Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   TÀI LIỆU SOẠN BỞI CÔNG TY CP THƯƠNG MẠI VÀ ĐẦU TƯ CÔNG NGHỆ VIỄN THÔNG MỚI (NEW TECHNOLOGY TELECOM COMMERCIAL AND INVESTMENT CORP) www.ntt-vietnam.com SỔ TAY XÂY DỰNG AN NINH VÀ BẢO MẬT HỆ THỐNG CNTT   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   TÓM TẮT Một kế hoạch bảo mật hệ thống CNTT thiết kế để bảo vệ thông tin tài nguyên quan trọng khỏi mối đe dọa diện rộng nhằm đảm bảo hoạt động liên tục giảm mối đe dọa doanh nghiệp, tối đa việc tối đa hóa lợi nhuận việc đầu tư hội kinh doanh Bảo mật CNTT (Information Technology – IT) security đạt cách triển khai hoạt động kiểm soát bao gồm sách, quy trình, kiến trúc tổ chức chức thiết bị CNTT phần mềm Những hoạt động kiểm soát cần thiết lập, phát triển theo dõi, xem xét sau phê duyệt, cần thiết nhằm đảm bảo hoạt động bảo mật việc kinh doanh Doanh nghiệp Doanh nghiệp Kế hoạch để quản lý sách bảo mật, quyền riêng tư liệu mật Doanh nghiệp, đặc biệt liệu quan trọng nhạy cảm trách nhiệm nhân hay phòng ban cho liệu Vấn đề an ninh CNTT biện pháp đo lường nhằm mục đích bảo vệ thông tin mật lưu trữ quyền riêng tư nhân viên, nhà cung cấp cá thể liên kết khác Doanh nghiệp Các hoạt động sử dụng không làm cho việc tiết lộ thông tin Doanh nghiệp: bao gồm bị virus công vấn đề liên quan đến hệ thống mạng dịch vụ vấn đề pháp lý Tất người dùng Doanh nghiệp yêu cầu phải theo quy ràng buộc kế hoạch Doanh nghiệp khác theo quy định sách họ Tất nhân viên chia trách nhiệm việc bảo mật thông tin tài nguyên phận tương ứng nhân MỤC ĐÍCH Mục đích kế hoạch nhằm đảm bảo tính tuyệt mật, tính toàn vẹn độ sẵn sàng liệu, định nghĩa triển khai xếp tài liệu liên quan đến sách quy trình hỗ trợ cho mục tiêu Doanh nghiệp, cho phép Doanh nghiệp đáp ứng trách nhiệm pháp lý đạo đức tài nguyên CNTT Các sách quy trình an ninh thông tin đại điện cho nhà sáng lập Doanh nghiệp Các sách an ninh thông tin phục vụ cho công việc chung cho mục đích sử dụng, quản lý triển khai vấn đề an ninh thông tin Doanh nghiệp Việc kiểm soát nội cung cập hệ thống kiểm tra mục đích cân để xác định hoạt động bất tường, tránh lãng phí, gian lận lạm dụng xảy ra, hỗ trợ việc giải vấn đề sai lệch thông tin xảy cách vô tình trình hoạt động Doanh nghiệp Khi định áp dụng sách vào Doanh nghiệp, quy định sách đảm bảo thông tin tài sản bảo vệ khỏi mối đe dọa nhằm đảm bảo việc hoạt động liên tục Doanh nghiệp tối đa hóa lợi nhuận việc kinh doanh Kế hoạch phản ánh cam kết Doanh nghiệp Doanh nghiệp để quản lý thông tin cá nhân nhạy cảm thông tin kinh doanh quan trọng, việc nhận thức nhiều mối đe dọa đến vấn đề an ninh thông tin tầm quan trọng việc bảo vệ riêng   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   tư cá nhân Doanh nghiệp, bảo vệ thông tin kinh doanh thực nghĩa vụ pháp lý Kế hoạch xem xét cập nhật năm lần môi Doanh nghiệp hoạt động thay đổi PHẠM VI Kế hoạch áp dụng cho toàn công động Doanh nghiệp Doanh nghiệp, bao gồm hiệu trưởng, phó hiệu Doanh nghiệp, chủ nhiệm khoa, trưởng khoa, trưởng phận, học sinh, giảng viên, nhân viên, cựu sinh viên, ủy viên, nhân viên tạm thời, tình nguyện viên khách có quyền truy cập vào tài sản Doanh nghiệp Doanh nghiệp Những liệu tài sản tài liệu, hình ảnh, văn phần mềm lưu trữ phần cứng, biên nơi lưu trữ khác CÁC ĐỊNH NGHĨA Bảo mật - Confidentiality- “Lưu trữ quyền hạn chế truy cập tiếp cận thông tin tiết lộ thông tin, bao gồm phương tiện nhằm bảo vệ riêng tư nhân thông tin độc quyền…” Các thất thoát liên quan đến vấn đề bảo mật việc tiết lộ thông tin trái phép Tính toàn vẹn – Integrity - “Bảo vệ chống lại thay đổi hủy hoại thông tin cách không đúng, bao gồm việc đảm bảo thông tin không thái thác không xác thực…” Sự thất thoát tính toàn vẹn hoạt động thay đổi phá hủy thông tin trái phép Tính sẵn sàng - Availability- “Đảm bảo tiếp cận kịp thời đáng tin cậy để sử dụng thông tin ” Sự thất thoát tính sẵn sàng xáo trộn việc truy cập sử dụng thông tin hệ thống thông tin Đánh giá rủi ro trình xác định nguồn lực thông tin tồn cần bảo vệ, để hiểu việc lưu tài liệu rủi ro tiềm ẩn từ việc thất bại bảo mật CNTT gây thông tin bí mật, tính toàn vẹn, sẵn có Kiểm soát hoạt động sách, quy trình, kỹ thuật chế giúp cho việc đảm bảo phản ứng từ phận quản lý để giảm thiểu rủi ro xác định trình đánh giá rủi ro thực Thông tin tài sản – Từng thông tin cụ thể định nghĩa nhiều dạng, lưu trữ thiết bị mà nhận diện có giá trị với Doanh nghiệp Kiểm soát truy cập đề cập đến quy trình kiểm soát truy cập vào hệ thống, hệ thống mạng thông tin dựa yêu cầu hoạt động kinh doanh bảo mật ISO (International Organization for Standardization) – Một tiêu chuẩn quốc tế bao gồm thông tin đại diện từ nhiều tổ chức tiêu chuẩn quốc gia VPN (Virtual Private Network) – Một hệ thống mạng sử dụng hạ tầng Internet công cộng để cung cập cho văn phòng nhỏ, nhân viên truy cập an toàn vào hệ thống mạng Doanh nghiệp VPN sử dụng thuật toán mã hóa chế bảo mật khác để đảm bảo cá nhân phép truy cập vào hệ thống liệu   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   bị chặn IDS (Intrusion Detection System) – Là thiết bị hay ứng dụng theo dõi hoạt động mạng/ hệ thống nhằm phát hoạt động trái phép IPS (Intrusion Prevention System) – Là thiết bị hay ứng dụng phát hoạt động trái phép, lưu lại thông tin hoạt động đó, ngăn chặn báo cáo hành vi Mã hóa – Quá trình việc chuyển đổi thông tin thành thông tin mà người đọc trừ các nhân giải mã CÁC CAM KẾT QUẢN TRỊ VÀ TRÁCH NHIỆM CỦA BỘ PHẬN IT Bộ phận Quản trị CNTT có trách nhiệm quản lý điều hành bao gồm lãnh đạo, cấu tổ chức, quy trình đảm bảo tài sản hoạt vấn đề liên quan đến CNTT trì mở rộng chiến lược mục tiêu Doanh nghiệp Ban quản lý điều hành thiết lập phương pháp tiếp cận tổng thể để quản lý kiểm soát cách thành lập Hội đồng kiểm soát an ninh thông tin (ISBR) đưa định hướng chiến lược, đảm bảo mục tiêu đạt được, xác định rủi ro quản lý cách thích hợp, xác minh nguồn lực Doanh nghiệp sử dụng có trách nhiệm Phòng ban CNTT (Office of Information Technology - OIT) cho thấy cam kết cách phát triển thực kiểm soát nội tốt đảm bảo việc thúc đẩy nâng cao nhận thức yêu cầu CNTT kế hoạch toàn Đại học Tầm nhìn chiến lược Doanh nghiệp liên kết với mục tiêu mục tiêu phận CNTT, cuối đảm bảo Doanh nghiệp đáp ứng khách hàng yêu cầu pháp lý trình phát triển liên tục CÁC BÁO CÁO CHÍNH SÁCH CỦA DOANH NGHIỆP Mỗi phận phải bảo vệ nguồn tài nguyên Doanh nghiệp việc áp dụng triển khai thực hiện, mức tối thiểu, tiêu chuẩn quy trình bảo mật phát triển chấp thuận Hội đồng quản trị Bảo mật thông tin (ISBR) bao gồm ISP Tất phòng ban phải đáp ứng tiêu chuẩn tối thiểu Các phận khuyến khích áp dụng tiêu chuẩn vượt qua yêu cầu tối thiểu để bảo vệ nguồn tài nguyên Doanh nghiệp kiểm soát độc quyền phận/phòng ban Các cá nhân phạm vi sách có trách nhiệm tuân thủ sách sách phòng ban/bộ phận đó, có sách đó, để đảm bảo an ninh thông tin Doanh nghiệp THỰC THI CHÍNH SÁCH Tất cá nhân truy cập vào liệu Doanh nghiệp yêu cầu phải tuân thủ luật pháp, sách Doanh nghiệp thủ tục liên quan đến vấn đề an ninh liệu có mức độ nhạy cảm cao Bất kỳ nhân viên, sinh viên cá nhân Doanh nghiệp cố tình vi phạm quyền truy cập, tiết lộ, thay đổi hoạt huỷ vi phạm kế hoạch phải chịu hình thức kỷ luật thích hợp, bao gồm khả miễn nhiệm / hành động pháp lý   CHƯƠNG TRÌNH AN NINH THÔNG TIN Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   Thông qua tài liệu sách liên quan, Doanh nghiệp Công nghệ thành lập, lưu tài liệu, thực chương trình bảo mật thông tin Hệ thống thiết kế nhằm tạo việc cải thiện hiệu hoạt động CNTT khả đáp ứng yêu cầu quy định Chương trình thực để đảm bảo tính bảo mật tính toàn vẹn thông tin Doanh nghiệp trì mức độ thích hợp khả tiếp cận Để đảm bảo an toàn bảo mật thông tin nhạy cảm để bảo vệ chống lại mối đe dọa mong đợi nguy an ninh toàn vẹn liệu, Doanh nghiệp phải đưa tất phương tiện công nghệ hợp lý (bao gồm bảo mật phần mềm, phần cứng) để lưu giữ thông tin phương tiện cách an toàn Các Doanh nghiệp cần phải xác định quy trình an ninh thông tin riêng mình, mà yêu cầu phải tiêu chuẩn an ninh thông tin kiểm soát theo quy định pháp luật quan tiêu chuẩn an ninh thông tin (ISO, COBIT,…) 8.1 ĐÁNH GIÁ RỦI RO Đánh giá rủi ro trình xác định nguồn lực thông tin tồn cần bảo vệ, để hiểu lưu tài liệu rủi ro tiềm ẩn từ mối nguy CNTT gây thông tin bí mật, tính toàn vẹn, tính sẵn có Mục đích việc đánh giá rủi ro để giúp quản lý tạo chiến lược kiểm soát thích hợp cho quản lý tài sản thông tin Bởi điều kiện kinh tế, quản lý điều hành tiếp tục thay đổi, chế cần thiết để xác định đối phó với rủi ro đặc biệt gắn liền với thay đổi Mục tiêu phải thiết lập trước quản trị viên xác định thực bước cần thiết để quản lý rủi ro Mục tiêu hoạt động liên quan đến hiệu hiệu hoạt động, bao gồm hiệu suất mục tiêu tài bảo vệ chống that thoát nguồn tài nguyên Mục tiêu báo cáo tài liên quan đến việc chuẩn bị báo cáo tài công bố cách tin cậy, phòng chống gian lận báo cáo tài Mục tiêu phù hợp liên quan đến pháp luật quy định thiết lập đạt tiêu chuẩn tối thiểu hành vi Information Technology Services and Security (ITSS), với trợ giúp phòng ban khác, tiến hành đánh giá rủi ro hàng năm phân tích tác động kinh doanh để: • Lưu kho xác định chất tài nguyên thông tin Doanh nghiệp • Có hiểu biết lưu tài liệu mối đe doạ từ kiện làm cho việc thất thoát tính bảo mật, tính toàn vẹn sẵn sàng liệu • Xác định mức độ cần thiết mối đe doạ an ninh để bảo vệ nguồn tài nguyên 8.2 KIỂM SOÁT CÁC HOẠT ĐỘNG Kiểm soát hoạt động sách, quy trình, hoạt động kỹ thuật chế giúp đảm bảo phản hồi từ cấp quản lý giảm thiểu mối đe doạ xác định trình xác định mối nguy đưa Có thể hiểu là, kiểm soát hành động dùng để hạn chế tối thiểu mối nguy Khi tài sản xác định mối nguy từ đối tượng, hành vi cụ thể định triển khai   Kiểm soát hoạt động xảy khuôn viên Doanh nghiệp, tất cấp độ chức Nó bao gồm diện rộng hành vi khác chấp thuận, chứng Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   thực, đối chiếu, xác minh, đánh giá hiệu suất hoạt động, an toàn tài sản phân công nhiệm vụ Kiểm soát hành vi thường liên quan đến hai yếu tố: sách thiết lập để quy định việc nên hoàn tất quy trình ảnh hướng đến sách Tất sách phải thực luôn hoạt động 8.2.1 KIỂM SOÁT NỘI BỘ Kiểm soát nội thiết kế để cung cấp yêu cầu đảm bảo hợp lý mục tiêu cho Doanh nghiệp khu vực hành đáp ứng Kiểm soát có hiệu cung cấp đảm bảo tính hợp lý liên quan đến việc hoàn thành mục tiêu thành lập Kiểm soát nội bộ, quy trình thực để đảm bảo: • Các mối nguy giảm xuống mức chấp nhận • Tất tài sản bảo vệ an toàn chống lãng phí, gian lận, mát, sử dụng trái phép tiết lộ biển thủ • Chương trình thực theo quy định pháp luật sách Doanh nghiệp cách hiệu Các kiểm soát lựa chọn dựa chi phí thực liên quan đến việc giảm nguy tiềm mát, Doanh nghiệp hợp vi phạm an ninh thông tin xảy Các yếu tố không liên quan đến tiền tệ, ví dụ danh tiếng, đưa vào kiểm soát Các thủ tục hành Doanh nghiệp dựa vào kiểm soát nội để trì tuân thủ với yêu cầu nội bên Nếu kiểm soát nội đầy đủ, chức Doanh nghiệp trở nên không phù hợp, không hiệu tốn để hoạt động, cuối thất bại Kiểm soát đầy đủ để giảm thiểu rủi ro cần phải tồn quy trình kinh doanh hàng ngày phòng ngừa, phát điều chỉnh lại cách hợp lý 8.2.2 KIỂM SOÁT VÀ PHÒNG CHỐNG Kiểm soát phòng chống thiết kế để ngăn ngừa lỗi xảy cách bất thường Những hoạt động thường có chi phí hợp lý nhiều so với việc kiểm soát phát Kiểm tra tín dụng, miêu tả công việc, yêu cầu chữ ký xác thực, kiểm tra việc nhập liệu điều khiển vật lý tài sản để ngăn chặn việc sử dụng không cách người dùng tất ví dụ điều khiển dự phòng 8.2.3 KIỂM SOÁT VÀ PHÁT HIỆN Kiểm soát phát thiết kế để tìm kiếm xác định lỗi xảy Chi phí cho việc triển khai tốn kèm so với kiểm soát phòng chống đóng vai trò quan trọng mà đo lường mức độ hiệu quản việc kiểm soát phòng chống vào Doanh nghiệp hợp lỗi xảy Đánh giá đối chiếu tài khoản, quan sát phân phối biên chế, số lượng hàng tồn kho định kỳ, mật khẩu, chỉnh sửa giao dịch kiểm toán nội tất ví dụ kiểm soát phát 8.2.4   KIỂM SOÁT VÀ KHẮC PHỤC Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   Kiểm soát khắc phục thiết kế để ngăn chặn tái phát cố lỗi Nó bắt đầu kết không xảy phát giữ lại để vấn đề đến cấp quản lý giải vấn đề sửa khiếm khuyết Một đội kiểm tra chất lượng báo cáo sai ngân sách ví dụ kiểm soát khắc phục 8.3 KIỂM SOÁT VẤN ĐỀ MÔI TRƯỜNG DOANH NGHIỆP Kiểm soát vấn đề môi trường Doanh nghiệp thiết lập nhà quản lý Doanh nghiệp Các lãnh đạo phận, khu vực, hoạt động thiết lập kiểm soát nội Đây tảng cho tất thành phần khác kiểm soát nội bộ, có kỷ luật cấu Các nhà quản lý nhân viên phải có tính toàn vẹn cá nhân, chuyên nghiệp trì mức độ thẩm quyền cho phép họ hoàn thành nhiệm vụ giao, hiểu tầm quan trọng việc phát triển thực kiểm soát nội tốt Điều đòi hỏi nhà quản lý nhân viên họ để trì minh bạch thời điểm: o Đảm bảo mức độ toàn vẹn cá nhân, chuyên nghiệp có giá trị đạo đức o Yêu cầu kỹ cần thiết để đảm bảo hiệu suất làm việc tốt o Có hiểu biết an ninh thông tin kiểm soát nội hiệu trách nhiệm Cấp quản lý giám sát viên chịu trách nhiệm đảm bảo nhân viên họ nhận thức mối liên quan tầm quan trọng hoạt động họ cách họ đóng góp vào thành tích kiểm soát môi Doanh nghiệp 8.3.1 CHÍNH SÁCH BẢO MẬT CỦA DOANH NGHIỆP Các tài nguyên máy tính Doanh nghiệp hỗ trợ công việc hoạt động hành Doanh nghiệp Bất kỳ nhân viên sử dụng hệ thống mạng Doanh nghiệp lý phải tuân thủ nguyên tắc nghiêm ngặt việc sử dụng Nhân viên giao phó phải đảm bảo an toàn an ninh tài sản thông tin Doanh nghiệp Doanh nghiệp Một sách bảo mật thông tin thông báo tài sản CNTT khác bao gồm tham gia tất nhân viên, tất cấp độ Bất kỳ người tổ chức cộng đồng Doanh nghiệp người mà sử dụng cung cấp nguồn thông tin có trách nhiệm phải trì bảo vệ tài sản Mỗi cá nhân học sinh, nhân viên giảng viên cộng đồng Doanh nghiệp Doanh nghiệp có khả sử dụng tài nguyên cần phải đế ý đến Các cá nhân dự kiến thông báo phải có trách nhiệm bảo vệ tài nguyên thông tin môi Doanh nghiệp nào, chia sẻ sử dụng Sẽ chấp nhận cho sử dụng tài nguyên thông tin để vi phạm sách pháp luật sách Doanh nghiệp thực hành vi học tập, kinh doanh phi đạo đức Trong đó, thành viên ban giám đốc, giám sát viên phải chịu trách nhiệm đảm bảo việc tuân thủ quy định thực hành bảo mật thông tin, dịch vụ CNTT bảo mật việc hợp tác phòng ban với thúc đẩy phát triển chương trình đào   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   tạo giáo dục để đạt trình độ kỹ thuật sử dụng thích hợp cho tất nhân viên có quyền truy cập vào tài sản thông tin 8.4 TỔ CHỨC AN NINH AN TOÀN THÔNG TIN Các Doanh nghiệp thiết lập phương pháp phối hợp để bảo vệ nguồn tài nguyên thông tin nơi lưu trữ thông tin bảo vệ, lưu trữ cách thiết lập biện pháp bảo vệ hành chính, kỹ thuật môi trường vật lý thích hợp mà bao gồm tất phòng ban, cá nhân, người khác quản lý, cài đặt, bảo trì, sử dụng tài nguyên máy tính Doanh nghiệp Quản lý cấp cao - Senior Management phải đảm bảo nguồn lực cần thiết áp dụng hiệu để phát triển khả cần thiết để hoàn thành nhiệm vụ Họ phải đánh giá tổng hợp kết hoạt động việc đánh giá rủi ro vào định tạo nên trình Chief Information Officer (CIO) chịu trách nhiệm việc lập kế hoạch CNTT, lập ngân sách thực bao gồm thành phần bảo mật thông tin cho kế hoạch Các định thực lĩnh vực cần phải dựa chương trình quản lý rủi ro hiệu Director of ITSS chịu trách nhiệm cho chương trình an ninh thông tin phận Doanh nghiệp, bao gồm thêm biện pháp quản lý rủi ro Giám đốc phận ITSS đóng vai trò quan trọng việc giới thiệu phương pháp có cấu trúc phù hợp để giúp xác định, đánh giá giảm thiểu, hạn chế rủi ro cho hệ thống CNTT hỗ trợ cho nhiệm vụ Doanh nghiệp Data Owners chịu trách nhiệm việc đảm bảo kiểm soát phải nơi toàn vẹn, bảo mật, sẵn sàng cho hệ thống CNTT với liệu mà họ sở hữu Business and Functional Managers có vai trò tích cực việc chịu trách nhiệm hoạt động kinh doanh trình mua sắm thiết bị/phần mềm CNTT trình bảo mật CNTT Những nhà quản lý cá nhân có thẩm quyền phải chịu trách nhiệm định cần thiết để hoàn thành nhiệm vụ bàn giao IT security practitioners (ví dụ: hệ thống mạng, hệ thống, người quản trị sở liệu, chuyên viên máy tính, nhà phân tích bảo mật, chuyên gia tư vấn bảo mật) chịu trách nhiệm thực yêu cầu bảo mật hệ thống CNTT có thay đổi xảy Data User người cấp ủy quyền rõ ràng để truy cập liệu chủ sở hữu Người dùng phải sử dụng liệu cho mục đích theo quy định chủ sở hữu, tuân thủ biện pháp bảo đảm quy định chủ sở hữu người giám sát (ví dụ: đảm bảo quyền login với ID mật hợp lệ), không tiết lộ thông tin kiểm soát liệu trừ phép với văn từ chủ sở hữu liệu Information Security Roles & Responsibilities mô tả chung tổ chức Doanh nghiệp Các nhân CNTT người dùng có quyền truy cập vào liệu nhạy cảm yêu cầu ký vào thoả thuận bảo mật thời gian làm việc, năm sau   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   8.5 TRÁCH NHIỆM ĐỐI VỚI TÀI SẢN Information Technology Services and Security (ITSS), làm việc chung với phận khác Doanh nghiệp để phát triển vào bảo trì hệ thống, Data Owner Matrix nhằm xác định người có trách nhiệm liệu bảo vệ hệ thống có liên quan phần mềm (tài chính, quản lý, phát triển ứng dụng,.) ITSS tiến hành kiểm tra hoạt động diễn ra, báo cáo hoạt động đáng ngờ làm anh hưởng đến hệ thống bảo mật thông tin bảo vệ Việc kiểm soát nội thích hợp trì tất thiết bị/tài sản CNTT, thời điểm Quản lý tài sản CNTT thích hợp - đảm bảo khả lớn mà Doanh nghiệp tiếp tục đáp ứng yêu cầu khách hàng thời gian tới từ kế hoạch thiết lập cách trật tự quán toàn Doanh nghiệp ITSS tiến hành khảo sát hàng năm để phát triển trì việc đăng ký thành viên cộng đồng Doanh nghiệp tiếp cận với thông tin bảo vệ trì tài sản thông tin tất hệ thống nằm phạm vi Doanh nghiệp Cá nhân ủy quyền để truy cập vào liệu phải tuân thủ vai trò trách nhiệm phù hợp, theo quy định sách Doanh nghiệp 8.6 PHÂN LOẠI THÔNG TIN Phân loại thông tin yêu cầu để định độ nhạy cảm tương đối độ quan trọng tài sản CNTT, theo cung cấp sở cho nỗ lực bảo vệ kiểm soát truy cập Chính sách phân loại thông tin liệu lập sở có nguồn gốc từ luật pháp nhà nước, quy định sách Doanh nghiệp chi phối riêng tư bảo mật liệu Chính sách áp dụng cho tất loại liệu (ví dụ: Dữ liệu nhân viên thu thập dạng văn điện tử cứng tạo ta giao cho Doanh nghiệp quản lý) trừ Doanh nghiệp khác theo yêu cầu từ cấp bậc, hợp đồng, văn pháp luật Tất liệu phải phân theo mức độ có tổ chức xếp theo ba mức độ nhạy cảm liệu, phân loại với tên gọi Confidential, Internal/Private Public Mặc dù tất giá trị liệu liệt kê yêu cầu số mức độ bảo vệ, giá trị liệu cụ thể coi nhạy cảm kiểm soát chặt chẽ tương ứng với yêu cầu giá trị Tất liệu Doanh nghiệp xem xét lại sở định kỳ phân loại theo mức độ sử dụng, độ nhạy cảm liệu tầm quan trọng Doanh nghiệp phù hợp với luật pháp ITSS định nghĩa trước loại liệu quan trọng Mức độ bảo mật yêu cầu phụ thuộc vào phần liệu ảnh hưởng việc truy cập trái phép tiết lộ thông tin có giá trị hoạt động , chức năng, hình ảnh doanh tiếng tài sản thông tin cá nhân thành viên cộng đồng Doanh nghiệp 8.6.1 MỨC ĐỘ DỮ LIỆU CẤP 1: CONFIDENTIAL Thông tin tuyệt mật thông tin mà truy cập trái phép bị tiết lộ, bị phá huỷ làm ảnh hưởng đến trình hoạt động Doanh nghiệp, nhân viên (ví dụ: Thông tin riêng tư: ngày sinh, hồ sơ y tế, thẻ tín dụng thông tin tài khoản ngân   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   hàng) Dữ liệu lớp nhằm mục đích để sử dụng Doanh nghiệp Doanh nghiệp giới hạn cho người “cần phải biết" 8.6.2 MỨC ĐỘ DỮ LIỆU CẤP 2: INTERNAL/ PRIVATE Các thông tin sử dụng nội phải bảo vệ cá vấn đề độc quyền, đạo đức tính riêng tư Mặc dù không bảo vệ quy trình đặc biệt quy chế, quy định, quyền truy cập, sử dụng trái phép, tiết lộ, mua lại, sửa đổi, mát xóa thông tin mức độ gây tổn thất tài chính, tổn hại danh tiếng Doanh nghiệp, vi phạm quyền cá nhân riêng tư (ví dụ, hồ sơ nhân viên, thông tin lịch sử làm việc, thông tin cựu nhân viên) Thông tin nội thông tin dành cho sử dụng nhân viên Doanh nghiệp, nhà thầu, nhà cung cấp bảo vệ thỏa thuận không tiết lộ 8.6.3 MỨC ĐỘ DỮ LIỆU CẤP 3: PUBLIC Đây thông tin công khai không phổ biến, sử dụng bên Những giá trị liệu nằm hai định nghĩa thông tin public (ví dụ, lương nhân viên, địa email công việc thông tin nhân viên) Kiến thức loại thông tin không làm Doanh nghiệp ảnh hưởng tổn thất tài danh tiếng, gây nguy hiểm cho an toàn tài sản Doanh nghiệp Các liệu công khai xem xét lại tiết lộ thủ tục thích hợp để giảm thiểu rủi ro tiềm việc công bố liệu thông tin không phù hợp để giảm thiệu rủi ro mát thiệt hại từ việc tiết lộ 8.7 QUẢN LÝ TRUY CẬP VÀ NHẬN DẠNG Việc quản lý truy cập nhận dạng đảm bảo việc xác định xác thông tin thành viên Doanh nghiệp cung cấp chế chứng thực bảo mật để truy cập vào dịch vụ dựa hệ thống mạng Việc quản lý truy cập nhận dạng dự theo quy tắc đối tượng sau: • Đảm bảo nhận dạng thành viên cộng đồng Doanh nghiệp có quyền chuyển nhượng quyền truy cập Cho phép truy cập vào nguồn thông tin cá nhân phép ủy quyền • • Đảm bảo xem xét định kỳ thành viên cộng đồng xem xét lại quyền truy cập phép họ • Duy trì chế truy cập hiệu thông qua việc phát triển công nghệ Kiểm soát truy cập dựa vào trình kiểm soát quyền truy cập vào hệ thống mạng thông tin dựa yêu cầu kinh doanh an ninh thông tin Mục tiêu để ngăn chặn tiết lộ trái phép tài sản thông tin Các biện pháp kiểm soát truy cập bao gồm bảo mật an toàn có trách nhiệm xác định, xác thực ủy quyền 8.7.1 SỰ NHẬN DẠNG Sự nhận dạng trình đặt tên giao định danh cho hệ thống cá nhân phép định mức độ truy cập cần đưa Các tính trình nhận dạng người dùng cộng đồng đại học, tổ chức   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 10 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   khác định truy cập cần phải thực hiện, nhận dạng khỏi tất người dùng khác 8.7.1 TÍNH XÁC THỰC Quá trình xác thực xác định xem người đó, thực tế, người khai báo để xác thực Xác thực danh tính người Yếu tố xác thực bạn biết (mật khẩu), mà bạn có (một khoá xác thực), mà bạn tượng trưng (sinh trắc học) Hai yếu tố xác thực bao gồm hai ba yếu tố (ví dụ, mật khoá xác thực) Được dùng cho mục đích kiểm soát truy cập, xác thực xác minh danh tính người thông qua quy trình an ninh thông tin Mật khía cạnh quan trọng bảo mật máy tính Mật dùng để bảo vệ cho tài khoản người dùng Một mật dẫn đến nguy hiểm toàn mạng Doanh nghiệp Việc đảm bảo mật an toàn giúp làm giảm mối nguy đến tài khoản người dùng khác hệ thống Doanh nghiệp Như vậy, tất người dùng có trách nhiệm lựa chọn đảm bảo mật phức tạp để an toàn 8.7.2 SỰ UỶ QUYỀN Sự uỷ quyền trình cho phép người dùng hợp lệ Uỷ quyền cấp cho người sử dụng, thông qua quy trình công nghệ, quyền sử dụng tài sản thông tin định loại hình truy cập cho phép (chỉ đọc, tạo, xóa sửa đổi) Các quyền truy cập vào thông tin sau phải nhập vào hệ thống an ninh thông qua danh sách truy cập Mức độ kiểm soát phụ thuộc vào phân loại liệu mức độ rủi ro liên quan với mát thỏa hiệp thông tin Ngoài ra,   • Các tiêu chí phải thiết lập Data Owners cho tài khoản có đủ điều kiện • Dữ liệu có độ nhạy cảm cao phải ủy quyền chủ sở hữu liệu có thỏa thuận bí mật hàng năm bên có liên quan • Tùy thuộc vào độ nhạy cảm liệu, nhân viên bị kiểm tra vấn đề an ninh trước thuê, chuyển công tác thăng chức Bất kỳ nhân viên không kiểm tra sau vào làm việc không làm việc vị trí có chưa thông tin nhạy cảm vấn đề an ninh thông tin thu nhập đầy đủ • Data Owners phải xem xét định kỳ lại quyền sử dụng người dùng sửa đổi, loại bỏ, vô hiệu hóa tài khoản không cần thiết • Các thủ tục phải ghi nhận việc thu hồi kịp thời đặc quyền truy cập trả lại tài liệu chủ sở hữu cho nhân viên nhà thầu không hoạt động • Thời gian không hoạt động phải triển khai, cho thiết bị đầu cuối máy trạm có quyền truy cập liệu nhạy cảm cao Các khoảng thời gian không sử dụng không nên dài 10 phút khu vực truy cập public Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 11 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   8.7.3 TRUY CẬP TỪ XA Truy cập từ xa đến tài nguyên/thiết bị công nghệ thông tin (switch, router, máy tính, máy chủ v v) đến thông tin nhạy cảm liệu riêng tư (số an sinh xã hội, số thẻ tín dụng, số tài khoản ngân hàng, v v) phép thông qua giao thức xác thực an toàn, phương pháp quản lý truy cập tập trung Hệ thống có chứa liệu sinh viên, nhân liệu tài có mức độ nhạy cảm cao phải sẵn sàng cho chi nhánh khác truy cập từ xa thông qua giao thức VPN tập trung, cung cấp giao thức mã hóa xác thực an toàn Cần hiểu thêm truy cập vào liệu quan trọng từ xa, liệu quan trọng không lưu vào ổ cứng thiết bị đó, USB, thẻ nhớ thiết bị lưu trữ ngoại vị khác (bao gồm laptop smartphone) Các máy tính bên sử dụng để quản lý tài nguyên liệu thông tin quan trọng Doanh nghiệp phải bảo mật Điều bao gồm cập nhật vá lỗi (bao gồm hệ điều hành ứng dụng), thực tác vụ quét virus, cập nhật liệu virus sử dụng Doanh nghiệp lửa để bảo vệ liệu 8.7.4 ĐẶC QUYỀN TRUY CẬP Các quản trị viên hệ thống thường xuyên yêu cầu truy cập vào thông tin tài nguyên để thực tác vụ quan trọng để hệ thống hoạt động liên tục Các đặc quyền truy cập thường ví “superuser,” “root,” or “administrator” Các tài khoản cho phép chức quản lý hệ thống quan trọng thực sử dụng cho mục đích ủy quyền Số lượng tài khoản đặc quyền phải giữ mức tối thiểu, cung cấp cho nhân viên có trách nhiệm công việc yêu cầu thực Các quản trị viên người dùng yêu cầu tài khoản đặc quyền cần nên có tài khoản người dùng thường để sử dụng thực tác vụ bình thường không nên sử dụng tài khoản Admin họ cho mục đích bất hợp pháp Các nhân quản lý hỗ trợ hệ thống CNTT Doanh nghiệp, bao gồm người quản lý hệ thống riêng mình, sử dụng công cụ thích hợp chuyên nghiệp để cung cấp độ an toàn cho thông tin mà họ quản lý Trách nhiệm hệ thống bảo mật ứng dụng phải giao cho cá nhân am hiểu công nghệ thông tin sử dụng hệ thống 8.7.5 PHÂN CÔNG NHIỆM VỤ Các nhiêm vụ có liên quan việc hoạt động kinh doanh phải thực cá nhân cự thể Trách nhiệm lập trình viên, người quản trị hệ thống quản trị CSDL không trùng lặp với, trừ uỷ quyền Data Owner Công việc trách nhiệm hệ thống phân công đến số cá nhân cụ thể để đảo bảo hiệu việc kiểm tra Các hoạt động kiểm soát nhằm giữ cá nhân khỏi hoạt động quan trọng Nhiệm vụ bao gồm ủy quyền phê duyệt, xem xét, kiểm tra giao dịch Phân công nhiệm vụ thực với chức sau: •   Nhập liệu Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 12 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   • Quy trình hoạt động máy tính • Quản lý hệ thống mạng • Quản lý hệ thống • Phát triển bảo trì hệ thống • Thay đổi quyền quản lý • Quản lý an ninh thông tin • Kiểm soát an ninh thông tin Trình độ liên tục giám sát để cung cấp để đảm bảo mục tiêu kiểm soát nội đạt Tiêu chuẩn đòi hỏi phải giám sát liên tục xem xét phê duyệt công việc giao nhân viên cung cấp hướng dẫn đào tạo cần thiết để đảm bảo lỗi lãng phí hành vi sai trái giảm thiểu 8.8 QUẢN LÝ CÁC HOẠT ĐỘNG TRUYỀN THÔNG Việc bảo vệ hệ thống thông tin liên lạc liên quan đến yếu tố sử dụng để đảm bảo liệu hệ thống luôn sẵn sàng, bảo mật tính toàn vẹn giúp cho việc kinh doanh người sở hữu người dùng hoạt động Các mức độ phù hợp bảo đảm cho thông tin hệ thống dựa việc phân loại quan trọng thông tin quy trình kinh doanh mà sử dụng Kiểm soát tính toàn vẹn hệ thống nhằm bảo vệ liệu chống lại thay đổi không phá hủy khác trình lưu trữ, trình hoạt động, trình giao tiếp thông qua cổng thông tin điện tử Nhân tố việc bảo vệ hệ thống kênh giao tiếp giải pháp bảo mật lưu, bảo vệ chống lại công từ chối dịch vụ, bảo vệ phía bên hệ thống, sử dụng loại mật mã xác nhận (mã hóa), bảo vệ truy cập mạng công cộng, bảo vệ khỏi loại mã độc lan truyền Internet Các nhà quản lý thực hoạt động liên quan đến việc kiểm soát bảo vệ phần cứng, phần mềm, nguồn tài nguyên khác, trì theo dõi giám sát phù hợp, đánh giá mối đe dọa từ lỗ hổng hệ thống Các hoạt động bảo mật thích hợp nhằm bảo vệ tài nguyên máy tính Doanh nghiệp khỏi thất thoát, bao gồm thiết bị lưu trữ chính, lưu trữ (ví dụ: tape, đĩa cứng, đĩa quang), thiết bị phần cứng phần mềm viễn thông, máy in,… 8.8.1 AN NINH HỆ THỐNG MẠNG Các công mạng triển khai từ Internet từ hệ thống mạng Doanh nghiệp gây thiệt hại đáng kể tác hại đến nguồn thông tin bao gồm việc tiết lộ trái phép thông tin bí mật Để cung cấp biện pháp phòng thủ chống lại công này, thiết bị công nghệ tường lửa công nghệ lọc mạng phải sử dụng cách có cấu trúc quán Doanh nghiệp trì tiêu chuẩn cấu hình thích hợp kiểm soát an ninh mạng để bảo vệ nguồn tài nguyên thông tin từ mạng qua trung gian mối đe dọa nội bên Thiết bị tường lửa (firewall) hệ thống phát xâm nhập (IDS) triển   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 13 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   khai bên hệ thống mạng Doanh nghiệp hệ thống Intrusion Prevention Systems (IPS) triển khai dịch vụ cốt lõi để làm tăng thêm biện pháp bảo mật hệ thống thông thường để ngăn chặn công từ chối dịch vụ, mã độc, lưu lượng mạng khác đe dọa hệ thống mạng bên hay vi phạm sách an ninh thông tin Tường lửa hay tính IDS / IPS triển khai cho thích hợp để hạn chế quyền truy cập vào hệ thống máy chủ bị hạn chế thông tin cần thiết 8.8.2 GIÁM SÁT AN NINH Giám sát an ninh cung cấp phương tiện để xác nhận nguồn thông tin kiểm soát an ninh chỗ, có hiệu không bị bỏ qua Một lợi ích việc giám sát an ninh xác định sớm việc làm sai trái lỗ hổng bảo mật Phát giám sát ngăn chặn công có giảm thiểu tác động hệ thống máy tính Bất kỳ thiết bị gắn vào hệ thống mạng Doanh nghiệp đối tượng để tìm lỗ hổng bảo mật Mục đích chương trình để quét để giảm mối nguy máy tính hệ thống mạng để tránh Doanh nghiệp trường hợp bị hack, tấng công từ chối dịch vụ, nhiễm virus nguy bảo mật khác từ bên bên ITSS quét máy chủ cách sử dụng với kết hợp phần mềm thương mại mã nguồn mở để theo dõi đánh giá an toàn toàn hệ thống mạng Các máy chủ lưu trữ thông tin quan trọng bảo vệ mặt pháp lý liệu quan trọng khác ưu tiên, máy chủ quét ITSS phối hợp kiểm tra vùng dễ bị tổn thương bên cho quan yêu cầu để sử dụng dịch vụ để đáp ứng tiêu chuẩn Payment Card Industry Data Security Standards (PCI DSS) việc cho sử dụng thẻ tín dụng Những hành động quét cần phê duyệt từ nhà cung cấp bên 8.8.3 MÃ HOÁ Doanh nghiệp phát triển tiêu chuẩn cho mã hóa để đảm bảo liệu nhạy cảm bảo vệ không bị tiết lộ Phù hợp biện pháp mã hóa mạnh mẽ sử dụng triển khai thực hiện, bảo mật cho thông tin trình truyền lưu trữ Quá trình truyền liệu Để bảo vệ bảo mật tính toàn vẹn liệu nhạy cảm, liệu phân loại liệu cấp độ 1, có nhu cầu cần thiết để bảo mật toàn vẹn, truyền qua giao thức mã hóa để đảm bảo không qua hệ thống mạng dạng văn thường Quá trình truyền liệu khuyến cáo thêm liệu phân loại cấp độ truyền qua đường truyền mã hóa Lưu trữ Mã hóa thông tin thiết bị lưu trữ làm cho mối rủi ro cao hơn, khả chìa khóa trình mã hóa Để bảo vệ bảo mật tính toàn vẹn liệu nhạy cảm, liệu phân loại liệu cấp độ 1, có nhu cầu cần thiết để bảo mật toàn vẹn, phải lưu trữ dạng mã hóa hệ thống sở liệu phương tiện lưu trự dư liệu di động Dữ liệu cấp độ liệu không cần phải lưu trữ mã hóa 8.8.4   BẢO VỆ KHỎI VIRUS Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 14 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   Virus mối đe dọa cho Doanh nghiệp máy tính bị nhiễm virus truyền tải thông tin bí mật đến bên thứ ba cách trái phép, cung cấp tảng cho việc truy cập sử dụng mạng nội trái phép, lây nhiễm thiết bị kết nối mạng khác, gây trở ngại với việc sử dụng dịch vụ CNTT Doanh nghiệp Phần mềm diệt virus cung cấp cho toàn thể cộng đồng Doanh nghiệp để bảo vệ chống lại thiệt hại gây công từ virus Người quản trị mạng có trách nhiệm tạo quy trình việc cung cấp phần mềm anti-virus cập nhật thông tin virus cập nhật nhanh Các Doanh nghiệp có quyền xem xét thiết bị truy cập vào hệ thống mạng (công cộng riêng tư) Doanh nghiệp có quyền từ chối việc truy cập vào hệ thống mạng thiết bị bảo vệ toàn diện hay Doanh nghiệp có quyền vô hiệu hóa truy cập mạng với thiết bị bảo vệ không đầy đủ, bị nhiễm virus Truy cập mạng khôi phục thiết bị xoá khỏi virus phần mềm diệt virus hệ thống điều hành ứng dụng vá lỗi áp dụng cập nhật 8.8.5 SAO LƯU VÀ PHỤC HỒI Tất thông tin điện tử phải lưu vào phương tiện lưu trữ an toàn cách thường xuyên (ví dụ: lưu liệu), với mục đích khôi phục sau cố xảy hoạt động trở lại Kế hoạch lưu phục hồi liệu   đưa yêu cầu tối thiểu cho việc tạo trì lưu Tất lưu phải tuân theo thủ tục sau đây: • Tất liệu tiện ích phải có đầy đủ hệ thống lưu (đảm bảo bao gồm tất vá lỗi, sửa lỗi cập nhật) • Lưu thông tin lưu lưu trữ đâu mà phải bảo quản • Hồ sơ giấy phép phần mềm cần lưu • Các phương tiện lưu trữ dự phòng phải dán nhãn xác theo yêu cầu tối thiểu, dấu hiệu nhận dạng sau dễ dàng hiển thị việc dán nhãn: • • 8.9 • Tên hệ thống • Ngày tạo • Phân loại liệu nhạy cảm (dựa quy định lưu giữ hồ sơ điện tử áp dụng) Bản thiết bị lưu trữ, với lưu trữ lưu, nên lưu trữ cách an toàn nơi cách xa vị trí tại, khoảng cách đủ xa để thoát khỏi thiệt hại từ thiên tai từ khu vực Kiểm tra thường xuyên công việc trình khôi phục liệu / phần mềm từ lưu cần thực để đảm bảo liệu sau lưu sử dụng Doanh nghiệp hợp khẩn cấp Lưu ý: Đối với liệu quan trọng mốc thời gian quan trọng, hệ thống song song (mirror), liệu song song ưu tiên phục hồi trước AN NINH THÔNG TIN HỆ THỐNG VÀ ỨNG DỤNG Quy trình phát triển ứng dụng quan trọng cho toàn vẹn hệ thống Nếu ứng   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 15 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   dụng không phát triển đúng, liệu xử lý theo cách mà toàn vẹn liệu bị hư hỏng Ngoài ra, toàn vẹn phần mềm ứng dụng riêng nên trì, hai điều khoản thời gian kiểm soát thay đổi điều khoản công từ phần mềm độc hại 8.9.1 PHÁT TRIỂN VÀ DUY TRÌ HỆ THỐNG An ninh thông tin xem xét tất giai đoạn chu kỳ hệ thống thông tin để: a) đảm bảo phù hợp với tất yêu cầu an ninh thông tin thích hợp, b) bảo vệ thông tin nhạy cảm suốt trình hoạt động nó, c) tạo thuận lợi cho việc thực hiệu kiểm soát an ninh thông tin, d ) ngăn chặn đời rủi ro hệ thống sửa đổi, e) đảm bảo loại bỏ liệu hệ thống không sử dụng Để đảm bảo hệ thống an ninh thông tin xem xét giai đoạn phát triển bảo trì Doanh nghiệp định nghĩa Systems Development Lifecycle (SDLC) yêu cầu tối thiểu sau cần thiết giai đoạn:: • Giai đoạn khả thi – xem xét mức độ cao để đảm bảo yêu cầu bảo mật an ninh thông tin hỗ trợ Doanh nghiệp • Giai đạn yêu cầu – định nghĩa yêu cầu an ninh thông tin ban đầu kiểm soát để hỗ trợ yêu cầu kinh doanh • Giai đoạn thiết kết – kiểm tra kiểm soát an ninh thông tin cách thích hợp cho sở xác định đảm bảo kiểm soát thay đổi thiết lập sử dụng cho phần lại chù kỳ hoạt động • Giai đoạn phát triển – để kiểm tra xác nhận tất kiểm soát bảo mật thông tin xác định từ giai đoạn thiết kế Lặp lặp lại suốt trình hoạt động • Giai đoạn triển khai – thẩm định cuối quy trình kiểm soát có mức độ thích hợp cho việc giảm nhẹ rủi ro xảy 8.9.2 KIỂM SOÁT SỰ THAY ĐỔI Kiểm soát thay đổi trình mà quản lý sử dụng để xác định, lưu tài liệu thay đổi môi trường CNTT Doanh nghiệp Nó giảm thiểu khả xảy gián đoạn, thay đổi trái phép sai sót xảy Các kiểm soát thay đổi thiết kế với kích thước độ phức tạp môi trường Doanh nghiệp theo tâm lý Ví dụ, ứng dụng phức tạp, trì nhân viên IT lớn đại diện mức độ rủi ro cao đòi hỏi quy trình xác mở rộng so với ứng dụng đơn giản trì nhân viên IT Trong tất Doanh nghiệp hợp, cần xác định rõ người chịu trách nhiệm cho trình kiểm soát thay đổi Doanh nghiệp trình phát triển quy trình quản lý thay đổi theo mức độ Doanh nghiệp với yếu tố sau bao gồm: •   Các yêu cầu bắt đầu kiểm soát – Các yêu cầu để thay đổi phải tiêu chuẩn hoá có đề mục để quản lý Các thay đổi phân loại ưu tiên thủ tục cụ thể đưa để xử lý vấn đề cấp bách Việc thay đổi yêu cầu cần thông báo người yêu cầu Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 16 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013     • Đánh giá tác động - Một thủ tục đặt để đảm bảo tất yêu cầu cho thay đổi đánh giá cách có cấu trúc cho tất tác động có hệ thống hoạt động chức • Kiểm soát lưu tài liệu thay đổi – Sự thay đổi vào hệ thống sản xuất thực cá nhân có thẩm quyền môi Doanh nghiệp có kiểm soát Khi mà trình có khả quay ngược lại phiên trước nên xác định cụ thể Nó quan trọng việc lưu lại thay đổi thực Ít nhật thay đổi đăng nhập nên trì bao gồm: • Một mô tả ngắn gọn chức thay đổi • Ngày thay đổi thực • Ai thực thay đổi • Ai cho phép thay đổi (nếu nhiều cá nhân cho phép thay đổi đó) • Những yếu tố kỹ thuật bị ảnh hưởng thay đổi, ví dụ: module chương trình, bảng sở liệu lĩnh vực, mẫu số liệu… • Lưu tài liệu thủ tục - trình biến đổi quy định có thay đổi hệ thống thực hiện, tài liệu hướng dẫn thủ tục liên quan cập nhật hợp lý với hệ thống • Duy trì việc ủy quyền - nhân viên trì hệ thống có nhiệm vụ cụ thể công việc họ giám sát theo yêu cầu cụ thể Ngoài ra, quyền truy cập hệ thống họ cần phải kiểm soát để tránh nguy truy cập trái phép vào môi Doanh nghiệp hoạt động trình sản xuất • Thử nghiệm ký kết người dùng - Phần mềm kiểm tra kỹ lưỡng, không thay đổi mà tác động vào yếu tố không thay đổi Một tiêu chuẩn hoá xét nghiệm cần phát triển có môi trường Doanh nghiệp thử nghiệm riêng biệt Các kiểm tra tiêu chuẩn giúp xác định yếu tố cốt lõi ứng dụng có bị ảnh hưởng cách vô tình Chủ sở hữu liệu hệ thống nên có trách nhiệm ký, phê duyệt cho việc thực thay đổi • Môi trường Doanh nghiệp thử nghiệm – hệ thống lý tưởng nên có ba môi trường Doanh nghiệp riêng biệt cho trình phát triển, thử nghiệm sản xuất Các trình thử nghiệm sản xuất môi trường Doanh nghiệp nên giống tốt hơn, ngoại trừ kích thước khu vực Nếu chi phí không cung ứng ba môi trường Doanh nghiệp trên, môi trường Doanh nghiệp thử nghiệm phát triển diễn môi trường Doanh nghiệp chung, hoạt động phát triển cần phải quản lý chặt chẽ môi trường Doanh nghiệp thử nghiệm chấp nhận Các mã chưa kiểm tra hay phát triển tồn môi trường Doanh nghiệp sản xuất • Kiểm soát phiên phần mềm - kiểm soát đặt mã nguồn để đảm bảo có phiên cập nhật sử dụng Nếu không, thay đổi trước vô tình bị thay đổi đưa vào sử dụng Kiểm soát phiên phần mềm giúp đỡ việc Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 17 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   quay trở phiên cũ có tác dụng phụ ý muốn xảy • Thay đổi kịp thời - tình khẩn cấp xảy theo yêu cầu đòi hỏi thay đổi chương trình để ghi đè cho phép quyền lập trình truy cập vào hoạt động Tuy nhiên, cần cho phép trước lấy thay đổi phải lưu tài liệu sớm tốt • Phân phối phần mềm - Như thay đổi cần thực hiện, điều quan trọng tất thành phần thay đổi cài đặt vị trí xác kịp thời • Phần cứng phần mềm hệ thống thay đổi - Thay đổi phần cứng phần mềm hệ thống cần kiểm tra cần ủy quyền trước áp dụng cho môi trường Doanh nghiệp hoạt động Những thay đổi cần nên ghi chép nhật ký thay đổi Nếu nhà cung cấp cung cấp vá lỗi, vá lỗi cần xem xét đánh giá tính hoạt động ứng dụng khả tác động để xác định xem sửa lỗi có đạt theo yêu cầu hệ thống 8.10 ĐO LƯỜNG BẢO MẬT VẬT LÝ Kiểm soát bảo mật vật lý khu vực an ninh sử dụng để tối thiểu truy cập trái phép, làm hư hại nhiễu thông tin hệ thống thông tin Bảo mật vật lý có nghĩa cung cấp biện pháp bảo vệ môi Doanh nghiệp việc kiểm soát truy cập vật lý đến thiết bị liệu hệ thống mạng Doanh nghiệp nhằm bảo vệ nguồn tài nguyên CNTT sử dụng trái phép, phần cứng vật lý phương diện liệu 8.10.1 KIỂM SOÁT TRUY CẬP VẬT LÝ Truy cập vào khu vực chưa thông tin nhạy cảm phải bị nghiêm cấm trực tiếp Truy cập vào tất điểm kết nối bên trung tâm liệu bảo vệ chế kiểm soát truy cập điện tử để xác nhận truy cập đảm bảo cá nhân phép nhập truy cập vào liệu Một kiểm tra thông tin tất truy cập phải an toàn trì cho mục đích kiểm tra sau Tất cá nhân có quyền truy cập vào khu vực phải đeo phù hiệu nhận dạng áo để xác thực hình ảnh thông tin phù hiệu người đeo thấy rõ Quyền truy cập vào khu vực an toàn thường xuyên rà soát cập nhật thông tin 8.10.2 QUY TRÌNH CUNG CẤP Các cá nhân có quyền yêu cầu truy cập vào trung tâm liệu theo quy trình có cấu trúc lưu tài liệu cụ thể để đảm bảo tính toàn vẹn liệu cá nhân Các nhân hoạt động trung tâm liệu khách hàng sử dụng sở dịch vụ phải bị đưa khỏi hệ thống không làm việc cho Doanh nghiệp Điều bao gồm thiết bị kiểm soát chế điện tử với việc loại bỏ tất hệ thống, sở liệu, Web portal, loại hình khác chế đăng nhập mà đòi hỏi hoạt động xác thực ủy quyền   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 18 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   8.10.3 KHÁCH VIẾNG THĂM Khách viếng thăm phải xác định với thời điểm tại, hình thức xác định hợp lệ phải trao phù hiệu tạm thời cho phép truy cập đến khu vực định trung tâm liệu Một nhật ký hoạt động giữ lại cho mục đích kiểm soát bảo mật 8.10.4 KÊNH BÁO ĐỘNG VÀ CAMERA QUAN SÁT Tất cửa bên khu vực nhạy cảm sở gắn dây với hệ thống báo động có kết hợp camera an ninh vị trí quan trọng, bên ngoài, trung tâm liệu 8.10.5 DỤNG CỤ KIỂM SOÁT Người sử dụng nguồn lực CNTT định coi người giám sát cho tài nguyên Nếu đồ bị hư hỏng, bị mất, bị đánh cắp, mượn, sẵn cho hoạt động kinh doanh bình thường, người giám sát phải kịp thời thông báo cho người quản lý phận liên quan Các Nguồn tài nguyên CNTT nhạy cảm nằm khu vực mức độ an ninh đảm bảo phải đảm bảo ngăn chặn khỏi can thiệp vật lý, thiệt hại, trộm cắp, truy cập vật lý trái phép Một nơi lưu kho tất thiết bị máy tính truyền thông trì để quán lý thông tin bị hạn chế bí mật Trong Doanh nghiệp trường hợp cụ thể, thiết bị CNTT đánh dấu số hình thức nhận dạng khác nhằm rõ ràng thiết bị tài sản Doanh nghiệp 8.10.6 CHÍNH SÁCH QUẢN LÝ THIẾT BỊ VÀ DỮ LIỆU MÁY TÍNH Xử lý liệu cách phù hợp điều cần thiết để kiểm soát liệu nhạy cảm bao gồm hồ sơ khách hàng, hồ sơ nhân sự, liệu tài thông tin y tế thẻ tín dụng bảo vệ Nếu thông tin hệ thống không loại bỏ trước thiết bị bị loại bỏ, chuyển giao cho Doanh nghiệp, thông tin truy cập xem cá nhân trái phép Phương tiện truyền thông thiết bị chứa thông tin nhạy cảm chuyển đổi phòng ban lấy từ dịch vụ phải làm theo quy trình, tài liệu để đảm bảo tất máy tính phương tiện truyền thông điện tử làm theo quy trình trước xử lý Doanh nghiệp cam kết tuân thủ vấn đề luật pháp liên quan đến việc bảo vệ thông tin bí mật đảm bảo việc tuân thủ thỏa thuận cấp phép phần mềm 8.11 QUY TRÌNH KINH DOANH LIÊN TỤC Doanh nghiệp cung cấp môi trường Doanh nghiệp CNTT an toàn, bảo mật để phục vụ yêu cầu khách hàng, đảm bảo độ ổn định liên tục việc kinh doanh, thúc đẩy tự tin vào khả quy trình để không liên tục cung cấp hàng hoá dịch vụ, mà để phục hồi nhanh chóng từ tai nạn thiên tai giảm tối thiểu gián đoạn 8.11.1 PHÂN TÍCH TÁC ĐỘNG KINH DOANH Một phân tích tác động kinh doanh nên trực quan thành phần hệ thống cụ thể dịch vụ quan trọng mà họ cung cấp, dựa thông tin đó, để mô tả hậu   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 19 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   gián đoạn từ thành phần hệ thống Đây trách nhiệm hai chủ sở hữu liệu liệu giám sát thực nhiệm vụ phân tích tác động kinh doanh phù hợp miêu tả sau Xác định tài nguyên CNTT thông tin quan trọng Chủ sở hữu liệu nhân giám sát người đánh giá hệ thống để xác định chức quan trọng nhằm thực xác định tài nguyên hệ thống cụ thể cần thiết để thực chúng Hai hoạt động cần thiết để hoàn tất bước này: Xác định phối hợp với người sử dụng bên bên liên kết với hệ thống để mô tả cách thức mà họ phụ thuộc vào việc hỗ trợ hệ thống Khi xác định liên lạc, điều quan trọng bao gồm phận cung cấp nhận liệu từ hệ thống liên lạc hỗ trợ từ đâu để hệ thống kết nối với Phối hợp cho phép chủ sở hữu liệu nhân giám sát để mô tả đầy đủ hỗ trợ cung cấp hệ thống, bao gồm an ninh thông tin, quản lý, kỹ thuật, yêu cầu hoạt động Đánh giá hệ thống liên kết dịch vụ quan trọng tài nguyên hệ thống Phân tích thường xác định yêu cầu sở hạ tầng điện, kết nối viễn thông, kiểm soát môi trường Doanh nghiệp Các thiết bị CNTT cụ thể, chẳng hạn máy chủ ứng dụng máy chủ xác thực, thường coi quan trọng Tuy nhiên, phân tích xác định thành phần IT định, chẳng hạn máy in hay máy chủ in, không cần thiết việc hỗ trợ dịch vụ quan trọng Xác định tác động thời gian vượt mức cho phép Chủ sở hữu liệu người giám sát nên phân tích nguồn lực quan trọng xác định bước trước xác định tác động hoạt động CNTT nguồn lực định bị gián đoạn bị hư hỏng Phân tích phải đánh giá tác động việc vượt ngưỡng cho phép ba cách sau đây: Tác dụng vượt ngưỡng cho phép theo dõi theo thời gian Điều cho phép Doanh nghiệp thời gian tối đa cho phép để xác định nguồn tài nguyên sẵn trước ngăn chặn ức chế hoạt động chức cần thiết Tác dụng vượt ngưỡng cho phép theo dõi tài nguyên liên quan hệ thống phụ thuộc, xác định tác dụng tầng xảy hệ thống bị gián đoạn ảnh hưởng đến trình khác mà dựa vào Tác dụng vượt ngưỡng cho phép theo dõi cách sử dụng dòng doanh thu, chi phí, xác định lĩnh vực cần thiết tiền lo ngại gây chậm trễ nỗ lực phục hồi Chủ sở hữu liệu người giám sát xác định điểm tối ưu để phục hồi hệ thống CNTT cách cân chi phí hệ thống có khả tương tác với chi phí nguồn lực cần thiết cho việc khôi phục hệ thống Ưu tiên cho việc triển khai phục hồi Chủ sở hữu liệu người giám sát nên ưu tiên cho việc triển khai phục hồi tài nguyên hệ thống Một quy mô cao, trung bình, thấp nên sử dụng để ưu tiên   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 20 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   nguồn lực Ưu tiên cao dựa cần thiết để khôi phục lại nguồn lực quan trọng thời gian điện cho phép họ; ưu tiên vừa thấp phản ánh yêu cầu để khôi phục khả hoạt động đầy đủ thời gian hồi phục lâu Các tác động vượt ngưỡng cho phép thời gian điện cho phép đặc trưng bước trước cho phép Doanh nghiệp phát triển ưu tiên chiến lược phục hồi mà nhân viên thực kích hoạt kế hoạch dự phòng Ví dụ, bước tác động vượt ngưỡng phải xác định hệ thống phải phục hồi vòng giờ, Doanh nghiệp cần phải áp dụng biện pháp để đáp ứng yêu cầu Tương tự vậy, hầu hết thành phần hệ thống chịu thời gian trì trệ 24 giờ, thành phần quan trọng sẵn vòng giờ, nguồn lực cần thiết cho thành phần quan trọng ưu tiên trước hết Bằng cách ưu tiên chiến lược phục hồi, Doanh nghiệp có định phù hợp liên quan đến việc phân bổ nguồn lực chi phí dự phòng, tiết kiệm thời gian công sức Yêu cầu tài liệu phân tích tác động kinh doanh Chủ sở hữu liệu người giám sát có trách nhiệm trì tài liệu phân tích tác động kinh doanh Một đánh giá định kỳ việc phân tích tác động kinh doanh phải thực chủ sở hữu liệu để đảm bảo tính xác đầy đủ 8.11.2 PHỤC HỒI SAU SỰ CỐ Một kế hoạch khôi phục sau thảm họa định nghĩa trình liên tục việc lập kế hoạch, phát triển thực thủ tục liên quan đến việc phục hồi sau thảm họa quy trình để đảm bảo việc nối lại hiệu chức quan trọng kiện trình gián đoạn đột xuất Có năm cấu phần kế hoạch khôi phục sau thảm họa Các thông báo/kích hoạt, phục hồi, giai đoạn xây dựng lại giải hành động cụ thể mà Doanh nghiệp nên làm theo sau gián đoạn hệ thống Doanh nghiệp hợp khẩn cấp Kế hoạch dự phòng CNTT cần phải rõ ràng, ngắn gọn dễ dàng để thực Doanh nghiệp hợp khẩn cấp Nếu có thể, danh sách bước theo bước thủ tục cần phải sử dụng   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 21 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   Kế hoạch khôi phục sau thảm họa cần phải có thông tin chi tiết làm để tiếp tục hoạt động kinh doanh thực tất nhiệm vụ cần thiết yêu cầu máy tính phần cứng, mạng liệu phục hồi Yêu cầu khả kỹ thuật cần phải ghi chép thiết kế để hỗ trợ hoạt động phù hợp với yêu cầu Doanh nghiệp Có trình tự, hệ thống khôi phục mức độ chức cần phải ghi chép đầy đủ Không phải tất hệ thống cần phải phục hồi lúc khôi phục 100% tình trang ban đầu hệ thống để bắt đầu hoạt động Doanh nghiệp trình phát triển chương trình kế hoạch dự phòng toàn diện Mỗi phận khuôn viên Doanh nghiệp phát triển kế hoạch dự phòng có chứa chi tiết vai trò, trách nhiệm, đội, thủ tục liên quan đến việc khôi phục hệ thống CNTT sau gián đoạn CNTT có xảy 8.12 ỨNG PHÓ CÁC VẤN ĐỀ AN NINH THÔNG TIN Một cố an ninh vi phạm thực tế bị nghi ngờ từ sách bảo mật máy tính, sách sử dụng chấp nhận được, chế bảo mật máy tính tiêu chuẩn Một "sự cố an ninh thông tin” là: • Kết việc lạm dụng thông tin mật (mã số bảo hiểm, thông tin nhân sự, hồ sơ y tế, giao dịch tài chính,…) cá nhân cụ thể • Gây nguy hiểm cho chức sở hạ tầng CNTT Doanh nghiệp Cung cấp truy cập trái phép vào nguồn tài nguyên thông tin Doanh nghiệp •   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 22 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   Khi cố xảy ra, Doanh nghiệp có kế hoạch đối phó (ví dụ: báo cáo, điều tra giải quyết) vụ việc Kế hoạch giúp đảm bảo an toàn, bảo mật, tính sẵn có, tính toàn vẹn thông tin Doanh nghiệp Nếu người dùng cộng đồng Doanh nghiệp bị nghi ngờ sử dụng sai tài sản Doanh nghiệp bị công, người dùng có nghĩa vụ báo cáo việc đến ITSS Nếu bạn nghi ngờ cố bảo mật CNTT, hành động cô lập vấn đề từ liên quan đế hệ thống mạng Doanh nghiệp thực Liên hệ phận quản lý IT nhân hỗ trợ IT Gửi email có liên quan đến vấn đề an ninh thông tin đến địa support@ntt-vietnam.com Email nên chưa nhiều thông tin tốt như: • • • Miêu tả cố Bất hoạt động dùng để kiểm soát hoạt cô lập mối nguy Bất chuyên gia IT liên hệ mối nguy Nếu có máy tính có liên quan: • Tên thiết bị máy tính • Địa IP Internet thời điểm • Hệ điều hành sử dụng (Windows, Mac OS, Linux, etc) • Vị trí địa lý hệ thống kiện Nếu email có liên quan: • Một lưu email có nhiều headers (To, From, Subject, Date) TUÂN THỦ Trên việc triển khai kế hoạch này, ITSS đảm bảo kế hoạch thực hiệu phù hợp với yêu cầu Doanh nghiệp vượt mong đợi với tiêu chuẩn an toàn thông tin 10 CÁC CHÍNH SÁCH VÀ QUY TRÌNH LIÊN QUAN ………… 11 ISP - REVISION HISTORY Revision   Date Description of changes Requested By Rev 2/6/15 Final Version xxx Rev 2/6/15 Updated to reflect new Acceptable Use of Information Technology Resources xxx Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 23 Kế hoạch xây dựng bảo mật hệ thống CNTT- Bản mẫu cung cấp New Technology Telecom Commercial and Investment Corporation (NTT) – ISO 27001:2013   THÔNG TIN LIÊN HỆ Tên tiếng Việt: CÔNG TY CỔ PHẦN THƯƠNG MẠI - ĐẦU TƯ CÔNG NGHỆ VIỄN THÔNG MỚI Tên tiếng Anh: NEW TECHNOLOGY TELECOM COMMERCIAL AND INVESTMENT CORPORATION Địa chỉ: Lầu 1, Tòa nhà Tiến Thịnh, 135B Điện Biên Phủ, P.15 Q Bình Thạnh, Tp HCM Văn phòng kỹ thuật Hà Nội, Đà Nẵng Cần Thơ Tel : (+84.8)3514 0663 Fax : (+84.8) 6255 6604 Email : info@ntt-vietnam.com Website : www.ntt-vietnam.com |   Information Security Plan- Tài liệu tham khảo Rev: 010615- New Technology Telecom Corporation www.ntt-vietnam.com Page 24