e) phân bổ trách nhiệm cụ thể và các thủ tục nhằm giám sát một cách hiệu quả các hành vi liên quan đến vấn đề an toàn; f) các trách nhiệm cũng như thủ tục báo cáo và xử lý các vấn đề về bảo mật (xem 8.1.3) 8.2 Chấp nhận và quy hoạch hệ thống (System planning and acceptance) Mục tiêu: Giảm thiểu rủi ro do các lỗi hệ thống Việc yêu cầu chuẩn. .. in third party contracts) Việc sắp xếp cho tổ chức thứ 3 truy cập tài sản xử lý thông tin cần dựa trên một hợp đồng chính thức hoặc tham chiếu các yêu cầu về bảo mật nhằm đảm bảo việc chấp hành các tiêu chuẩn và các chính sách an toàn của tổ chức Hợp đồng cần được đảm bảo rằng sẽ không có bất cứ một sự hiểu lầm nào giữa tổ chức và đơn vị thứ 3 Các tổ chức cần được đưa ra cho các nhà cung cấp của họ... báo và điều tra các sự cố cũng như lỗ hổng về bảo mật; u) sự liên quan của tổ chức thứ 3 với các nhà thầu phụ 4.3 Thuê khoán (Outsourcing) Mục tiêu: Nhằm đảm bảo tính bảo mật thông tin khi các trách nhiệm xử lý thông tin được thuê khoán cho một tổ chức khác Việc chuẩn bị kế hoạch thuê khoán cần đưa ra các rủi ro, các quy tắc kiểm soát an toàn và các thủ tục đối với các hệ thống thông tin, môi trường mạng... đến khả năng họa hoạn, lũ lụt, cháy nổ, tình trạng náo động và các thảm họa khác do tự nhiên hoặc con người gây ra Cũng cần phải tính đến các vấn đề liên quan đến sức khỏe, các quy tắc cũng như các tiêu chuẩn về an toàn Cần xem xét các nguy cơ về an toàn từ tổ chức xung quanh, như sự rò rỉ nước từ một khu vực khác Dưới đây là một số quy tắc cần được xem xét: a) Các tài sản quan trọng cần được đặt ở... khác Các hợp đồng về sự truy cập của bên thứ 3 cần được tính đến sự lựa chọn những người tham gia này, có thể đưa ra yêu cầu về cấp bậc cũng như điều kiện của việc truy cập đối với từng người tham gia Tiêu chuẩn này được sử dụng là nền tảng như hợp đồng khi xem xét việc thuê khoán xử lý thông tin 4.2.1 Nhận biết các rủi ro từ sự truy cập của tổ chức thứ 3(Identification of risks from third party access)... việc thống nhất cấu trúc và nội dung của kế hoạch quản lý bảo mật 5 Kiểm soát và phân loại tài sản (Asset classification and control) 5.1 Trách nhiệm giải trình tài sản (Accountability for assets) Mục tiêu: Nhằm đảm bảo rằng biện pháp bảo vệ cho các tài sản thuộc tổ chức là thích hợp Mọi tài sản thông tin chủ yếu cần được liệt kê và bổ nhiệm người sở hữu Trách nhiệm giải trình các tài sản sẽ đảm bảo... (nguồn nuôi, điều khiển), đồ đạc, … d) dịch vụ: các dịch vụ truyền thông và dịch vụ điện toán, tiện ích nói chung như làm nóng, nguồn điện, điều hòa 5.2 Phân loại thông tin (Information classification) Mục tiêu: Đảm bảo các tài sản thông tin có mức độ bảo vệ thích hợp Thông tin cần được phân loại nhằm nắm được yêu cầu, các quyền ưu tiên cũng như mức độ bảo vệ Mức độ nhạy cảm cũng như mức độ quan trọng của... vật lý và khi đó, chúng cần được gán nhãn dưới dạng điện tử 6 An ninh về nhân sự (Personnel security) 6.1 An ninh trong xác định và thuê khoán công việc (Security in job definition and resourcing) Mục tiêu: Giảm thiểu rủi ro do lỗi của con người, trộm cắp, gian lận hoặc lợi dụng các tài sản công Trách nhiệm về an toàn cần được xác định ngay từ khi tuyển nhân sự, được bao gồm trong hợp đồng, và được... động cần công bố các trách nhiệm này được mở rộng ra bên ngoài tổ chức cũng như thời gian ngoài giờ làm việc, như trường hợp làm việc ở nhà (xem 7.2.5 và 9.8.1) 6.2 Đào tạo người dùng (User training) Mục tiêu: Đảm bảo người dùng nhận thức các mối đe dọa về an toàn thông tin và các vấn đề liên quan, đồng thời trang bị cho người dùng trong quá trình làm việc của họ nhằm hỗ trợ các chính sách về an toàn thuộc... thông tin, như thủ tục log-on, sử dụng gói phần mềm, trước khi truy cập các dịch vụ hoặc thông tin được cấp phép 6.3 Đối phó với những sự cố bảo mật (Responding to security incidents and malfunctions) Mục tiêu: Giảm thiểu sự phá hủy từ các sự cố bảo mật đồng thời nhằm giám sát và học tập từ các sự cố này Các sự cố ảnh hưởng đến mức độ an toàn cần được báo cáo thông qua các kênh quản lý thích hợp một cách . Tiêu chuẩn ISO 17799 ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàn cầu. Các quốc gia là các thành viên của ISO. chuẩn quốc tế yêu cầu sự chấp thuận chung của ít nhất là 75% các quốc gia. ISO và IEC sẽ không được nắm giữ các trách nhiệm cho việc phát triển và các quyền sáng chế. Chuẩn quốc tế ISO/ IEC 17799. trong ISO/ IEC. Trong lĩnh vực công nghệ thông tin, ISO và IEC đã thiết lập một hội đồng kỹ thuật chung ISO/ IEC JTC 1. Bản dự thảo chuẩn quốc tế ISO/ IEC đã được chấp nhận bởi hội đồng kỹ thuật