Tiểu luận môn an toàn thông tin Đề tài tìm hiểu và hướng dẫn cách viết information security poliicy (isp) cho một hệ thống thông tin

Ki m toán viên và ể cơ quan quản lý: Chính sách b o mả ật thông tin đóng vai trò là tài liệu tham khảo chính để kiểm toán viên và cơ quan quản lý đánh giá sự tuân thủ của t ổ chức v i cá

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH

KHOA CÔNG NGH THÔNG TIN Ệ

ͼͼͼͽͽͽ

TIỂU LU ẬN

MÔN AN TOÀN THÔNG TIN

ĐỀ TÀI :

TÌM HIỂU VÀ HƯỚNG DẪN CÁCH VIẾT INFORMATION SECURITY POLIICY (ISP) CHO MỘT

HỆ THỐNG THÔNG TIN

Nhóm 4 Lớp: DHKQ17DTT

TP H Chí Minh, 2023ồ

DANH SÁCH, NHI M V PHÂN CÔNG VÀ K T QUỆ Ụ Ế Ả ĐÁNH

GIÁ THÀNH VIÊN THEO NHÓM

STT H và tên ọ MSSV Nội dung phân công K t qu ế ả thực

hiện

1 Đặng Th Tường An ị 21136091

Phần mở đầu + Kết luận

Tổng h p n i dung ợ ộ

Hoàn thành

2 Nguyễn Ngọc Phương Linh 21130481 Chương 1: 1.3 + 1.4 Hoàn thành

3 Mai Hoàng Lộc 21133361 Chương 1: 2.3 Hoàn thành

4 Phạm Thanh Thúy 21128451 Chương 1: 2.1 + 2.2 Hoàn thành

5 Lê Th ị Thủy Tiên 21138851 Chương 1: 1.1 + 1.2 Hoàn thành

MỤC L C Ụ

PHẦN M Ở ĐẦU 1

CHƯƠNG 1: TỔNG QUAN V INFORMATION SECURITY POLICY Ề (ISP) 3

1.1 Khái niệm Chính sách an toàn thông tin 3

1.2 T m quan tr ng c a ISP cho m t h ầ ọ ủ ộ ệ thống thông tin 4

1.3 Mục đích 6

1.4 Đối tượng 7

CHƯƠNG 2: XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN 10

2.1 Các bước triển khai chính sách an toàn thông tin 10

2.2 Nội dung của tài liệu chính sách an toàn thông tin 12

2.3 Ví d v chính sách an toàn thông tin cho m t h ụ ề ộ ệ thống thông tin 12

KẾT LUẬN 15

TÀI LI U THAM KH O Ệ Ả 16

PHẦN M Ở ĐẦ U

Lời cảm ơn

Lời đầu tiên, chúng em xin g i l i cử ờ ảm ơn chân thành đến thầy Lê Tr ng Hiọ ền

- giảng viên b môn An toàn thông tin l p DHKQ17DTT Trong su t quá trình ộ ớ ố học t p, thậ ầy đã rất tận tâm giảng dạy và hướng dẫn cho chúng em nh ng lý ữ thuyết ứng d ng b ích trong môn h c và nhụ ổ ọ ững kĩ năng cần thiết để chúng em có

đủ kiến th c th c hiứ ự ện bài nghiên c u này ứ

Tuy nhiên vì ki n th c còn nhi u h n ch và s tìm hiế ứ ề ạ ế ự ểu chưa sâu sắc nên không tránh kh i nh ng thi u sót Mong th y thông c m và cho chúng em nhỏ ữ ế ầ ả ững lời góp ý để bài nghiên c u c a nhóm s hoàn thiứ ủ ẽ ện hơn Một lần nữa, chúng em xin g i l i cử ờ ảm ơn sâu sắc đến thầy và chúc th y luôn mầ ạnh khỏe, h nh phúc và ạ thành công trong s nghi p ự ệ

Tóm tắt

đời sống kinh t , xã hế ội và đều đem lại những giá trị thi t thế ực Đối tượng ph c v ụ ụ

của các quy trình nghi p v cệ ụ ần x lý ử

Với s phát tri n nhanh chóng c a Internet c ng thêm vự ể ủ ộ ới xu hướng h i nhộ ập chung c a toàn th ủ ế giới, các t ổ chức, cá nhân c n b t tay, ph i h p hoầ ắ ố ợ ạt động và

có, vấn đề ề v an ninh b o mả ật Nhưng có lẽ ấn đề v khó khăn nhất chính là vấn đề

tin

CHƯƠNG 1: TỔNG QUAN VỀ INFORMATION SECURITY

POLICY (ISP)

S phát tri n cự ể ủa mạng máy tính đã làm cho việc chia sẻ thông tin bao gi ờ phổ biến hơn Thông tin nay được trao đổi theo t giá c a hàng nghìn t byte cho mỷ ủ ỷ ỗi phần nghìn giây, con s hàng ngày mà có th m r ng ra ngoài s ố ể ở ộ ự hiểu bi t hoặc ế thu t ng có sậ ữ ẵn M t t l c a d ộ ỷ ệ ủ ữ liệu mà không có ý định để chia sẻ vượt quá một nhóm h n ch và nhi u d ạ ế ề ữ liệu được bảo vệ b i luở ật sở h u trí tuữ ệ Mộ ỗ ực t n l chính sách an ninh thông tin để ban hành nh ng bi n pháp b o v và h n ch s ữ ệ ả ệ ạ ế ự phân b c a d u không n m trong ph m vi công cố ủ ữ liệ ằ ạ ộng để người nhận ủy quy n ề Chính sách b o mả ật thông tin là m t t p h p các chính sách do m t t ộ ậ ợ ộ ổ chức để đảm bảo rằng tất cả người dùng công ngh ệ thông tin trong lĩnh vực tổ chức, mạng lưới của chúng tuân theo quy tắc và hướng dẫn liên quan đến sự an toàn c a thông ủ tin được lưu trữ kỹ thuật s ở b t kố ấ ỳ điểm nào trong m ng ho c trong vòng ranh ạ ặ giới của tổ chức có thẩm quyền

1.1 Khái ni m Chính sách an toàn thông tin ệ

Information Security Policy (ISP) là một tài liệu quy định và hướng dẫn về các bi n pháp b o mệ ả ật thông tin mà m t t ộ ổ chức ho c h ặ ệ thống ph i tuân th ISP ả ủ

xác định các quy tắc, quy trình và hướng dẫn cần thiết để bảo vệ thông tin quan trọng và nh y c m c a mạ ả ủ ột t ổ chức M t ISP m nh m s giúp t ộ ạ ẽ ẽ ổ chức xây d ng và ự duy trì môi trường an toàn, chu n b s n sàng cho các mẩ ị ẵ ối đe dọa và t o lòng tin ạ cho khách hàng và đối tác

1.2 Tầm quan trọng c a ISP cho m t h ủ ộ ệ thống thông tin

1.2.1 B o v thông tin quan tr ng:ả ệ ọ

ISP định rõ các biện pháp bảo mật cần thiết để ả b o vệ thông tin quan tr ng và ọ nhạy c m cả ủa t ổ chức Nó xác định các chính sách liên quan đến truy c p, chia sậ ẻ, lưu trữ và xử lý thông tin ISP đảm bảo rằng thông tin ch ỉ được truy c p b i nh ng ậ ở ữ ngườ ầi c n thi t và trong phế ạm vi được phép

1.2.2 Đảm bảo tuân th pháp lu t và ủ ậ quy định:

ISP cung cấp hướng d n cho vi c tuân th pháp luẫ ệ ủ ật và quy định bảo mật thông tin hiện hành Điều này tránh tổ chức vi phạm quy định và chịu trách nhi m pháp ệ

lý, đồng thời giữ cho h ệ thống thông tin một môi trường hoạt động h p pháp và an ợ toàn

1.2.3 Ngăn chặn và phản ứng với các cu c t n công: ộ ấ

ISP cung c p khung th i gian cho vi c phát hi n, phấ ờ ệ ệ ản ứng và ph c h i sau các ụ ồ cuộc t n công, s c b o m t, hay l hấ ự ố ả ậ ỗ ổng b o mả ật Qua đó, nó giúp tổ chức giảm thi u thi t h i do các cu c t n công x y ra và khôi ph c hoể ệ ạ ộ ấ ả ụ ạt động bình thường của

hệ thống một cách nhanh chóng

1.2.4 Tăng cường s ự nhận thức và đào tạo:

ISP là m t tài li u tham kh o quan tr ng cho viộ ệ ả ọ ệc tăng cường s ự nhận th c và ứ đào tạo về an ninh thông tin cho các thành viên trong t ổ chức Nó hướng d n nhân ẫ viên làm vi c v i thông tin quan trệ ớ ọng, phương pháp bảo vệ, và áp dụng các biện pháp an ninh hi u qu ệ ả

1.2.5 Ti p c n d dàng và công khai:ế ậ ễ

ISP cung c p m t khung pháp lý và k ấ ộ ỹ thuật để đả m b o s công khai và tiả ự ếp cận dễ dàng đối v i t t c ớ ấ ả các bên liên quan như nhân viên, đối tác, khách hàng và nhà cung cấp Điều này giúp ngăn chặn những hành vi không đúng đắn và tăng cường môi trường làm vi c hiệ ệu qu và tin c ả ậy

1.3 Mục đích

Mục đích của chính sách b o m t thông tin là b o v thông tin quan trả ậ ả ệ ọng, đảm bảo r ng thông tin ch ằ ỉ được truy c p và s d ng b i nhậ ử ụ ở ững người được ủy quyền

và ngăn chặn truy c p trái phép Các mậ ục đích cụ thể ủ c a chính sách b o m t thông ả ậ tin bao gồm:

1.3.1 B o v thông tin:ả ệ

Đảm b o rằng thông tin quan tr ng c a t ả ọ ủ ổ chức được b o v ả ệ khỏi nguy cơ mất mát, h ng hóc ho c ti t l ỏ ặ ế ộ không được ủy quyền Bảo vệ thông tin là đảm b o tính ả toàn v n, s n sàng và s tin c y c a thông tin ẹ ẵ ự ậ ủ

1.3.2 Xác định nguy cơ:

Phát hiện và đánh giá các nguy cơ tiềm ẩn liên quan đến bảo mật thông tin Điều này bao g m viồ ệc xác định các mối đe dọa, l h ng và tiỗ ổ ềm năng cho các cuộc t n công ho c vi ph m thông tin ấ ặ ạ

1.3.3 Qu n lý rả ủi ro:

Định rõ các biện pháp để giảm thi u, ch p nh n ho c chuy n giao r i ro bể ấ ậ ặ ể ủ ảo

m t thông tin Các bi n pháp bao g m vi c xây d ng các quy trình, chính sách và ậ ệ ồ ệ ự các bi n pháp kiệ ểm soát để giảm thi u r i ro b o m t thông tin ể ủ ả ậ

1.3.4 Tuân th ủ quy định: Đảm bảo tuân thủ các quy định và quyền riêng tư

liên quan đến bảo mật thông tin Điều này bao gồm việc tuân th ủ luật pháp, quy tắc, quyền riêng tư và các nghị quyết c a t ủ ổ chức

1.3.5 Nâng cao nh n thậ ức: Tăng cường nhận th c v b o m t thông tin cho ứ ề ả ậ nhân viên, đối tác và các bên liên quan Vi c cung cệ ấp đào tạo và hướng dẫn đầy

đủ về chính sách và quy trình b o m t thông tin là m t ph n quan trả ậ ộ ầ ọng để đảm bảo r ng t t cằ ấ ả mọi người liên quan đến tổ chức hiểu và tuân th chính sách bủ ảo

m t thông tin ậ

1.3.6 Qu n lý s cả ự ố: Xác định quy trình và phương pháp để giải quyết các sự

cố b o mả ật thông tin m t cách nhanh chóng và ộ hiệu quả Kịp th i phát hi n và x ờ ệ ử

lý các vi ph m bạ ảo m t thông tin là m t ph n quan tr ng c a chính sách b o mậ ộ ầ ọ ủ ả ật thông tin

1.4 Đối tượng

Đối tượng mục tiêu ho c ch cặ ủ đề ủa chính sách b o m t thông tin có th khác ả ậ ể nhau tùy thu c vào t ộ ổ chức và các yêu cầu c ụ thể ủ ổ chứ c a t c Tuy nhiên, nhìn chung, đối tượng chính c a chính sách b o m t thông tin là: ủ ả ậ

1.4.1 Nhân viên:

Chính sách b o mả ật thông tin xác định việc nhân viên s d ng công ngh và d ử ụ ệ ữ liệu của công ty m c chở ứ ấp nhận được Nó nêu rõ trách nhi m cệ ủa họ, ch ng hẳ ạn như xử lý thích h p thông tin nh y c m, phân lo i thông tin, qu n lý m t khợ ạ ả ạ ả ậ ẩu và báo cáo s c b o mự ố ả ật

1.4.2 Qu n lý: ả

Chính sách b o mả ật thông tin giúp hướng dẫn ban quản lý đưa ra các quyết định sáng suốt liên quan đến việc thực hi n các biệ ện pháp kiểm soát b o m t, phân ả ậ

bổ nguồn l c và qu n lý r i ro Nó cung cự ả ủ ấp các hướng d n v ẫ ề việc thi t l p và ế ậ thực thi các quy trình, th t c và th c ti n b o mủ ụ ự ễ ả ật

1.4.3 Nhân viên CNTT:

Chính sách b o mả ật thông tin cung cấp hướng d n cho nhân viên CNTT v cẫ ề ấu hình và b o trì an toàn h ả ệ thống máy tính, m ng và ph n m m Nó nêu rõ trách ạ ầ ề nhi m c a nhân viên CNTT trong vi c giám sát, phát hi n và ng phó v i các s ệ ủ ệ ệ ứ ớ ự

cố b o mả ật

1.4.4 Nhà th u và bên th ba: ầ ứ

Chính sách b o mả ật thông tin cũng mở rộng cho các bên bên ngoài như nhà thầu, đối tác kinh doanh và nhà cung c p có quy n truy c p vào h ấ ề ậ ệ thống thông tin hoặc d u cữ liệ ủa công ty Nó phác th o các yêu c u, k v ng và trách nhi m bả ầ ỳ ọ ệ ảo

m t mà các th c th này ph i tuân th ậ ự ể ả ủ

1.4.5 Ki m toán viên và ể cơ quan quản lý:

Chính sách b o mả ật thông tin đóng vai trò là tài liệu tham khảo chính để kiểm toán viên và cơ quan quản lý đánh giá sự tuân thủ của t ổ chức v i các lu t, quy ớ ậ định liên quan và tiêu chu n ngành Nó cung c p b ng ch ng v cam k t c a tẩ ấ ằ ứ ề ế ủ ổ chức trong việc bảo vệ thông tin nh y cạ ảm

1.4.6 Khách hàng và người dùng:

Trong một s trường h p, chính sách b o mố ợ ả ật thông tin cũng có thể được cung cấp cho khách hàng và người dùng tương tác với hệ thống hoặc d ch v c a t ị ụ ủ ổ chức Điều này giúp xây d ng ự niềm tin và s t tin b ng cách th ự ự ằ ể hiện cam k t cế ủa

tổ chức trong vi c bệ ảo v thông tin c a h ệ ủ ọ

Do đó, mục tiêu cu i cùng c a chính sách b o m t thông tin là thi t lố ủ ả ậ ế ập một khuôn kh các quy tổ ắc, hướng d n và th tẫ ủ ục để ả b o vệ thông tin và tài s n nhả ạy cảm c a t ủ ổ chức, b t k nó thu c quy n s h u c a tấ ể ộ ề ở ữ ủ ổ chức hay được khách hàng hoặc đối tác y thác ủ

CHƯƠNG 2: XÂY D NG CHÍNH SÁCH AN TOÀN THÔNG Ự

TIN

2.1 Các bước tri n khai chính sách an toàn thông tin ể

Bước 1 Thu thập thông tin cơ bản (Collect Background IÌnormation)

Xác định các tài liệu và thông tin cơ bản liên quan đến an toàn thông tin trong

tổ chức, bao gồm hồ sơ hệ thống, dữ liệu quan trọng, và thông tin về nguồn lực

Bước 2 Thực hiện đánh giá rủi ro (Perform Risk Assessment)

Điều này bao gồm việc xác định các rủi ro tiềm ẩn đối với an toàn thông tin và đánh giá mức độ nghiêm trọng và xác suất xảy ra của chúng

Bước 3 Tạo một bảng xem xét chính sách (Create a Policy Review Panel)

Xây dựng một nhóm hoặc bảng xem xét chính sách để đảm bảo tính phù hợp

và hiệu quả của các chính sách được đề xuất

Bước 4 Phát triển kế hoạch bảo mật thông tin (Develop the Information

Security Plan)

Từ các thông tin thu thập và đánh giá rủi ro, phát triển kế hoạch cụ thể để bảo

vệ thông tin và hệ thống của tổ chức

Bước 5 Phát triển các chính sách bảo mật thông tin (Develop Information

Security Policies)

Xây dựng các chính sách, quy định và tiêu chuẩn bảo mật thông tin dựa trên kế hoạch, đảm bảo tính chi tiết và rõ ràng

Bước 6 Thực hiện các chính sách và tiêu chuẩn (Implement Policies and

Standards)

Áp dụng chính sách bảo mật thông tin và tiêu chuẩn vào hoạt động hàng ngày của tổ chức Điều này bao gồm việc triển khai công nghệ và quá trình cụ thể

Bước 7 Nhận thức và đào tạo (Awareness & Training)

Đào tạo nhân viên về các quy tắc và quy định bảo mật thông tin, và tạo ra một

sự nhận thức về tầm quan trọng của an toàn thông tin

Bước 8 Giám sát sự tuân thủ (Monitor for Compliance)

Thực hiện việc kiểm tra và theo dõi tuân thủ các chính sách và tiêu chuẩn bảo mật thông tin, và thực hiện điều chỉnh cần thiết để duy trì tính hiệu quả của chúng

Ở cấp độ cơ bản, theo dõi sự tuân thủ đảm bảo rằng các hoạt động của tổ chức của bạn đang diễn ra và hoạt động như bình thường Rộng hơn, nó có thể xác định bất

kỳ lĩnh vực nào không tuân thủ, cho dù là với các chính sách nội bộ hay quy định bên ngoài

Bước 9 Đánh giá hiệu quả (Evaluate Effectiveness)

Sau khi triển khai ISP, bạn cần thường xuyên đánh giá hiệu suất mạng và dịch

vụ Điều này bao gồm việc theo dõi tốc độ, độ ổn định, sự khả dụng

Bước 10.Sửa đổi chính sách (Modify Policy)

Điều chỉnh và cập nhật chính sách, quy định, và cơ sở hạ tầng mạng Điều này giúp đảm bảo rằng mạng ISP luôn tuân thủ các tiêu chuẩn an toàn và hiệu suất cần thiết

• Làm tăng khả năng của một mức độ tối thiểu của chất lượng

• Mang lại sự tín nhiệm cho cả nỗ lực và các tổ chức cung cấp dịch vụ

• Có thể làm tăng cơ hội mà một can thiệp hoặc dịch vụ sẽ có hiệu quả

2.2 Nội dung của tài liệu chính sách an toàn thông tin

1 Giới thiệu: Trình bày ng n g n vắ ọ ề mục đích và quyết định triển khai chính sách an toàn thông tin

2 Mục đích: Xác định mục tiêu và lý do tồn tại của chính sách an toàn thông

tin, chẳng hạn như bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa

3 Phạm vi: Mô tả rõ ràng về phạm vi của chính sách, bao gồm các hệ thống,

dữ liệu, và quá trình được áp dụng

4 Chính sách: Chứa các quy tắc và hướng dẫn cụ thể về cách đảm bảo an toàn thông tin, bao gồm việc xác thực, mã hóa, giám sát, và quản lý mật khẩu

5 Vai trò và trách nhiệm: Liệt kê các vai trò và trách nhiệm của từng cá nhân

hoặc bộ phận trong việc thực hiện và tuân thủ chính sách an toàn thông tin

6 Vi phạm và xử lý: Mô tả quy trình xử lý khi có vi phạm chính sách, bao

gồm việc báo cáo, điều tra, và biện pháp sửa đổi

7 Lịch sửa đổi và cập nhật: Đề cập đến việc cập nhật và xem xét chính sách

theo thời gian để đảm bảo tính hiệu quả và tuân thủ với các quy định mới

8 Thông tin liên hệ: Cung cấp thông tin liên hệ của người chịu trách nhiệm

hoặc bộ phận quản lý an toàn thông tin

9 Định nghĩa thuật ngữ: Đưa ra định nghĩa và giải thích các thuật ngữ quan

trọng được sử dụng trong chính sách để đảm bảo sự hiểu biết chung

2.3 Ví d v chính sách an toàn thông tin cho m t h ụ ề ộ ệ thống thông tin

2.3.1 Chính sách mật kh u m u (Sample Password Policy): ẩ ẫ

˗ Không sử dụng ID người dùng của b n làm m t kh u Không chia s mạ ậ ẩ ẻ ật khẩu [tên cơ quan] với bất k ai, k c ỳ ể ả trợ lý hành chính hoặc thư ký Tất cả

m t kh u phậ ẩ ải được coi là nhạy cảm

˗ Không tiết lộ mật khẩu qua điện thoại cho b t k ai ấ ỳ

˗ Không tiết lộ mật khẩu trong thư

˗ Đừng ti t lộ m t kh u cho sế ậ ẩ ếp

˗ Đừng nói về mật khẩu trước mặt người khác

˗ Không gợi ý về nh d ng c a m t kh u (ví dđị ạ ủ ậ ẩ ụ: “tên gia đình của tôi”) • -Không chia s m t kh u vẻ ậ ẩ ới các thành viên trong gia đình • Không tiết l -ộ

m t khậ ẩu cho đồng nghiệp khi đi nghỉ •

˗ Không sử dụng tính năng "Ghi nhớ mật khẩu" của ứng d ng ụ

˗ Không lưu trữ mật khẩu trong một tệp trên B T K h Ấ Ỳ ệ thống máy tính nào không được mã hóa

2.3.2 Chính sách mã hóa được chấp nhận (Acceptable Encryption Policy):

˗ Nêu yêu cầu xung quanh vi c thuệ ật toán mã hóa nào

Ví dụ: đã nhận được đánh giá công khai đáng kể và đã được chứng minh là hoạt động hi u qu ) có th ệ ả ể được chấp nhận để sử dụng trong doanh nghiệp 2.3.3 Chính sách email ( Email Policy):

˗ Xác định các yêu cầu để sử dụng hợp lý hệ thống email c a công ty và giúp ủ người dùng bi t nhế ững gì được coi là vi c s d ng h p lý và không th ệ ử ụ ợ ể chấp nhận đối với h ệ thống email c a công ty ủ

Ví d ụ như là nhân viên đại diện cho công ty chỉ nên dùng email c a công ty ủ để trao đổi công vi c vệ ới đối tác, không nên s d ng chúng cho viử ụ ệc riêng như là chào

m i, ti p thờ ế ị, đăng kí các dịch vụ bất h p pháp, b i vì chúng s làm cho email công ợ ở ẽ

ty b l và r t d b tin t c t n công phá ho ị ộ ấ ễ ị ặ ấ ại