1 MỤC LỤC MỤC LỤC .1 I.Tài sản thông tin doanh nghiệp .3 1.Định nghĩa 2.Phân loại II.Quản lý rủi ro thông tin 1.Định nghĩa 2.Những người liên quan đến quản lý rủi ro thông tin 3.Thẩm định rủi ro III.Bảo mật thông tin doanh nghiệp 1.Bảo mật thông tin .7 2.Sự cần thiết Bảo mật thông tin 3.Đánh giá nhu cầu bảo vệ thông tin 4.Mục đích bảo mật thơng tin 5.Các biến cố bảo mật thông tin .9 IV.Một số biện pháp bảo mật thông tin 1.Xử lý lưu trữ giấy tờ, tư liệu phương tiện truyền thơng hữu hình 2.Xử lý lưu trữ thông tin hệ thống ICT 10 3.Sao lưu thông tin .11 4.Hủy thông tin 11 Hủy tái sử dụng thiết bị phương tiện truyền thông 12 Trao đổi thông tin (gồm việc sử dụng internet mạng truy cập công cộng khác) 12 Thiết bị tin học, điện thoại di động thiết bị ngồi văn phòng 13 Bưu dịch vụ chuyển phát 13 Chính sách bảo mật thơng tin 13 KẾT LUẬN 15 Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp MỞ ĐẦU Trong kinh tế toàn cầu hóa vấn đề thơng tin xem sống doanh nghiệp Thông tin coi tài sản quan trọng doanh nghiệp Tuy nhiên, nhiều doanh nghiệp chưa nhận thức tầm quan trọng vấn đề quản lý rủi ro tài sản thông tin - mà quan trọng bảo mật thông tin nguy xảy từ việc rò rỉ thơng tin nội doanh nghiệp Theo số liệu thống kê vấn đề bảo mật thông tin Tổ chức chứng nhận TÜVRheinland Việt Nam cho biết, năm có 15.000 hồ sơ bệnh viện bị tìm thấy thùng rác, 30.000 mật tài khoản Internet bị cơng bố mạng, 25 người từ phòng phát triển kinh doanh công ty chuyển sang công ty đối thủ, ngân hàng phải trả hàng triệu USD bị công vào hệ thống giao dịch nghiệp vụ 300.000 số tài khoản tín dụng cá nhân bị trộm, số bị công bố Web Theo khảo sát vấn đề bảo mật thông tin tổ chức nghiên cứu thị trường EY, có 66% cơng ty hỏi cho biết họ gặp vấn đề bảo mật thông tin, 65% bị công nhân viên nội bộ, 49% chưa xem bảo mật thông tin ưu tiên hàng đầu, 40% không nghiên cứu vấn đề rủi ro bảo mật Trong đó, với lĩnh vực quan trọng, có khả bị ảnh hưởng lớn rò rỉ thơng tin mang lại vừa nêu chưa có đầu tư cân xứng cho bảo mật thông tin Trong quản lý bảo mật thông tin nay, vấn đề đặt Bảo mật thông tin thách thức quản lý hay vấn đề kỹ thuật, công nghệ? Thực chất 80% thuộc quản lý Vấn đề quản lý phải hiểu bao gồm sách bảo mật thơng tin, vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức huấn luyện bảo mật thông tin, hoạch định đảm bảo việc kinh doanh liên tục Chỉ có 20% vấn đề kỹ thuật gồm hệ thống, công cụ, cấu trúc v.v Bảo mật thông tin phải xem xét trách nhiệm quản lý kinh doanh, không đơn giản yếu tố kỹ thuật cần giao cho chuyên gia công nghệ hay phận IT Để bảo đảm bảo mật kinh doanh, doanh nghiệp phải hiểu biết vấn đề giải pháp cho vấn đề Rủi ro bảo hiểm I Quản lý rủi ro tài sản thông tin doanh nghiệp Tài sản thông tin doanh nghiệp Định nghĩa Thông tin tạo ra, sử dụng, lưu trữ truyền đạt doanh nghiệp tài sản quan trọng doanh nghiệp Tài sản thông tin doanh nghiệp tập hợp liệu coi có giá trị doanh nghiệp việc thực chức đáp ứng yêu cầu doanh nghiệp Các tài sản thơng tin tài liệu, thư điện tử, hình ảnh, dòng sở liệu (dạng bảng, biểu…), tập hợp siêu liệu, bảng số tài liệu… Một số tài sản thông tin cần có bảo vệ: - Các hồ sơ doanh nghiệp (tài khoản công ty, báo cáo thuế thuế GTGT…) - Hồ sơ cá nhân - Thông tin khách hàng - Sở hữu trí tuệ (thiết kế, thơng số kỹ thuật, kết nghiên cứu…) - Hồ sơ y tế Phân loại Không phải tất thông tin có giá trị tầm quan trọng cơng ty, thơng tin cần phân loại bảo vệ nhiều mức khác Việc phân loại tài sản thông tin quan trọng để đảm bảo tài sản bảo vệ mức tương ứng với mức độ nhạy cảm giá trị tài sản thông tin Tài sản thơng tin phân loại theo số cách sau: 1.1 Phân loại theo mức độ sẵn sàng: - Sẵn sàng (Thường xuyên): Thông tin dịch vụ phục vụ cho trình hoạt động doanh nghiệp phải có vòng 12-48 - Sẵn sàng trung bình (Ưu tiên): Thơng tin dịch vụ phục vụ cho trình hoạt động doanh nghiệp phải có vòng 12 - Sẵn sàng cao (Ưu tiên cao): Thông tin dịch vụ phục vụ cho trình hoạt động doanh nghiệp phải có vòng 2-3 - Sẵn sàng cao (Ngay lập tức): Thông tin dịch vụ phục vụ cho trình hoạt động doanh nghiệp phải sẵn sàng lúc Rủi ro bảo hiểm 1.2 Quản lý rủi ro tài sản thông tin doanh nghiệp Phân loại theo mức độ bảo mật: Mức độ bảo mật xác định nhằm phản ánh độ nhạy cảm tài sản thông tin ảnh hưởng việc tiết lộ thông tin trái phép sau: - Thơng tin có sẵn phép công khai: thông tin mà bị tiết lộ không gây hại cho công ty VD: Các thông tin xuất website doanh nghiệp, phương tiện bán hàng marketing, phát biểu công khai hướng dẫn sử dụng sản phẩm - Thông tin “chỉ dùng nội bộ”: thông tin mà nhân viên công ty tiếp cận được, phải cho phép tiết lộ ngồi Việc cơng bố mát thông tin không gây trở ngại, có số tác động đáng kể doanh nghiệp - Thơng tin bảo mật: thơng tin có tính nhạy cảm thương mại việc tiết lộ mát thơng tin có ảnh hưởng lớn đến doanh nghiệp Ảnh hưởng đến tài ảnh hưởng đến lợi nhuận, lợi cạnh tranh hội kinh doanh làm uy tín doanh nghiệp - Thơng tin đảm bảo tuyệt mật: thơng tin có tính nhạy cảm thương mại việc tiết lộ mát thơng tin có ảnh hưởng lớn đến doanh nghiệp Một lần nữa, ảnh hưởng mặt tài doanh nghiệp ảnh hưởng đến lợi nhuận, lợi cạnh tranh hội kinh doanh làm uy tín doanh nghiệp, nhiên mát hậu dù có tính chất - vô nghiêm trọng Thông tin coi “Bảo mật” “Bảo đảm tuyệt mật” như: + Chiến lược đầu tư + Thông tin tiếp thị + Đánh giá đối thủ cạnh tranh + Thông tin cá nhân + Thông tin khách hàng + Thông tin sát nhập, thoái vốn mua lại + Chiến lược cạnh tranh kinh doanh mức độ cao + Thẩm định đối thủ cạnh tranh, đối tác nhà thầu vô nhạy cảm + Các kế hoạch kinh doanh mức độ cao lựa chọn tiềm Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp + Thông tin quyền/sáng chế 1.3 Phân loại theo cấu trúc thông tin Thông tin doanh nghiệp sở hữu thơng tin từ bên ngồi mà doanh nghiệp truy cập vào có nhiều dạng khác thường định dạng số hoá để lưu trữ truyền - Dữ liệu cấu trúc Các liệu lưu giữ sở liệu thường dùng để hỗ trợ cho hoạt động điều hành giao dịch kinh doanh Các sở liệu bao gồm ghi cấu trúc chứa chi tiết chủ đề liên quan đến kinh doanh khách hàng, tình hình tài chính, cơng ty nguồn lực khác doanh nghiệp - Các liệu chưa cấu trúc Những liệu loại bao gồm hình, ảnh, đồ, thu âm video Trong lĩnh vực công cộng, nhiều loại tài liệu dạng giấy tờ lưu trữ tệp chuyển thành phần ghi - Thông tin tham khảo thư viện Các thư viện cung cấp nhiều nguồn thông tin khác ngày nhiều, bao gồm catogue, sở liệu thương mại, dịch vụ cung cấp thông tin trực tuyến dịch vụ Internet Ngồi ra, doanh nghiệp có thơng tin đặc trưng theo khu vực ảnh hưởng đến mức độ phân chia trên, số loại thông tin thông tin/dữ liệu cá nhân Đây thông tin người lao động, khách hàng cá nhân khác Việc tiết lộ thơng tin có hậu pháp luật nghiêm trọng 1.4 Hạ cấp thông tin - Một số thơng tin mang tính quan trọng nhạy cảm khoảng thời gian xác định Trong trường hợp vậy, người tạo thông tin nên ngày kiện mà sau thơng tin xuống cấp thấp Điều tránh việc bảo vệ thông tin không cần thiết II Quản lý rủi ro thông tin Định nghĩa Cụm từ “rủi ro thông tin” (information risk) thường dùng với hai nghĩa khác nhau: - Rủi ro việc truyền tin bảo vệ tin (khỏi bị sai lệch, đánh cắp, …), hiểu thông tin từ bên tổ chức - Rủi ro việc tiếp nhận thông tin, hiểu thông tin từ bên Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp Quản lý rủi ro: Quản lý rủi ro gồm loạt hoạt động doanh nghiệp định hướng đến việc đánh giá giải rủi ro Lưu ý: Quản lý rủi ro thường gồm đánh giá rủi ro, giải rủi ro, chấp nhận rủi ro trao đổi rủi ro (trao đổi chia sẻ thông tin rủi ro người đưa định người liên quan khác) (Iso 73:2002) Quản lý rủi ro thơng tin thích ứng với trình chung quản lý rủi ro áp dụng trình quản lý rủi ro chung tính sẵn sàng, tính trọn vẹn tính bảo mật tài sản thông tin môi trường thông tin Quản lý rủi ro thông tin cần đưa vào tất định hoạt động hàng ngày doanh nghiệp sử dụng hiệu công cụ để quản lý thông tin cách chủ động Những người liên quan đến quản lý rủi ro thông tin - Người sở hữu thông tin, chịu trách nhiệm mục tin cụ thể tính xác, sẵn sàng để sử dụng bảo mật thơng tin - Người chăm sóc thơng tin, chịu trách nhiệm bảo trì thiết bị truyền thơng tin vấn đề liên quan tới công nghệ thông tin - Người sử dụng (trong tổ chức) truy cập sử dụng thông tin người sở hữu thông tin định người chăm sóc thơng tin cho phép Thẩm định rủi ro Đánh giá rủi ro đánh giá nguy cơ, tổn hại ảnh hưởng thông tin phương tiện xử lý thông tin khả xảy chúng Thẩm định rủi ro trình tổng thể việc nhận diện rủi ro, phân tích rủi ro đánh giá rủi ro Rủi ro Bảo mật thông tin đánh giá nội dung sau: 1.1 Tài sản thông tin: Tài sản thơng tin có tầm quan trọng, độ hữu dụng giá trị doanh nghiệp? 1.2 Nguy Nguy nguyên nhân tiềm biến cố không mong muốn mà xảy gây hại đến hệ thống doanh nghiệp Những nguy gây hư hỏng, thiệt hại mát thông tin doanh nghiệp? Khả xảy nào? Nguy hình thức sau: Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp - Lỗi hệ thống - Sự không chấp hành nhân viên - Sự truy cập không phép đối thủ cạnh tranh - Phần mềm công độc hại - Hành vi trộm cắp máy tính xách tay - Gian lận lừa đảo - Hành vi trộm cắp trực tuyến giả mạo - Đánh cắp nhận dạng 1.3 Tính tổn thương Tính tổn thương điểm yếu tài sản nhóm tài sản mà có nguy bị xâm hại Tài sản thông tin doanh nghiệp dễ bị tổn thương đâu sao? Nó bị tổn hại nào? Một số tổn hại xảy ra: - Thiếu qui trình hướng dẫn hiệu việc xử lý thông tin - Thiếu đào tạo cho người sử dụng nhận thức người sử dụng - Việc kiểm sốt truy cập vào hệ thống Cơng nghệ thông tin yếu - Không phân bổ trách nhiệm - Khơng có lưu thơng tin 1.4 Ảnh hưởng Điều ảnh hưởng đến tính trọn vẹn, tính sẵn sàng và/hoặc tính bảo mật tài sản nguy xảy ra? Q trình đánh giá rủi ro thực hành tốt doanh nghiệp Nó sở việc phân loại phân cấp tài sản thông tin sử dụng để xác định cấp độ phân loại Bằng cách đánh giá khía cạnh này, doanh nghiệp có hình dung nguy thông tin doanh nghiệp rủi ro kinh doanh doanh nghiệp III Bảo mật thông tin doanh nghiệp Bảo mật thông tin Bảo mật thơng tin trì tính bảo mật, tính trọn vẹn tính sẵn sàng thơng tin - Tính bảo mật: đảm bảo thơng tin tiếp cận người cấp quyền tương ứng Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp - Tính trọn vẹn: bảo vệ xác, hồn chỉnh thông tin thông tin thay đổi người cấp quyền - Tính sẵn sàng: người quyền sử dụng truy xuất thông tin họ cần Sự cần thiết Bảo mật thông tin Trong năm gần đây, nở rộ hệ thống mạng lưới thông tin kết nối với khiến cho doanh nghiệp xao nhãng việc bảo vệ thông tin Các doanh nghiệp khơng thể dự đốn đối tác thương mại bên thứ bảo vệ thông tin họ Tất doanh nghiệp thu thập tạo thơng tin sống hoạt động phát triển doanh nghiệp VD liệu loại khách hàng nhà cung cấp thông tin liên quan đến sản phẩm, chế biến, hoạt động doanh nghiệp kế hoạch Sự bảo vệ nguồn thông tin doanh nghiệp sống phát triển doanh nghiệp phù hợp với yêu cầu qui định, luật pháp, thỏa thuận hợp đồng Vì lý này, thơng tin coi tài sản quan trọng doanh nghiệp cần quản lý hiệu Vì vậy, cần thiết doanh nghiệp đòi hỏi tài sản thơng tin giữ bí mật cần, sẵn sàng cần dùng bảo vệ khỏi hư hại, phá hỏng, mát Tài sản thơng tin dạng báo cáo giấy, thông tin điện tử sở hữu trí tuệ đầu cá nhân Dù dạng nào, doanh nghiệp phải cân nhắc biện pháp tốt để bảo vệ an tồn tài sản thơng tin Đánh giá nhu cầu bảo vệ thơng tin Các biện pháp kiểm sốt an ninh mà doanh nghiệp thực để bảo vệ tài sản đáng, thiết thực cần thiết Khi đánh giá nhu cầu bảo vệ thông tin nguồn lực cần thiết để triển khai công tác bảo vệ phù hợp phải cân rủi ro tài sản doanh nghiệp có Q trình kiểm kê tài sản tồn kho khía cạnh quan trọng quản lý rủi ro Mục đích bảo mật thông tin - Giảm thiểu rủi ro thiệt hại uy tín, lợi nhuận lợi ích doanh nghiệp việc mát hư hại đến thông tin nhạy cảm quan trọng Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp - Giảm thiểu rủi ro lúng túng tổn thất doanh nghiệp phát sinh từ việc mát thiệt hại thông tin nhạy cảm quan trọng doanh nghiệp khác - Tăng tự tin quan hệ thương mại xếp vấn đề doanh nghiệp Các biến cố bảo mật thông tin Biến cố Bảo mật thông tin nhiều kiện không mong muốn khơng dự đốn mà có nhiều khả ảnh hưởng đến hoạt động doanh nghiệp đe dọa Bảo mật thơng tin (ISO/IEC 18044:2004) Một vài ví dụ biến cố Bảo mật thông tin: - Mất mát dịch vụ, thiết bị - Hệ thống gặp cố tải - Lỗi người - Gian lận - Không tuân thủ qui định dẫn - Vi phạm thỏa thuận an ninh - Sự thay đổi hệ thống không kiểm soát - Sự cố phần cứng phần mềm - Vi phạm truy cập IV Một số biện pháp bảo mật thông tin Xử lý lưu trữ giấy tờ, tư liệu phương tiện truyền thơng hữu hình Mục đích: Để ngăn chặn việc truy cập trái phép, thiệt hại can thiệp đến giấy tờ phương tiện truyền thông Việc bảo vệ nên tương xứng với rủi ro mà doanh nghiệp phải đối mặt mức độ phân loại thông tin (ISO / IEC 17799:2000 khoản 7.1 -7.3) 1.1 Tính trọn vẹn sẵn sàng: - Thường xuyên bảo dưỡng kiểm tra phương tiện lưu trữ - Thực thủ tục xử lý thích hợp giấy tờ phương tiện truyền thông chứa thông tin phân loại độ trọn vẹn và/hoặc tính sẵn sàng mức trung bình 1.2 - Tính bảo mật: Kiểm sốt vào để bảo vệ tòa nhà văn phòng Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp - Bảo vệ khu vực làm việc cá nhân, phòng sở vật chất khác - Sử dụng khóa tủ, ngăn kéo két sắt để đảm bảo tư liệu lưu trữ cách an tồn khơng sử dụng - Có nội qui gọn gàng cất giấy tờ phương tiện truyền thông không cần dùng cuối ngày - Có nội qui làm quan sát trái phép - Phân tách giấy tờ cấp phân loại khác để đảm bảo thơng tin tuyệt mật khơng vơ tình bị lẫn vào với thơng tin nhạy cảm - Đảm bảo người dùng có quyền đặc quyền thích hợp để truy cập vào thông tin (tùy thuộc vào mức độ phân loại) hình để đảm bảo tư liệu khơng Xử lý lưu trữ thông tin hệ thống ICT Mục đích: Để kiểm sốt việc truy cập thơng tin lưu trữ xử lý hệ thống ICT Một hệ thống công nghệ thông tin (ICT) tập hợp bao gồm phần cứng, phần mềm, liệu người sử dụng chúng Nó thường bao gồm cơng nghệ truyền thơng, chẳng hạn Internet 2.1 Tính trọn vẹn: - Kiểm soát truy cập (để kiểm soát việc truy cập vào chức hệ thống ứng dụng quyền sử dụng đọc, viết, xóa, xử lý) để đảm bảo người có thẩm quyền sửa chữa thơng tin - Đảm bảo liệu đầu vào xác đầy đủ - Áp dụng kiểm soát chống lại phần mềm độc hại để bảo vệ trọn vẹn thơng tin 2.2 Tính sẵn sàng: - Kiểm sốt truy cập (để kiểm soát việc truy cập vào chức hệ thống ứng dụng quyền sử dụng đọc, viết, xóa, xử lý) cần phải đồng với sách kiểm sốt truy cập doanh nghiệp phép người có thẩm quyền truy cập để đảm bảo người có thẩm quyền xóa thơng tin - Kiểm sốt phần mềm độc hại - Kiểm sốt thơng tin hỗ trợ để đảm bảo tính sẵn sàng thơng tin 2.3 - Tính bảo mật: Kiểm sốt truy cập (để kiểm soát việc truy cập vào chức hệ thống ứng dụng quyền sử dụng đọc, viết, xóa, xử lý) cần phải 10 Rủi ro bảo hiểm Quản lý rủi ro tài sản thơng tin doanh nghiệp đồng với sách kiểm soát truy cập doanh nghiệp để đảm bảo người có thẩm quyền truy cập thông tin - bảo vệ đầu từ hệ thống ứng dụng (VD: in) phù hợp với mức độ phân loại thông tin - Thường xuyên đánh giá lại danh sách gửi để đảm bảo cập nhật trì thơng tin cũ Sao lưu thơng tin Mục đích: Để trì tính trọn vẹn tính sẵn sàng thơng tin Các kiểm sốt thơng thường: - Thường xuyên lưu thông tin nhạy cảm và/hoặc quan trọng - Thông tin lưu cần bảo vệ mức độ thích chống lại truy cập trái phép rủi ro từ môi trường - Đảm bảo việc bảo vệ thông tin lưu phù hợp với tiêu chuẩn áp dụng với thông tin gốc - Lưu trữ mức tối thiểu thông tin lưu (cũng hồ sơ xác đầy đủ sao) địa điểm xa - Các phương tiện sở vật chất cần cung cấp thường xuyên kiểm tra để đảm bảo tất thông tin kinh doanh quan trọng phục hồi sau lỗi hệ thống - Thao tác lưu phục hồi phải sẵn sàng cần thường xuyên kiểm tra để đảm bảo chúng có hiệu lực hợp Hủy thơng tin Mục đích: Để tránh mát, hư hỏng nguy tài sản 4.1 Tính trọn vẹn sẵn sàng Các kiểm sốt thơng thường: - Thơng tin đem hủy phải xác định rõ ràng phải đồng ý cấp có thẩm quyền trước hủy - Cần làm hồ sơ tất tư liệu lý 4.2 Tính bảo mật Các kiểm sốt thơng thường: - Xử lý chất thải văn phòng, sử dụng cơng ty xử lý chấp thuận - Hủy cách cắt nhỏ, tiêu hủy, đốt cháy xay nhỏ… phải thực người đáng tin cậy phê duyệt 11 Rủi ro bảo hiểm - Quản lý rủi ro tài sản thông tin doanh nghiệp Xóa tập tin hình máy tính, máy tính xách tay thiết bị khác (bao gồm lưu) cách sử dụng tiện ích xóa để ghi đè lên Hủy tái sử dụng thiết bị phương tiện truyền thơng 5.1 Tính trọn vẹn sẵn sàng - Nếu thiết bị lưu trữ bị hỏng có chứa liệu nhạy cảm cần cân nhắc kỹ việc phá hủy, thải bỏ, sửa chữa tái sử dụng - Kiểm tra thiết bị phương tiện truyền thông trước tái sử dụng đảm bảo chức hoạt động tin cậy 5.2 Tính bảo mật - Hủy thiết bị thiết bị lưu trữ (thông tin nhạy cảm nên phá hủy ghi đè khơng sử dụng chức xóa thơng thường) - Ghi đè lên phương tiện truyền thông di động trước sử dụng lại - Ghi đè lên đĩa cứng trước từ bỏ kiểm soát hệ thống CNTT - Dùng công ty phê duyệt để phá hủy phương tiện truyền thông mà ghi đè, bị hư hỏng - Đảm bảo tất hình ảnh, lưu trữ bị hủy bảo vệ cách thích hợp sau loại bỏ sổ đăng ký tài sản Trao đổi thông tin (gồm việc sử dụng internet mạng truy cập công cộng khác) 6.1 Tính trọn vẹn sẵn sàng - Kiểm tra tính tồn vẹn giao dịch trực tuyến VD: sử dụng chữ ký điện tử - Kiểm tra tính tồn vẹn thông tin xuất điện tử (VD: mạng Internet) trước xuất bản, đảm bảo thông tin xuất sau ủy quyền thích hợp - Kiểm tra tính tồn vẹn thơng tin xuất điện tử (VD: mạng Internet) cách thường xuyên tính xác đầy đủ 6.2 Tính bảo mật - Bảo vệ phương tiện truyền thông chống lại truy cập trái phép, sử dụng sai q trình vận chuyển ngồi cơng ty - Bảo vệ hệ thống nội từ kết nối hệ thống mạng bên cách sử dụng cấu hình thích hợp trì tường lửa 12 Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp - Đảm bảo thông tin nhạy cảm quan trọng không lưu trữ hệ thống công nghệ thông tin kết nối với mạng internet mạng truy cập công cộng (tức mạng khơng kiểm sốt tin tưởng) - Chỉ gửi thông tin nhạy cảm qua internet mạng truy cập cơng cộng hình thức mã hóa - Mã hóa giao dịch trực tuyến Thiết bị tin học, điện thoại di động thiết bị văn phòng - Cảnh báo nhân viên khơng thảo luận thơng tin có tính chất nhạy cảm quan trọng nơi công cộng để tránh bị nghe chặn VD: Khi sử dụng điện thoại di động, du lịch với đồng nghiệp, họp hội nghị ngồi cơng ty - Đảm bảo việc bảo mật thông tin thiết bị bên tương đương với thiết bị công ty cấp độ phân loại thơng tin, cần tính đến rủi ro làm việc bên ngồi cơng ty Ví dụ: tài liệu, máy tính xách tay thiết bị tin học di động khác nên khóa khách sạn phải kiểm soát lúc - Bảo vệ việc kết nối thiết bị di động với mạng công ty qua việc sử dụng nhận dạng người dùng xác thực Bưu dịch vụ chuyển phát Mục đích: Để đảm bảo việc bảo vệ thông tin gửi qua đường bưu điện, tránh tiết lộ, trộm cắp, thiệt hại, lạm dụng tham nhũng thông tin vận chuyển - Sử dụng dịch vụ chuyển phát nhanh đáng tin cậy sử dụng bao bì khó truy cập - Yêu cầu người nhận xác minh nhận để tránh phong bì bao bì bị giả mạo Chính sách bảo mật thơng tin Các cơng ty cần phải có sách thể cam kết quản lý cách tiếp cận để quản lý việc bảo mật thơng tin bảo vệ tài sản thông tin Chính sách cần bao gồm tất loại thông tin áp dụng cho thông tin thuộc sở hữu công ty thuộc sở hữu cơng ty khác có quản lý cơng ty Nội dung sách: 13 Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp - Lập báo cáo mục tiêu doanh nghiệp, phạm vi tầm quan trọng bảo mật thông tin để làm chế chia sẻ thông tin doanh nghiệp - Xác định nguồn bảo mật cần thiết - Xác định rõ trách nhiệm việc bảo mật thông tin - Tạo khuôn khổ cho việc quản lý rủi ro thiết lập mục tiêu kiểm soát biện pháp kiểm soát tương ứng với rủi ro đánh giá - Đảm bảo giám sát báo cáo thường xuyên cố việc thực bảo mật - Chỉ định riêng người chịu trách nhiệm quản lý việc bảo mật thông tin để trì sách hướng dẫn biện pháp an ninh - Đảm bảo xây dựng tiêu chuẩn an ninh rõ ràng đơn giản nhân viên phải thực theo 14 Rủi ro bảo hiểm Quản lý rủi ro tài sản thông tin doanh nghiệp KẾT LUẬN Thông tin nguồn lực then chốt tổ chức với nguồn nhân lực, tài nguồn lực hữu hình khác Thơng tin vấn đề kinh doanh Bảo mật thông tin vấn đề sống doanh nghiệp Việc áp dụng biện pháp quản lý bảo mật thông tin việc làm quan trọng doanh nghiệp thời kỳ kinh tế hội nhập toàn cầu hóa Bảo mật thơng tin khơng nhằm bảo đảm bảo vệ hệ thống sở hạ tầng công nghệ thông tin thông qua việc áp dụng giải pháp công nghệ cao tiên tiến, vấn đề quản lý bảo mật thông tin nhân sự, sách hệ thống quản lý phải áp dụng Thông qua việc quản trị có hiệu nguồn thơng tin bảo mật hệ thống thơng tin mình, doanh nghiệp giảm thiểu rủi ro hoạt động, giảm chi phí trình hoạt động cung cấp dịch vụ, tăng thêm giá trị cho dịch vụ cung cấp tới khách hàng, tăng hiệu sản xuất kinh doanh 15 ... mật kinh doanh, doanh nghiệp phải hiểu biết vấn đề giải pháp cho vấn đề Rủi ro bảo hiểm I Quản lý rủi ro tài sản thông tin doanh nghiệp Tài sản thông tin doanh nghiệp Định nghĩa Thông tin tạo... sản thông tin doanh nghiệp Quản lý rủi ro: Quản lý rủi ro gồm loạt hoạt động doanh nghiệp định hướng đến việc đánh giá giải rủi ro Lưu ý: Quản lý rủi ro thường gồm đánh giá rủi ro, giải rủi ro, ... đạt doanh nghiệp tài sản quan trọng doanh nghiệp Tài sản thông tin doanh nghiệp tập hợp liệu coi có giá trị doanh nghiệp việc thực chức đáp ứng yêu cầu doanh nghiệp Các tài sản thơng tin tài