Từ đó, báo cáo mong muốn giúp các tổ chức đạt được hệ thống an toàn bảo mật thông tin vững chắc và tuân thủ các yêu cầu pháp lý, bảo vệ tài nguyên và dữ liệu của tổ chức một cách hiệu qu
Trang 1Trường Quốc Tế - Đại học Quốc Gia Hà Nội Ngành Công nghệ thông tin ứng dụng
Trang 2Lời Cảm Ơn
Chúng em xin gửi lời cảm ơn chân thành và sâu sắc đến [TS Nguyễn Văn Tánh] vì
sự tận tâm, chỉ dẫn tận tình và những đóng góp quý báu trong suốt quá trình thực hiện đồ án này Thầy/Cô không chỉ cung cấp cho chúng em những kiến thức
chuyên môn quan trọng mà còn hỗ trợ, định hướng và giải đáp kịp thời những khó khăn mà chúng em gặp phải, giúp chúng em hoàn thành tốt nhiệm vụ được giao Chúng em cũng muốn bày tỏ lòng biết ơn đến các thầy cô trong [Bộ môn Đồ Án I]
đã tạo điều kiện thuận lợi và cung cấp nền tảng kiến thức quý giá, giúp chúng em
có cơ hội thực hiện và hoàn thành đồ án này.
Trang 3thống thông tin là điều cần thiết để ngăn chặn các mối đe dọa và rủi ro tiềm ẩn Báo cáo sẽ phân tích các tiêu chuẩn quốc tế phổ biến như ISO/IEC 27001, NIST, PCI DSS, và các tiêu chí đánh giá hệ thống bảo mật, từ đó giúp các tổ chức hiểu
rõ hơn về cách thức triển khai và duy trì các biện pháp bảo mật phù hợp Các tiêu chí này bao gồm các yếu tố như kiểm soát quyền truy cập, bảo vệ dữ liệu, quản lý
sự cố, và đánh giá rủi ro.
Ngoài ra, báo cáo cũng sẽ đề cập đến các công cụ và phương pháp đánh giá an toàn bảo mật, nhằm hỗ trợ các tổ chức trong việc xác định và cải thiện hiệu quả của các biện pháp bảo mật đang áp dụng Từ đó, báo cáo mong muốn giúp các tổ chức đạt được hệ thống an toàn bảo mật thông tin vững chắc và tuân thủ các yêu cầu pháp lý, bảo vệ tài nguyên và dữ liệu của tổ chức một cách hiệu quả.
Member Name Student ID Assigned Tasks Contribution
Đ ng Qu c Huy ặ ố 23070394 Báo Cáo, Slide 100%
Đ Huy Hi u ỗ ế 23070325 Báo Cáo, Thuy t ế
Trình 100% Nguy n ễ Hoàng Anh 23070384 Báo Cáo, Slide 100%
Trang 4MỤC LỤC
Ch ươ ng 1: Gi i thi u ớ ệ
1.1 T ng quan v an toàn b o m t thông tinổ ề ả ậ
1.2 T m quan tr ng c a vi c đánh giá h th ng an toàn b o m t thông tinầ ọ ủ ệ ệ ố ả ậ1.3 M c đích và ph m vi nghiên c uụ ạ ứ
Ch ươ ng 2: Các tiêu chu n an toàn b o m t thông tin ẩ ả ậ
2.1 ISO/IEC 27001
2.2 NIST (National Institute of Standards and Technology)
2.3 PCI DSS (Payment Card Industry Data Security Standard)
2.4 Các tiêu chu n khác (GDPR, HIPAA, v.v.)ẩ
Ch ươ ng 3: Các tiêu chí đánh giá h th ng an toàn b o m t thông tin ệ ố ả ậ
3.1 Ki m soát quy n truy c pể ề ậ
3.2 B o v d li u và thông tin nh y c mả ệ ữ ệ ạ ả
3.3 Qu n lý s c và khôi ph c th m h aả ự ố ụ ả ọ
3.4 Đánh giá r i ro và qu n lý m i đe d aủ ả ố ọ
3.5 Các tiêu chí tuân th pháp lý và tiêu chu nủ ẩ
Ch ươ ng 4: Công c và ph ụ ươ ng pháp đánh giá an toàn b o m t ả ậ
4.1 Công c ki m tra và phân tích b o m tụ ể ả ậ
4.2 Phương pháp đánh giá hi u qu b o m tệ ả ả ậ
4.3 Các kỹ thu t th nghi m và ki m tra b o m tậ ử ệ ể ả ậ
Ch ươ ng 5: Th c ti n và ng d ng c a các tiêu chu n an toàn b o m t ự ễ ứ ụ ủ ẩ ả ậ
5.1 Áp d ng các tiêu chu n trong các t ch cụ ẩ ổ ứ
5.2 Ví d v các t ch c tuân th các tiêu chu n b o m tụ ề ổ ứ ủ ẩ ả ậ
5.3 Các thách th c và gi i pháp trong vi c tri n khai các tiêu chu nứ ả ệ ể ẩ
Trang 51.2.Mục Tiêu và Nhiệm Vụ
Mục Tiêu: Mục tiêu của báo cáo là nghiên cứu, phân tích và đánh giá các tiêu
chuẩn và tiêu chí đánh giá hệ thống an toàn bảo mật thông tin, từ đó giúp các tổ chức, doanh nghiệp có cái nhìn rõ ràng về cách thức áp dụng và duy trì hệ thống bảo mật hiệu quả Báo cáo nhằm mục đích cung cấp những kiến thức và phương pháp để đánh giá và cải thiện hệ thống bảo mật, đảm bảo an toàn thông tin trước các mối đe dọa và rủi ro tiềm ẩn
Trang 6Chương 1: Giới thiệu
1.1 Tổng quan về an toàn bảo mật thông tin
An toàn bảo mật thông tin là một trong những yếu tố quan trọng trong việc quản lý
và vận hành các hệ thống công nghệ thông tin của các tổ chức Trong bối cảnh hiệnnay, khi các cuộc tấn công mạng ngày càng trở nên phổ biến và tinh vi, việc bảo vệthông tin, dữ liệu là vấn đề cấp bách và không thể thiếu đối với bất kỳ tổ chức, doanh nghiệp nào An toàn bảo mật thông tin không chỉ bảo vệ các dữ liệu cá nhân,tài chính, và thông tin quan trọng của tổ chức mà còn bảo vệ các dịch vụ, hệ thống mạng, cơ sở hạ tầng và các ứng dụng
An toàn bảo mật thông tin có ba yếu tố chính cần được đảm bảo: bảo mật
(Confidentiality), toàn vẹn (Integrity), và khả năng phục hồi (Availability) Bảo
mật đảm bảo rằng thông tin chỉ được truy cập bởi những người có quyền, toàn vẹn đảm bảo thông tin không bị thay đổi một cách trái phép, và khả năng phục hồi đảmbảo hệ thống và dữ liệu luôn sẵn sàng và có thể phục hồi sau các sự cố Để đạt được những mục tiêu này, các tổ chức cần phải thực hiện nhiều biện pháp như mã hóa, kiểm soát quyền truy cập, bảo vệ dữ liệu, xác thực người dùng, và giám sát hệ thống
Tuy nhiên, khi môi trường mạng ngày càng phức tạp và các mối đe dọa ngày càng tinh vi, việc duy trì hệ thống bảo mật thông tin hiệu quả đòi hỏi sự cập nhật liên tục
và áp dụng các tiêu chuẩn bảo mật quốc tế Các tiêu chuẩn này không chỉ cung cấp các quy trình và yêu cầu kỹ thuật mà còn giúp các tổ chức đánh giá và cải thiện hiệu quả hệ thống bảo mật của mình
1.2 Tầm quan trọng của việc đánh giá hệ thống an toàn bảo mật thông tin
Đánh giá hệ thống an toàn bảo mật thông tin là một yếu tố không thể thiếu trong quy trình duy trì và cải thiện các biện pháp bảo mật của tổ chức Đánh giá này không chỉ giúp tổ chức phát hiện và sửa chữa các điểm yếu trong hệ thống bảo mật
mà còn giúp nâng cao mức độ an toàn tổng thể, đồng thời bảo vệ tổ chức khỏi các cuộc tấn công, vi phạm dữ liệu và mất mát thông tin
Việc đánh giá hệ thống bảo mật cần được thực hiện định kỳ để đảm bảo rằng hệ thống bảo mật luôn được cập nhật và đáp ứng đầy đủ các yêu cầu bảo mật trong bối cảnh thay đổi công nghệ và môi trường mạng Mỗi hệ thống bảo mật cần phải được kiểm tra và đánh giá theo các tiêu chí cụ thể như mức độ bảo mật dữ liệu,
Trang 7hiệu quả của các biện pháp bảo vệ, khả năng phát hiện và ứng phó với các cuộc tấncông, cũng như khả năng phục hồi khi xảy ra sự cố.
Đánh giá hệ thống bảo mật còn đóng vai trò quan trọng trong việc tuân thủ các yêucầu pháp lý và tiêu chuẩn quốc tế, như ISO/IEC 27001, NIST, PCI DSS, giúp tổ chức không chỉ bảo vệ tài sản thông tin mà còn duy trì niềm tin của khách hàng và đối tác Thông qua việc áp dụng các tiêu chuẩn bảo mật và đánh giá chúng, các tổ chức có thể cải thiện hiệu quả hệ thống bảo mật, giảm thiểu rủi ro và bảo vệ dữ liệunhạy cảm khỏi các mối đe dọa tiềm ẩn
1.3 Mục đích và phạm vi nghiên cứu
Mục đích của nghiên cứu này là phân tích và đánh giá các tiêu chuẩn bảo mật thông tin quốc tế, cũng như các tiêu chí đánh giá hệ thống an toàn bảo mật thông tin Bằng việc tìm hiểu và phân tích các tiêu chuẩn quốc tế như ISO/IEC 27001, NIST, và PCI DSS, báo cáo này mong muốn giúp các tổ chức hiểu rõ hơn về các yêu cầu bảo mật và cách thức triển khai hiệu quả các biện pháp bảo mật
Phạm vi nghiên cứu của báo cáo này bao gồm việc tìm hiểu các tiêu chí đánh giá hiệu quả hệ thống bảo mật thông tin, với các yếu tố chính như kiểm soát quyền truy cập, bảo vệ dữ liệu, quản lý rủi ro, và khả năng phục hồi thảm họa Báo cáo sẽ phân tích từng tiêu chuẩn bảo mật và đưa ra các giải pháp cụ thể giúp các tổ chức
áp dụng và duy trì hệ thống bảo mật thông tin một cách hiệu quả
Ngoài ra, báo cáo còn tập trung vào việc đánh giá sự tương thích giữa các tiêu chuẩn bảo mật quốc tế với các thực tiễn bảo mật trong các tổ chức, từ đó đề xuất các phương pháp và công cụ hỗ trợ trong việc áp dụng và kiểm tra hệ thống bảo mật Với mục tiêu giúp các tổ chức nâng cao năng lực bảo vệ thông tin và giảm thiểu các rủi ro bảo mật, báo cáo này sẽ cung cấp một cái nhìn toàn diện về các tiêuchuẩn và tiêu chí đánh giá bảo mật thông tin trong môi trường hiện đại
Trang 8Chương 2: Các tiêu chuẩn an toàn bảo mật thông tin
2.1 ISO/IEC 27001
ISO/IEC 27001 là tiêu chuẩn quốc tế nổi bật về hệ thống quản lý an toàn thông tin (ISMS), được phát triển bởi Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) và Ủy ban Kỹ thuật Điện tử Quốc tế (IEC) Tiêu chuẩn này cung cấp hướng dẫn và yêu cầu cho việc xây dựng, triển khai, duy trì và cải tiến một hệ thống quản lý bảo mật thông tin nhằm bảo vệ các tài sản thông tin quan trọng của tổ chức Việc tuân thủ
ISO/IEC 27001 giúp các tổ chức giảm thiểu rủi ro bảo mật, đồng thời cải thiện khả năng phản ứng với các mối đe dọa an toàn thông tin
Mục tiêu chính của ISO/IEC 27001 là đảm bảo ba yếu tố cốt lõi của an toàn bảo
mật thông tin: Bảo mật, Toàn vẹn và Khả năng phục hồi Các tổ chức phải thực
hiện các biện pháp để bảo vệ các tài nguyên thông tin của mình, bao gồm các dữ liệu nhạy cảm như thông tin cá nhân, tài chính, và thông tin chiến lược, tránh các mối đe dọa từ bên ngoài và nội bộ, như hacker, lỗi phần mềm hoặc sự cố thiên nhiên
Tiêu chuẩn này yêu cầu các tổ chức xây dựng các chiến lược bảo mật phù hợp với các yếu tố sau:
Đánh giá rủi ro: Tổ chức cần xác định và đánh giá các mối đe dọa tiềm tàng
đối với thông tin của mình, đánh giá mức độ nghiêm trọng của các mối đe dọa này, và áp dụng các biện pháp kiểm soát để giảm thiểu rủi ro
Quản lý và giám sát liên tục: ISO/IEC 27001 yêu cầu việc giám sát và đo
lường hiệu quả của các biện pháp bảo mật đã triển khai Việc này bao gồm các cuộc kiểm tra bảo mật định kỳ và đánh giá các chính sách bảo mật để đảm bảo tính hiệu quả của hệ thống bảo mật
Cải tiến liên tục: Tiêu chuẩn này khuyến khích tổ chức cải tiến các biện
pháp bảo mật thông qua việc áp dụng mô hình Plan-Do-Check-Act (PDCA),
từ đó tạo ra một vòng lặp cải tiến liên tục
Tuân thủ ISO/IEC 27001 giúp các tổ chức bảo vệ dữ liệu của khách hàng, cải thiệnlòng tin của đối tác và khách hàng, đồng thời nâng cao hiệu quả hoạt động trong môi trường kinh doanh toàn cầu đầy rủi ro
2.2 NIST (National Institute of Standards and Technology)
Trang 9NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ) là một cơ quan của Bộ Thương mại Hoa Kỳ, chuyên phát triển các tiêu chuẩn và hướng dẫn về bảo mật thông tin NIST đóng vai trò quan trọng trong việc xây dựng các tiêu chuẩn quốc gia và quốc tế trong lĩnh vực bảo mật, giúp các tổ chức bảo vệ các hệ thống thông tin và tài sản kỹ thuật số.
Một trong những bộ tiêu chuẩn quan trọng của NIST là NIST SP 800-53 (Security
and Privacy Controls for Federal Information Systems and Organizations) Tiêu chuẩn này cung cấp các kiểm soát bảo mật và quyền riêng tư cho các hệ thống thông tin liên bang và các tổ chức tư nhân có hợp đồng với chính phủ Hoa Kỳ NIST SP 800-53 đưa ra các biện pháp bảo mật bao gồm:
Kiểm soát truy cập: NIST yêu cầu các tổ chức thiết lập các biện pháp kiểm
soát truy cập nghiêm ngặt để bảo vệ thông tin khỏi bị truy cập trái phép
Mã hóa dữ liệu: Các biện pháp bảo vệ dữ liệu phải bao gồm mã hóa thông
tin khi truyền tải và lưu trữ
Đánh giá và giám sát: Tổ chức cần thiết lập các quy trình giám sát và đánh
giá hiệu quả của các biện pháp bảo mật được triển khai
Bên cạnh đó, NIST Cybersecurity Framework (CSF) là một công cụ rất hữu ích
giúp các tổ chức quản lý rủi ro bảo mật thông tin CSF cung cấp một bộ hướng dẫnchi tiết để các tổ chức có thể áp dụng nhằm tăng cường khả năng bảo vệ hệ thống
thông tin của mình CSF bao gồm năm yếu tố chính: Identify (Xác định), Protect
(Bảo vệ), Detect (Phát hiện), Respond (Ứng phó) và Recover (Phục hồi).
Các tổ chức có thể sử dụng NIST CSF để xây dựng chiến lược bảo mật toàn diện,
từ việc xác định các tài sản thông tin quan trọng đến việc phát hiện và ứng phó kịp thời với các sự cố bảo mật
2.3 PCI DSS (Payment Card Industry Data Security Standard)
PCI DSS (Payment Card Industry Data Security Standard) là một tiêu chuẩn bảo mật thông tin được phát triển bởi Hội đồng Tiêu chuẩn Bảo mật Ngành thẻ thanh toán (PCI Security Standards Council) Tiêu chuẩn này được áp dụng cho các tổ chức, doanh nghiệp xử lý, lưu trữ, hoặc truyền tải dữ liệu thẻ thanh toán Mục đích của PCI DSS là bảo vệ thông tin thẻ thanh toán khỏi các mối đe dọa bảo mật như gian lận và vi phạm dữ liệu
Tiêu chuẩn PCI DSS yêu cầu các tổ chức thực hiện các biện pháp bảo mật bao
Trang 10 Bảo vệ dữ liệu thẻ: Các tổ chức phải mã hóa và bảo vệ dữ liệu thẻ trong quá
trình lưu trữ và truyền tải, bao gồm việc áp dụng các công nghệ mã hóa mạnh mẽ để bảo vệ thông tin thẻ khỏi việc bị lộ lọt
Kiểm soát quyền truy cập: Đảm bảo rằng chỉ những người có quyền hạn
mới có thể truy cập vào dữ liệu thẻ thanh toán Điều này bao gồm việc áp dụng các phương thức xác thực mạnh mẽ và kiểm soát quyền truy cập
nghiêm ngặt
Giám sát và kiểm tra hệ thống: Các tổ chức phải giám sát mọi hoạt động
truy cập vào hệ thống và thực hiện kiểm tra thường xuyên để phát hiện và ngăn chặn các hành vi xâm nhập trái phép
Quản lý bảo mật mạng: Các tổ chức cần thiết lập và duy trì một mạng bảo
mật để ngăn chặn các cuộc tấn công từ bên ngoài và bảo vệ hệ thống khỏi các mối đe dọa từ phần mềm độc hại
Tuân thủ PCI DSS giúp các tổ chức bảo vệ dữ liệu thẻ thanh toán, từ đó giảm thiểunguy cơ bị tấn công và vi phạm dữ liệu, đồng thời bảo vệ danh tiếng và uy tín của
tổ chức
2.4 Các tiêu chuẩn khác (GDPR, HIPAA, v.v.)
Bên cạnh các tiêu chuẩn ISO/IEC 27001, NIST và PCI DSS, có nhiều tiêu chuẩn khác cũng đóng vai trò quan trọng trong việc bảo vệ thông tin và dữ liệu nhạy cảm trong các lĩnh vực khác nhau
GDPR (General Data Protection Regulation): Quy định bảo vệ dữ liệu
chung của Liên minh Châu Âu (EU), GDPR yêu cầu các tổ chức bảo vệ dữ liệu cá nhân của công dân EU và cung cấp các quyền cho người dùng về việc kiểm soát dữ liệu của mình Các yêu cầu chính của GDPR bao gồm bảo
vệ dữ liệu cá nhân khỏi các mối đe dọa, bảo mật trong suốt vòng đời của dữ liệu và yêu cầu các tổ chức phải thông báo vi phạm dữ liệu trong vòng 72 giờ GDPR cũng yêu cầu các tổ chức phải thực hiện các biện pháp bảo mật mạnh mẽ như mã hóa và phân quyền truy cập
HIPAA (Health Insurance Portability and Accountability Act): HIPAA
là một bộ luật của Hoa Kỳ yêu cầu các tổ chức y tế phải bảo vệ thông tin sứckhỏe cá nhân của bệnh nhân Tiêu chuẩn HIPAA bao gồm các yêu cầu nghiêm ngặt về bảo vệ dữ liệu sức khỏe, bao gồm yêu cầu bảo mật và mã
Trang 11hóa dữ liệu, kiểm soát quyền truy cập, và bảo vệ dữ liệu trong suốt quá trình
xử lý
FISMA (Federal Information Security Management Act): Là một luật
bảo mật của Hoa Kỳ yêu cầu các cơ quan chính phủ liên bang phải bảo vệ các hệ thống thông tin của mình bằng cách thực hiện các biện pháp bảo mật chặt chẽ FISMA yêu cầu các cơ quan phải thực hiện các đánh giá rủi ro, xâydựng các chính sách bảo mật và giám sát thường xuyên
Các tiêu chuẩn này tập trung vào việc bảo vệ các loại dữ liệu đặc biệt, chẳng hạn như dữ liệu cá nhân, dữ liệu sức khỏe và thông tin tài chính, và có thể yêu cầu các
tổ chức thực hiện các biện pháp bảo mật đặc thù dựa trên tính nhạy cảm của dữ liệu
Trang 12Chương 3: Các tiêu chí đánh giá hệ thống an toàn bảo mật
thông tin
3.1 Kiểm soát quyền truy cập
Kiểm soát quyền truy cập (Access Control) là một yếu tố quan trọng trong việc bảo
vệ thông tin khỏi các mối đe dọa tiềm tàng, bao gồm sự truy cập trái phép từ bên ngoài hoặc từ nhân viên nội bộ Đánh giá hệ thống an toàn bảo mật thông tin khôngthể thiếu tiêu chí kiểm soát quyền truy cập để đảm bảo chỉ những cá nhân, tổ chức
có quyền hợp pháp mới có thể truy cập vào tài nguyên và dữ liệu quan trọng
Các phương thức kiểm soát quyền truy cập bao gồm:
Xác thực (Authentication): Xác thực là quá trình xác định xem người dùng
có phải là ai mà họ tuyên bố hay không Các phương pháp xác thực có thể bao gồm mật khẩu, thẻ thông minh, xác thực hai yếu tố (2FA), sinh trắc học (vân tay, nhận dạng khuôn mặt), và các hệ thống chứng thực đa yếu tố
(MFA)
Ủy quyền (Authorization): Sau khi xác thực, ủy quyền quyết định những
hành động hoặc tài nguyên mà người dùng được phép truy cập Các mô hình
ủy quyền phổ biến bao gồm kiểm soát truy cập dựa trên vai trò (RBAC), kiểm soát truy cập dựa trên quyền (DAC) và kiểm soát truy cập dựa trên danh tính (MAC)
Giới hạn quyền truy cập: Các tổ chức cần xác định rõ ràng quyền truy cập
cho từng cấp bậc người dùng, đảm bảo rằng nhân viên chỉ có quyền truy cập vào các tài nguyên và thông tin mà họ cần để thực hiện công việc của mình Điều này giúp giảm thiểu nguy cơ rò rỉ dữ liệu và lạm dụng quyền truy cập.Đánh giá tiêu chí này sẽ giúp xác định mức độ hiệu quả trong việc ngăn chặn truy cập trái phép và hạn chế việc lạm dụng quyền truy cập từ các cá nhân không có thẩm quyền
3.2 Bảo vệ dữ liệu và thông tin nhạy cảm
Bảo vệ dữ liệu và thông tin nhạy cảm là một trong những ưu tiên hàng đầu trong các chiến lược bảo mật thông tin Các tổ chức cần đảm bảo rằng dữ liệu quan trọng, như dữ liệu khách hàng, thông tin tài chính, dữ liệu y tế và thông tin cá nhân, được bảo vệ khỏi các mối đe dọa từ bên ngoài và từ chính nội bộ
Trang 13 Mã hóa dữ liệu: Mã hóa giúp bảo vệ dữ liệu khi truyền tải qua mạng và khi
lưu trữ Dữ liệu mã hóa chỉ có thể được giải mã bởi những người hoặc hệ thống có khóa giải mã phù hợp, từ đó giảm thiểu khả năng rò rỉ thông tin khi
dữ liệu bị tấn công hoặc bị mất cắp Các thuật toán mã hóa phổ biến như AES (Advanced Encryption Standard) và RSA giúp bảo vệ tính bảo mật của thông tin
Lưu trữ và xử lý an toàn: Để bảo vệ dữ liệu, các tổ chức cần tuân thủ các
phương pháp bảo mật trong suốt vòng đời của dữ liệu, bao gồm việc lưu trữ
dữ liệu trên các hệ thống an toàn, sử dụng các phần mềm bảo mật để bảo vệ
dữ liệu khỏi phần mềm độc hại và các cuộc tấn công từ bên ngoài
Phân loại dữ liệu: Các tổ chức cần phân loại dữ liệu theo mức độ nhạy cảm
và áp dụng các biện pháp bảo mật khác nhau cho từng loại dữ liệu Ví dụ, dữliệu tài chính và dữ liệu sức khỏe cần có các biện pháp bảo mật nghiêm ngặt hơn so với dữ liệu không nhạy cảm
Quy trình xóa dữ liệu: Đảm bảo dữ liệu được xóa hoàn toàn khi không còn
cần thiết, đặc biệt là đối với dữ liệu nhạy cảm Các phương pháp xóa dữ liệu
an toàn như ghi đè nhiều lần hoặc sử dụng các công cụ xóa dữ liệu chuyên biệt giúp đảm bảo rằng không có thông tin nào bị khôi phục sau khi xóa.Đánh giá về bảo vệ dữ liệu giúp các tổ chức nhận diện các lỗ hổng trong việc bảo
vệ dữ liệu và thông tin nhạy cảm, từ đó nâng cao các biện pháp bảo vệ, giảm thiểu rủi ro rò rỉ thông tin
3.3 Quản lý sự cố và khôi phục thảm họa
Quản lý sự cố và khôi phục thảm họa (Incident Management and Disaster
Recovery) là một yếu tố quan trọng trong việc đánh giá khả năng phản ứng của hệ thống khi xảy ra sự cố bảo mật Một hệ thống bảo mật hiệu quả không chỉ phòng ngừa sự cố mà còn phải có khả năng phát hiện, ứng phó và phục hồi sau sự cố một cách nhanh chóng và hiệu quả
Các yếu tố cần đánh giá trong tiêu chí này bao gồm:
Kế hoạch quản lý sự cố: Các tổ chức cần xây dựng một kế hoạch chi tiết để
ứng phó với các sự cố bảo mật, từ việc phát hiện đến việc xử lý các sự cố như xâm nhập mạng, tấn công DoS (Denial of Service), vi phạm dữ liệu hay phần mềm độc hại Kế hoạch này cần có các quy trình rõ ràng, phân công