Hệ thống quản lý an toàn thông tin

Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước Bộ.Cán bộ quản lý an toàn thông tin IS Manager Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm trong

Phần 1: Hướng dẫn hệ thống quản lý an toàn thông tin chính phủ

1 Giới thiệu

Sổ tay hướng dẫn Hệ thống quản lý an toàn thông tin chính phủ (The GovernmentInformation Security Management System Manual) kiểm tra và thực hiện như 1phần của Hệ thống quản lý an toàn thông tin chính phủ, dưới chính sách Hệ thốngquản lý an toàn thông tin chính phủ, được công khai bởi thủ tướng chính phủ,người đứng đầu chính phủ

2 Phạm vi

Áp dụng cho tất cả các cơ quan tổ chức sau:

3 Tài liệu viện dẫn, thuật ngữ và định nghĩa

3.1 Tài liệu viện dẫn

ISO/ISE 27001:2005– Công nghệ thông tin – Các phương pháp kỹ thuật an toàn –

Hệ thống quản lý an toàn thông tin– Các yêu cầu

3.2 Các thuật ngữ và định nghĩa

Hệ thống quản lý an toàn thông tin (ISMS)

Hệ thống quản lý an toàn thông tin cho chính phủ (Government Information Security Management System – GISMS):

Là hệ thống quản lý an toàn thông tin (ISMS) cho chính phủ ISMS được thamchiếu từ tiêu chuẩn ISO/IEC 27001

Cơ quan an toàn thông tin chính phủ (Government information security Office – GIS Office):

Là cơ quan chịu trách nhiệm thiết lập chính sách, tiêu chuẩn và hướng dẫn cho Hệthống quản lý an toàn thông tin cho chính phủ

Lãnh đạo an toàn thông tin (Chief Information Security Officer - CISO):

Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trước Bộ.

Cán bộ quản lý an toàn thông tin (IS Manager)

Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêm trong cả 2: sổtay hướng dẫn hệ thống quản lý an toàn thông tin và Sách nguyên tắc an toàn hệthống thông tin chính phủ

Sách kiểm tra rủi ro (Risk Check Book):

Là một loại sách kiểm tra để định nghĩa tài sản thông tin, đánh giá tài sản thông tin,kiểm tra những rủi ro tiềm ẩn, xác định rủi ro và đánh giá rủi ro

Sách nguyên tắc Hệ thống quản lý an toàn thông tin cho chính phủ (Government Information Security Security Rule Book – GIS Rule Book) :

Định nghĩa nguyên tắc và các thủ tục an toàn cho từng tài sản thông tin

4 Hệ thống quản lý rủi ro an toàn thông tin Chính phủ (Government Information Security Management System - GISMS)

GISMS lập kế hoạch, thực hiện, kiểm tra, hành động theo chu trình khép kínPDCA tham chiếu từ tài liệu ISO/IEC 27001 Tài liệu này cũng định nghĩa các quytrình của GISMS và định nghĩa các biện pháp kiểm soát và ghi tài liệu

4.1 Lập kế hoạch (Thiết lập)

Quy trình lập kế hoạch bao gồm 5 quy trình con; hướng và hướng dẫn chính sách,định nghĩa phạm vi của GISMS, đánh giá rủi ro, phát triển hướng dẫn GIS và chứanhững phê chuẩn

4.1.1 Hướng chinh sách GISMS và sổ tay hướng dẫn GISMS

Đây là bước đầu tiên, chính sách GISMS đỏ, là tài liệu công bố mục tiêu và chínhsách của GISMS Sổ tay GISMS hướng dẫn áp dụng cho tất cả tổ chức, cơ quanchính phủ

4.1.2 Định nghĩa phạm vi của ISMS

Khi 1 Bộ bắt đầu phát triển hệ thống quản lý an toàn thông tin ISMS, đều cầnphải xác định phạm vi của chu trình PDCA Đây là bước áp dụng chung nhất đểxác định phạm vi bằng các phương tiện vật lý, như là phạm vi bao quanh/tòanhà Phạm vi này có thể được xác định bằng ảnh hưởng của mạng hê thốngthông tin của các biện pháp và xử lý những mối đe dọa Cần xác định cẩn trọngphạm vi bằng sơ đồ tổ chức bởi vì có thể gây khó khăn khi triển khai Phiên bảnkhởi tạo của GISMS chỉ tập trung cho phạm vi là các PC khách và sẽ phát triểnđầy đủ hơn trong tương lai

4.1.3 Đánh giá rủi ro

Thủ tục đánh giá rủi ro bao gồm 5 bước sau: Xác định tài sản thông tin, Đánhgiá tài sản thông tin, Kiểm trả rủi ro tiềm ẩn, Xác định rủi ro và đánh giá rủi ro.Thủ tục chi tiết được xác định trong sách kiểm tra rủi ro Có thể tham khảothem trong Sách kiểm tra rủi ro

Bước 1: Xác định tài sản

Xác định tài sản Sách kiểm tra rủi ro đưa ra 6 tài sản mặc định, 4 tài sảnkhác như phương tiện, giấy tờ, PC khách, mạng và tài sản máy chủ đượcđược xác định bởi cơ quan cho mỗi lần để tự kiểm tra

Bước 2: Đánh giá tài sản

Bước tiếp theo để đánh giá tài sản Có 3 thuộc tính của thông tin: bí mật,toàn vẹn và sẵn sàng Chọn 1 lớp theo các tiêu chuẩn được thể hiện dướiđây:

1: Đánh giá tính bí mật

C1 1:Chung 1 Tài sản thông tin mở công khai

C2 2:Nội bộ 2 Thông tin chỉ được sử dụng trong điều hànhnghiệp vụ của chính phủ

C3 5: Bí mật 5 Tính bí mật trong số người dùng có thẩmquyền đã bị giới hạn

2: Đánh giá tính nguyên vẹn

I1 1:Thấp 1 Không ảnh hưởng đến tính liên tục nghiệp vụbằng cách giả mạo

I2 2:Trungbình 3 Chi phí điều hành tác động bằng cách giả mạoI3 Cao 5 Tác động chính trị bằng cách giả mạo

3 5:Cao 5 Ngắt dịch vụ được cho phép đến 4 giờ

Đánh giá tổng của tài sản xác định bằng tổng của 3 thành phần Soát xét và duyệtlại đánh giá tính bí mật, toàn vẹn, sẵn sàng nếu cảm thấy giá trị tài sản tổng khácvới thực tế

4: Đánh giá tài sản (Điểm = bí mật + toàn vẹn + sẵn sàng)

A

Tài sản có tác động 1 cách vừa phải trong

1 hoạt độngA

Tài sản có tác động to lớn trong 1 quản trịchung

Bước 3: Kiểm tra tài sản

Kiểm tra tài sản Chọn là Có hoặc Không cho mỗi lần kiểm tra

(Kiểm tra các mục của máy tính cá nhân PC)

 Phân công một người sử dụng chính ở mức tối thiểu cho tất cả máytính cá nhân

 Sử dụng 1 mật khẩu mạnh và thay đổi 1 cách có định kỳ

 Cấm chia sẻ tài khoản và mật khẩu người dùng với một vài người

 Xóa màn hình hiển thị bằng chức năng bảo vệ màn hình có cả mậtkhẩu bảo vệ

 Quét các ổ chứa địa phương với phần mềm chống virus một cáchđịnh kỳ

 Sử dụng chức năng phát hiện virus một cách tự động thường xuyên

 Cập nhật file nhận dạng virus một cách thường xuyên

 Giữ các bản ghi quét và cập nhật nhận dạng virus

 Kết nối với UPS cho tất cả các máy tính cá nhân

 Thực thi xóa, định dạng các thiết bị lưu trữ

Bước 4: Đánh giá rủi ro

Đánh giá mối hiểm họa và điểm yếu để áp dụng cho tiêu chuẩn Với mỗikiểm tra có ví dụ của mối đe dọa trong 1 cột chú thích để nhận dạng dễdàng hơn cho các mối đe dọa đặc trưng

6: Đánh giá mối đe dọa

# Lớp Đánh giá Mô tả

T1 1:Thấp 1 Khả năng các mối đe dọa xảy ra là thấp

T2 2:Trung bình 2 Khả năng các mối đe dọa xảy ra là trung bìnhT3 Cao 3 Khả năng các mối đe dọa xảy ra là cao

Đánh giá rủi ro tổng được xác định bằng tính toán sau:

8: Đánh giá rủi ro (Điểm = (tài sản + mối đe dọa) * điểm yếu)

R1 1:Thấp 1 2 đến 6 Rủi ro được cho phép

R3 2:Cao 2 8 đến 24 Rủi ro không cho phép cần có sự điều chỉnhBước 5: Quyết định biện pháp

Tất cả các mục kiểm tra được đánh giá là rủi ro “Cao” yêu cầu phải điềuchỉnh Nhìn chung, cần thiết để triển khai các nguyên tắc, thủ tục đểgiảm nhẹ rủi ro Do đó, cần thiết phải phát triển Sách nguyên tắc an toànthông tin Sau khi quyết định sử dụng các biện pháp và tiến hành các xử

lý những danh mục rủi ro, đánh giá rủi ro lần nữa và chắc chắn tất cả cácdanh mục kiểm tra được đánh giá ở mức “Thấp”

4.1.4 Phát triển sách nguyên tắc đảm bảo an toàn thông tin chính phủ

Sách nguyên tắc đảm bảo an toàn thông tin chính phủ được định nghĩabởi Bộ Dựa trên kết quả đánh giá rủi ro, xử lý chủ yếu để xác định cácnguyên tắc và thủ tục để làm giảm rủi ro đã được bộc lộ Sách nguyên tắcđảm bảo an toàn thông tin chính phủ cần phải chứa 5 nội dung sau: Xácđịnh phạm vi của 1 hệ thống quản lý an toàn thông tin, Tổ chức an toànthông tin, Nguyên tắc và các thủ tục, Đào tạo an toàn thông tin và Đolường kiểm tra và hành động Mẫu Sách nguyên tắc đảm bảo an toànthông tin chính phủ cho 1 Bộ bắt buộc phải sử dụng, vai trò của cơ quan

an toàn thông tin chính phủ GIS được mô tả trong chương 5 Quản lýtrách nhiệm 3 Bước tiếp theo được giải thích để phát triển sách an toànthông tin chính phủ

4.1.5 Xác định phạm vi của hệ thống quản lý an toàn thông tin trong sách

nguyên tắc đảm bảo an toàn thông tin chính phủ

Phạm vi của hệ thống quản lý an toàn thông tin ở chương 4.1.2 được tàiliệu hóa trong Sách nguyên tắc đảm bảo an toàn thông tin chính phủ, nơi

để nghị để làm rõ các tài sản thông tin và liên quan đến địa điểm vật lý /

tổ chức/cơ quan được đưa ra trong mẫu sách nguyên tắc

4.1.5.1 Xác định nguyên tắc/thủ tục không áp dụng trọng mẫu sách nguyên tắc

Các nguyên tắc và thủ tục dựa trên tài sản thông tin và phạm vi tính bímật của từng Bộ, không cần xác định trừ khi tài sản thông tin đích tồntại trong phạm vi này

4.1.5.2 Xác định các nguyên tắc và thủ tục trong sách nguyên tắc mẫu

Sách cần thiết xác định được an toàn hơn nếu số lượng thông tin trong 1

Bộ bí mật hơn theo kết quả của 1 đánh giá rủi ro Sách cần phải thêmcác định nghĩa nếu như sách nguyên tắc mẫu không chứa các tài sảnthông tin trong phạm vi này Trong trường hợp sau, đề nghị để thảoluận với cơ quan an toàn thông tin chính phủ trước khi bắt đầu định

nghĩa các nguyên tắc và thủ tục, để quyết định định nghĩa tiêu chuẩncủa tài sản thông tin mới.

4.1.6 Đạt được các phê duyệt(? chấp thuận)

Có 2 bước phê duyệt Tất cả các bước từ chương 4.1.1 đến 4.1.4 đượchoàn thành và danh sách kiểm tra rủi ro và sách nguyên tắc đảm bảo antoàn thông tin chính phủ bao gồm người quản lý cấp cao an toàn thôngtin và bản quản lý an toàn thông tin phải được tài liệu hóa 1 cách đầy đủ,tiến trình lập kế hoạch và tài liệu sẽ được soát xét và phê duyệt bởi cơquan GIS

Trường hợp rất đặc biệt có phép chấp nhận một rủi ro như là rủi ro còntồn động mặc dù rủi ro đó không vượt quá mức chấp nhận được trongđánh giá rủi ro 1 cách tự động trong Sách kiểm tra rủi ro

Sự phê duyệt của người quản lý đứng đầu của Bộ phải triển khai đầy đủ

và có hiệu quả ở Bộ

4.2 Thực hiện (triển khai và thực thi)

Điều đầu tiên cần thực hiện khi triển khai ISMS ở 1 Bộ là thiết lập ISO Sau đó,CISO sẽ phân công cho các thành viên ISO để chuẩn bị và tiến hành đào tạo antoàn thông tin Một ISMS là một hệ thống quản lý, do đó, cần được ưu tiên đào tạođầu tiên

4.3 Kiểm tra (Giám sát và soát xét)

Cần phải có 1 chặng đường dài để đưa ISMS thành một phần vô cùng quan trọngcủa tổ chức và cần thiết phải có nhiều sự cải tiến và nỗ lực liên tục

Để nắm được tình trạng khách quan để thảo luận cho bất kỳ sự cải tiến nào, hệthống đo lường cần phải được thiết lập và xác định trong Sách nguyên tắc đảm bảo

an toàn thông tin chính phủ

Kiểm toán nội bộ để điều tra hiệu quả của hệ thống quản lý an toàn thông tin đãtriển khai cũng như yêu cầu phải tìm những phát sinh để lưu trữ các mức rủi ro

trong quy trình lập kế hoạch và soát xét các mức độ chấp nhận được của rủi ro Kếtquả của đánh giá rủi ro phải được cập nhật trong Sách nguyên tắc rủi ro.

Thường xuyên kiểm và hành động phải được định nghĩa trong Sách nguyên tắcđảm bảo an toàn thông tin chính phủ, tuy nhiên cần phải thực hiên ít nhất 1 lầntrong 1 năm hoặc hơn nữa

4.4 Hành động (duy trì và cải tiến)

Kết quả của phép đo lường và kiểm toán nội bộ để quyết định hành động để cảitiến hiệu năng của hệ thống quản lý an toàn thông tin và tối ưu mức chấp nhậnđược của các rủi ro Các hành động không chỉ là cải tiến cho nguyên tắc và quytrình nhưng cũng cần xử lý để thiết lập phần cứng/phần mềm mới để bảo vệ cho hệthống/mạng Những hành động này có thể dẫn đến bãi bỏ 1 số nguyên tắc để thủtục phù hợp với sự thay đổi của Bộ và điều hành nghiệp vụ

4.5 Kiểm soát tài liệu

Phần này định nghĩa cấu trúc tài liệu, quyền hạn, hiệu chỉnh, sự phân tán, truy cậpcủa hệ thống quản lý an toàn thông tin chính phủ GISMS

4.5.1 Cấu trúc tài liệu và quyền

Hệ thống quản lý an toàn thông tin chính phủ GISMS có 4 tài liệu chính 1) Chính sách GISMS

2) Sổ tay hướng dẫn GISMS

Đó là những bản nháp của cơ quan GIS, được soát xét bởi ủy ban GCIO vàđược xác thực bởi chủ tịch GCIO Chính sách GISMS được công bố bởingười đứng đầu của chính phủ

3) Sách kiểm tra rủi ro

Những danh mục kiểm tra được nháp bởi cơ quan GIS, được soát xét và xácthực bởi ủy ban GCIO

4) Sách nguyên tắc đảm bảo an toàn thông tin chính phủ

Đây là sách được xây dựng bởi Bộ Mẫu Sách nguyên tắc GIS, là được xâydựng dựa trên những giá trị đánh giá rủi ro mặc định của hình thức Sáchkiểm tra rủi ro được nháp bởi cơ quan GIS, được xác nhận bởi người đứngđầu Bộ Và tên của Bộ có trên tài liệu đó

4.5.2 Soát xét, phân tán, truy cập, bảo vệ tài liệu

Tất cả các tài liệu soát xét GISMS được xây dựng bởi Bộ với chu trìnhPDCA được xác định trong kiểm tra 4.3 và hành động 4.4

Sổ tay GISMS, Sách kiểm tra rủi ro và Sách nguyên tắc đảm bảo an toànthông tin chính phủ phải có lịch sử soát xét để đảm bảo người đọc soátxét có thể tham khảo và soát xét được

Phân tán, truy cập và bảo vệ

Tính bí mật của tài liệu GISMS được xác định như sau:

1 Chính sách GISMS và sổ tay GISMS được phân loại “chung” nhấtsao cho mọi người có thể truy cập và đọc được

2 Sách kiểm tra đánh giá rủi ro không được xác định và được phânloại là “chung” Mặt khác Sách đánh giá rủi ro, sau khi được đánhgiá chứa các rủi ro đã được đánh giá (các mối đe dọa và điểm yếu),

do đó nó được phân loại như “nội bộ” yêu cầu phải phân tán, truycập, bảo vệ cẩn thận

3 Sách nguyên tắc GIS chứa các nghiệp vụ nội bộ và các thủ tụcđược phân loại như “nội bộ “

4.6 Kiểm soát bản ghi

Bản ghi cần phải quản lý chi việc triển khai nguyên tắc và thủ tục Kiểm soátcác quyền xác thực, soát xét, phân tán, truy cập và bảo vệ bản ghi trống có thểđược xây dựng trong Sách nguyên tắc GIS.

Nhìn chung, các bản ghi được gửi bởi các nhân viên, lĩnh vực lưu trữ thôngtin của cơ quan an toàn thông tin, và số của bản ghi là được xác định duynhất

Các bản ghi thường chứa các thông tin bí mật (ví dụ: địa chỉ IP của server,thông tin riêng tư cá nhân), và yêu cầu cẩn thận khi xử lý

5 Trách nhiệm quản lý

5.1 Ủy ban quản lý

Người quản lý đứng đầu chính phủ phải có trách nhiệm thiết lập, triển khai,giám sát và duy trì ISMS để đảm bảo quyền quản trị liên tục của chính phủ vàlàm giảm nhỏ nhất thiệt hại của rủi ro bằng cách ngăn chặn các sự cố an toàn

và giảm tác động tiềm ẩn của chúng bằng các chính sách của GISMS

Người quản lý sẽ có trách nhiệm trực tiếp để triển khai ISMS và đặc biệt đểđảm bảo nhân viên tuân thủ theo từng vị trí của họ trong cơ quan

5.2 Tổ chức an toàn thông tin chính phủ

Ban quản lý cao nhất của từng tổ chức chính phủ sẽ chỉ định cho lãnh đạo antoàn thông tin (CISO) và người đó sẽ thiết lập cơ quan an toàn thông tin (ISOffice)

5.3 Phát triển năng lực

Năng lực an toàn thông tin được nhận biết và nâng cao bởi ban quản lý của cơquan an toàn thông tin chính phủ như là 1 tâm điểm của sự xuất sắc

Các lĩnh vực của năng lực an toàn thông tin:

1 Hệ thống quản lý an toàn thông tin

Lãnh đạo an toàn thông tin và cơ quan an toàn thông tin tại mỗi tổ chức chínhphủ yêu cầu để thực thi những soát xét tương đương để làm đầy đủ hơn chonhững yêu cầu của cơ quan GIS và kiểm tra (giám sát và soát xét).

6 Biện pháp và xử lý

6.1 Các loại biện pháp

Có 4 loại: giảm rủi ro, truyền rủi ro, tránh rủi ro và chấp nhận rủi ro

Giảm nhẹ rủi ro là biện pháp chủ yếu để chống lại những rủi ro đã bộc lộ.

Một máy tính cá nhân dễ là điểm yếu để virus có thể xâm nhập, do đó cần càiđặt và kích hoạt các chương trình chống virus để bảo vệ thông tin trong máytính

Chuyển giao rủi ro là phương cách hành chính của biện pháp Giả sử 1 máy

tính cá nhân có chứa thông tin giá trị và có thể bị cháy Vì vậy, cần phải saolưu dữ liệu từ 1 vị trí từ xa là 1 biện pháp để làm giảm nguy cơ này, mặt khác,đăng ký tham gia bảo hiểm hỏa hoạn và bảo hiểm thiệt hại mất mát dữ liệucũng là 1 biện pháp làm giảm rủi ro

Tránh rủi ro là cách để loại bỏ nguồn gốc của rủi ro Những nghiên cứu

trước đây đã thu thập rất nhiều những thông tin cá nhân, những thông tin

không liên quan nghiệp vụ chính và điểm yếu thông tin rò rỉ, và quyết định xử

lý 1 cách an toàn là biện pháp để tránh rủi ro

Chấp nhận rủi ro là lựa chọn cuối cùng Ví dụ, áp dụng rộng rãi để bảo vệ

mạng LAN là thiết lập tường lửa ngược lại 1 máy chủ web cho những ngườidùng bên ngoài thì được thiết lập ở bên ngoài tường lửa Máy chủ có thể bịtấn công từ bên ngoài mặc dù cần nỗ lực khi có tấn công xảy ra Chấp nhậnrủi ro là quản lý 1 cách rất cẩn thận và ban quản lý cấp cao xem xét và xácthực luôn luôn cần thiết

6.2 Biện pháp xử lý tài sản thông tin

Hầu hết các biện pháp và xử lý đều thuộc giảm nhẹ rủi ro Các biện pháp và

xử lý chính được tìm thấy trong Sách kiểm tra rủi ro và mẫu Sách nguyên tắcđảm bảo an toàn thông tin chính phủ Các biện pháp và xử lý tốt nhất lànhững nơi thuộc Bộ, và phải được báo cáo 1 cách rõ ràng tại thời gian chấpthuận cơ quan GIS

Phụ lục.1 Bản hướng dẫn kiểm tra rủi ro

Hướng dẫn sách kiểm tra rủi ro

Sách kiểm tra rủi ro được sử dụng trong giai đoạn lập kế hoạch của ISMS.Sau đây là những hướng dẫn từng bước

Bước 1 Xác định rủi ro

Bước 1.1

Hướng tài sản được đưa ra ở cột C trong bảng kiểm tra rủi ro.Bảng này định nghĩa 6 loại tài sản: thông tin, con người, phươngtiện, giấy tờ, phần cứng và phần mềm, mạng và máy chủ

Bước 1.2 Chia tài sản theo cấu trúc tài sản

Tài sản thông tin và con người có nghĩa vụ được xác định ở cấp

Bộ đươc phù hợp với chính phủPhương tiện, giấy tờ, phần cứng và phân mềm Tài sản mạng vàmáy chủ đòi hỏi phải được xác định cho từng tài sản để kiểm traBước 1.3 Sửa cột C và D theo các bộ phận được làm ở bước 1.2

Có thể sao chép và dán tài sản bằng dòng dể kiểm tra Tuy nhiênmột tài sản có thể có nhiều kiểm tra để xác định rủi ro Cần phảicẩn thận khi sao chép cả 1 dòng bao gồm nhiều tài sản

Bước 2 Đánh giá tài sản

Bước 2.1 Đánh giá tính bí mật, toàn vẹn và sẵn sàng để áp dụng cho cáctiêu chuẩn được mô tả trong bảng đánh giá

Có thể chọn 1 từ danh sách kéo xuống trong mỗi trường từ cột G

Bước 3 Kiểm tra tài sản

Bước 3.1 Đọc giá trị ở cột L và M, và chọn giá trị có hoặc không ở cột NBước 4 Đánh giá rủi ro

Bước 4.1 Đánh giá mối đe dọa và điểm yếu để áp dung cho các tiêu chuẩnđược mô tả trong bảng đánh giá

Bạn có thể chọn 1 từ danh sách thả xuống ở mỗi trường tại cột R

và PĐọc mô tả của mỗi mối đe dọa tại cột Q để hỗ trợ đưa ra quyếtđịnh đánh giá mối đe dọa

Sử dụng giá trị mặc định nếu cảm thấy khó đánh giáBước 4.2 Bàng kiểm tra rủi ro tự động hiển thị giá trị tổng đánh giá rủi roở cột T

Bảng đánh giá rủi ro tự động sẽ đưa ra đánh giá tổng cho tài sản

ở cột JSoát xét kết quả và kiểm tra với các tiêu chí được liệt kê ra trongbảng đánh giá

Xem xét lại đánh giá tính bí mật, toàn vẹn, sẵn sàng nếu cảmthấy giá trị tài sản tổng khác với sự thật

Đến bước 5 nếu rủi ro tổng là caoXem xét tính nhất quán của ISMS nếu rủi ro tổng là thấp

Và sắp xếp nếu có (cập nhật sách nguyên tắc đã có hoặc cậpnhật các biện pháp tham chiếu ở cột V)

Bước 5 Quyết định các biện pháp

Bước 5.1 Đọc mô tả của các nội dung biện pháp mặc định của cột U

Bước 5.2 Đọc mô tả của sách nguyên tắc an toàn thông tin mẫu được thamchiếu tại cột V

Cập nhật nội dung các biện pháp tại cột U và tham chiếu tại cột

V và nguyên tắc và thủ tục áp dụng có thể được triển khai cho tổchức

Bước 6 Đánh giá rủi ro sau biện pháp

Bước 6.1 Đánh giá mối đe dọa và điểm yếu để áp dụng cho các tiêu chuẩnđược mô tả trong bảng đánh giá

Bạn có thể chọn 1 từ danh sách thả xuống ở mỗi trường tại cột

W và Y

Sử dụng các giá trị mặc định nếu bạn không thay đổi các biệnpháp và quý tắc thủ tục trong mẫu sách an toàn thông tin

Bước 6.2 Bảng kiểm tra rủi ro 1 cách tự động thể hiện đánh giá tổng củarủi ro tại cột AA

Soát xét kết quả và kiểm tra với các tiêu chuẩn được liệt kê ra

trong bảng đánh giáXem xét đánh giá mối đe dọa và điểm yếu nếu cảm thấy giá trịrủi ro tổng khác so với thực tế

Phần 2: Nguyên tắc đảm bảo an toàn thông tin chính phủ

1 Giới thiệu

Sách nguyên tắc đảm bảo an toàn thông tin được xác định triển khai Hệ thốngquản lý an toàn thông tin chính phủ dưới Chính sách hệ thống an toàn thông tin và

Sổ tay hướng dẫn quản lý an toàn thông tin chính phủ

2 Ba nguyên tắc cơ bản an toàn thông tin

[Nguyên tắc 1] Luôn luôn xem xét cho dù có được yêu cầu, xử lý hoặc lưu thôngtin bí mất hay không, không được phép đưa thông tin dựa trên bất kỳ nguy cơ giảmạo, rò rỉ, truy cập trái phép

[Nguyên tắc 2] Khóa cửa ra vào văn phòng, tủ đựng hồ sơ và ngăn kéo bàn làmviệc trước khi đi ra ngoài

[Nguyên tắc 3] Kích hoạt chức năng tự động phát hiện của phần mềm diệt virus.Cập nhật tập tin nhận dạng virus hàng tuần Quét ổ cứng của máy tính hàng tuần vàbất kỳ thiết bị ngoài nào khi kết nối với máy tính của bạn

3 Phạm vi

4 Tài liệu viện dẫn, thuật ngữ và định nghĩa

4.1 Tài liệu viện dẫn

1) ISO/IEC 27001:2005: Công nghệ thông tin – Các phương pháp kỹthuật an toàn – Hệ thống quản lý an toàn thông tin– Các yêu cầu 2) Sổ tay hướng dẫn hệ thống quản lý an toàn thông tin chính phủ4.2 Thuật ngữ và định nghĩa

Các thuật ngữ và định nghĩa được sử dụng trong sách nguyên tắc đảmbảo an toàn thông tin chính phủ

Máy tính cá nhân:

Máy tính cá nhận là những máy địa phương như là máy tính để bàn,máy xách tay hoặc là điện thoại di động

Tất cả các thuật ngữ và định nghĩa được tham chiếu đến thuật ngữ vàđịnh nghĩa trong sổ tay hướng dẫn Hệ thống quản lý an toàn thông tinchính phủ hoặc tài liệu ISO/IEC 27001:2005

5 Tổ chức an toàn thông tin

5.1 Định nghĩa tổ chức an toàn thông tin

Tài liệu phát triển kỹ thuật truyền thông thông tin quốc gia (NiDA)đưa ra vai trò và trách nhiệm của an toàn thông tin

Cơ quan an toàn thông tin (ISO)

Được thiết lập ở NiDA Nó có trách nhiệm triển khai Hệ thống quản

lý an toàn thông tin tại NiDA Các thành viên của ISO là các giám đốcquản lý an toàn thông tin, nguời quản lý hệ thống thông tin, ngườiđược giao trách nhiệm an toàn thông tin, và được xác định dưới đây:

Lãnh đạo an toàn thông tin (Chief Information Security Officer CISO):

-Là một cán bộ quản lý cấp cao thuộc Bộ, có trách nhiệm rõ ràng trướcBộ

Cán bộ quản lý an toàn thông tin (IS Manager)

Vai trò này được giao cho 1 cán bộ của cơ quan và có trách nhiêmtrong cả 2: sổ tay hướng dẫn hệ thống quản lý an toàn thông tin vàSách nguyên tắc an toàn hệ thống thông tin chính phủ

5.2 Danh sách thành viên ISO

Các thành viên của ISO sẽ được chỉ định bởi tổng thư ký của NiDA5.3 Định tuyến truyền thông (giao tiếp và chia sẻ) khi có sự cố

Khi xảy ra sự cố cần phải báo cáo theo các đường sau, từ chính phủđến những người được giao trách nhiệm, từ người được giao tráchnhiệm đến người quản lý hệ thống thông tin, từ người quản lý hệthống thông tin đến người lãnh đạo an toàn thông tin/cơ quan an toànthông tin

6 Nguyên tắc và thủ tục

6.1 Phân loại thông tin

(a) Nguyên tắc

(a1) Thông tin được sử dụng trong điều hành nghiệp vụ chính phủđược chia thành 3 loại sau:

(a3) Luôn luôn quản lý thông tin 1 cách cẩn thận để phân loại(a4) Phân loại thông tin cá nhân như thông tin bí mật

(b) Thủ tục

(Không có thủ tục nào được áp dụng trong phần này)

6.2 An toàn con người (sẽ được định nghĩa trong tương lai)

(a) Nguyên tắc

Phần này sẽ xác định các yêu cầu an toàn cho con người về nhữngvấn đề con người như kiểm tra quá trình tuyển dụng, mô tả côngviệc liên quan đến những vấn đề an toàn thông tin và yêu cầu vềchấm dứt việc làm

6.3 An toàn phương tiện

6.3.1 Văn phòng và tòa nhà làm việc

(a) Nguyên tắc

(a1) Xác định những người nào có thể ra vào văn phòng(a2) Triển khai hệ thống khóa thích hợp cho quyền vào vănphòng

(a3) Phân chia không gian văn phòng và nhưng không gianchung khác

(a4) Khi ra ngoài cơ quan phải đi có 1 người bên trong tổ chức

đi cùng