Đề tài: CÁC CÔNG CỤ AN TOÀN THÔNG TIN VÀ QUÁ TRÌNH XỬ LÝ THÔNG TIN, môn: QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN. Ngành: an toàn thông tin. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy cần đòi hỏi có những công cụ bảo mật để chống lại các tấn công.
1 BAN CƠ YẾU CHÍNH PHỦ Lời nói đầu HỌC VIỆN KỸ THUẬT MẬT MÃ Cùng với phát triển doanh nghiệp đòi hỏi ngày cao môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thơng tin cho nhiều đối tượng khác qua Internet hay Intranet Việc mát, rò rỉ thơng tin ảnh hưởng nghiêm trọng đến tài chính, danh tiếng cơng ty quan hệ với khách hàng Các phương thức công thông qua mạng ngày tinh vi, phức tạp dẫn đến mát thơng tin, chí làm sụp đổ hồn tồn hệ thống thơng tin doanh nghiệp Vì cần đòi hỏi có cơng cụ bảo mật để chống lại công Nội dung báo cáo bao gồm chương: Chương 1: Các công cụ bảo mật thông tin Chương 2: Xử lý thơng tin Chương 3: KếtBÀI luận.TẬP LỚN MƠN QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN ĐỀ TÀI: CÁC CƠNG CỤ AN TỒN THƠNG TIN VÀ Q TRÌNH XỬ LÝ THƠNG TIN Giảng viên hướng dẫn: Trần Thị Xuyên Họ tên học viên: Đỗ Đức Thành Nguyễn Văn Minh Nguyễn Quang Tuấn Lớp: L03 Mục Lục THÔNG TIN Giới thiệu Chủ sở hữu thơng tin có trách nhiệm quản lý tính bảo mật (tiết lộ), tính tồn vẹn tính sẵn có thơng tin mà h ọ tạo ho ặc qu ản lý Đối với thông tin xử lý phương tiện điện tử (như máy tính, điện thoại fax…), nhà cung cấp dịch vụ phải có cơng c ụ sẵn có cho chủ sở hữu sử dụng để thực chức Đối với phương tiện không điện tử ( chẳng hạn bi ểu mẫu giấy, ghi nhớ, báo cáo, v.v…), chủ sở hữu thơng tin có trách nhi ệm th ực xếp để người khác thực hiện, kiểm soát phù h ợp để đảm bảo an tồn thơng tin thỏa đáng Có khu vực kiểm sốt chủ yếu để chủ sở hữu thơng tin cân nh ắc bảo vệ thông tin: Quyền truy cập, Kiểm soát truy cập, Sao lưu/Phục hồi Bảo mật thông tin Ủy quyền truy cập Đề xuất sách • Chủ sở hữu thơng tin có trách nhiệm xác định quyền truy cập Đề xuất tiêu chuẩn • Trách nhiệm chủ sở hữu thông tin xác định tài sản thông tin tạo quản lý, cách chúng bảo v ệ, phép truy cập điều kiện Thảo luận • • • Để có thơng tin có giá trị, cần phải có sẵn có tính tồn vẹn Để có thơng tin có giá trị tối đa, cần phải có th ể truy c ập cho người cần ngược lại, không th ể tiếp cận với người khơng cần kinh doanh Ngồi ra, để trì giá trị nó, khả tiếp cận c ần phải điều chỉnh cho người sử dụng để cung cấp mức độ truy cập cần thiết để thực cơng việc • Hầu hết cần tham khảo đọc thông tin, l ựa chọn người khác, người có trách nhiệm giữ thơng tin cập nhật, cần phải sửa đổi Sự cho phép truy cập thiết kế phù hợp giúp bảo vệ giá trị thơng tin Kiểm sốt truy cập Đề xuất sách • Quyền kiểm sốt truy cập chủ sở hữu quy định, trách nhiệm người quản lý thơng tin Đề xuất tiêu chuẩn • • • Mỗi người dùng phải có định dạnh (userid) hệ thống máy tính cơng ty mơi trường mạng để xác th ực danh tính người dùng; nhận định danh nh ất, đại diện cho người dùng Định danh thường phân loại để sử dụng nội Định danh người sử dụng (userid) phải định dạng X9999 nhân viên C9999 nhân viên hợp đồng Đối v ới hoạt động phi máy tính, chương trình nhận dạng cá nhân tương tự thích hợp Đối với hệ thống dựa máy tính, người dùng ph ải có userid chứa mật bảo mật để xác thực danh tính Những mật nên: • Được giữ bí mật khơng chia sẻ • Khơng hiển thị lưu trữ văn d ễ đ ọc • Thay đổi 90 ngày lần • Tối thiểu năm ký tự • Đối với hệ thống khơng dựa máy tính, phải th ực thủ tục phù hợp để trì tính tồn vẹn q trình xác thực người dùng Thảo luận • Thứ nhất, hệ thống cung cấp tính bảo mật cho tài sản doanh nghiệp (dù máy tính hay tay) ch ỉ cho phép nhân viên có nhu cầu kinh doanh tiếp c ận Quá trình thực cách xác định ủy quy ền Nhận dạng cách mà nhân viên nói với hệ thống người (ví dụ: máy tính, thư thoại, nhắn tin điện tử, v.v ) • Thứ hai, người dùng cung cấp chứng định danh phù hợp với Chứng thực biết đến nh mật đại diện cho an toàn giao tiếp người dùng hệ thống • • Cùng với userid, hai yếu tố cho phép ủy quy ền người sử dụng truy cập vào hệ thống máy tính khác thơng tin Bởi mật cho phép quyền truy cập vào ứng dụng thông tin mà cá nhân cụ thể dã chập thuận, mật nên là: • Giữ bí mật (khơng chia sẻ mật với người khác) • Khó nhận biết người xung quanh bạn (ví dụ: khơng có tên vợ chồng, cái, sở thích, biến thể tên, nhà ở, địa chỉ, vv) • Sự kết hợp số chữ Quá trình xác định chứng thực phát triển để đảm bảo trách nhiệm cá nhân Bằng cách đảm bảo m ỗi người dùng định mật mà thôi, chủ sở hữu thông tin đảm bảo người dùng ủy quyền có quyền truy cập thông tin Sao lưu phục hồi Đề xuất sách • Thơng tin quan trọng công vi ệc kinh doanh ph ải đ ược lưu (sao chép) thường xuyên để đảm bảo thơng tin phục hồi nguồn thơng tin bị hỏng Đề xuất tiêu chuẩn • Tần suất lưu thơng tin cần phải tương x ứng v ới chi phí tái thiết giá trị cho cơng ty Thảo luận • Sao lưu thơng tin nên lưu trữ bên ngồi trang web • Mặc dù nỗ lực để bảo vệ tồn vẹn sẵn có thơng tin, số điểm thơng tin bị bị hỏng Thường xuyên lưu thông tin quan trọng cần thiết đ ể đảm bảo phục hồi cần thiết Bảo mật thơng tin Đề xuất sách • Mỗi người quản lý phát triển quản lý m ột ch ương trình bảo mật thơng tin giúp nhân viên nhận th ức tầm quan trọng thơng tin phương pháp bảo mật Đề xuất tiêu chuẩn • Các quản lý đơn vị, tổ chức ph ải trình bày tài li ệu v ề nhận thức việc bảo mật thông tin năm lần cho nhân viên tổ chức Thảo luận • Yếu tố việc bảo mật thông tin thành công nhân viên Để đảm bảo an ninh hiệu quả, nhân viên cần phải bảo vệ thông tin trả lời điện thoại • Xuất tập hợp sách th ủ tục không đ ảm bảo họ đọc tuân theo Cần phải có chương trình nâng cao nhận thức, chương trình thơng báo cho nhân viên sách th ủ tục đ ược thi ết lập lại mang lại ý nghĩa kinh doanh tốt CHƯƠNG 2: XỬ LÝ THÔNG TIN Giới thiệu chung Thông tin doanh nghiệp sử dụng để thực hoạt đ ộng kinh doanh công ty uỷ quyền, ch ủ s h ữu thông tin cho phép Nguồn tài nguyên công ty cung cấp sử dụng để th ực hoạt động kinh doanh công ty ủy quyền Quyền thẩm định Đề xuất sách • Kiểm tốn khơng hạn chế quyền truy cập vào tất hồ s ơ, nhân tài sản vật lý liên quan đến cơng việc giao cho kiểm tốn Đề xuất tiêu chuẩn • Quản lý cơng ty có trách nhiệm quản lý, xem xét giám sát thông tin, nhân hoạt động có liên quan đến hoạt động kinh doanh họ Thảo luận • Với phức tạp ngày mở rộng môi tr ường cạnh tranh cơng nghệ,nó ngày trở nên cần thiết cho quản lý để quản lý hiệu hoạt động công ty Để quản lý hiệu hoạt động mình, ban giám đốc phải có kh ả xem xét chi tiết hoạt động • Nhân viên thường kỳ vọng số khu v ực nh ất đ ịnh môi trường kinh doanh họ riêng t ư/ cá nhân Tuy nhiên, ban quản lý có trách nhiệm quản lý thơng tin c doanh nghiệp nơi tìm thấy • Dù sử dụng chế để truyền thông tin (nh th điện tử, thư thoại, điện) lưu trữ thông tin (như nơi làm việc / máy tính lưu trữ, ngăn kéo bàn tủ hồ sơ), nguồn l ực cung cấp công ty để sử dụng kinh doanh Mặc dù luật liên bang cho phép quản lý giám sát thông tin, nhân tài sản công ty, vụ kiện tụng g ần cho thấy sách văn yếu tố để tránh hiểu lầm (về mong muốn bảo mật cá nhân cá nhân) hành động pháp lý tiềm ẩn Quy trình dự án Hệ thống máy tính để bàn định nghĩa máy vi tính, máy tính cá nhân, máy tính xách tay, máy tính xách tay máy tính xách tay, máy tính để bàn, trạm làm việc máy tính doanh nghiệp nh ỏ Đề xuất sách • Quản lý nhân viên cung cấp tất phần c ứng, ph ần mềm máy tính để bàn nguồn xử lý thông tin c ần thi ết khác theo yêu cầu nhân viên để thực trách nhiệm giao Dề xuất tiêu chuẩn • Để đảm bảo kiểm soát bảo mật tài sản thích hợp, nhân viên khơng nên mang phần cứng, phần mềm đĩa mềm máy tính cá nhân họ vào sở công ty mà cho phép trước từ người quản lý Thảo luận • Người quản lý máy tính để bàn tổ chức nên bổ nhiệm cho khu vực làm việc, có trách nhiệm ph ối h ợp việc mua, sử dụng bảo mật máy tính Đào tạo Đề xuất tiêu chuẩn • Quản lý đơn vị tổ chức có trách nhiệm đảm bảo tất nhân viên sử dụng nguồn lực công ty cung cấp đ ược đào tạo đầy đủ Việc đào tạo mức tối thiểu phải bao gồm: • Sử dụng hợp lý nguồn lực • Sử dụng hợp lý chương trình phần mềm độc quyền • Các biện pháp phòng ngừa phải th ực đ ể giảm thiểu mát thông tin • Tn thủ sách cơng ty thỏa thuận cấp phép độc quyền Chính sách bảo mật Đề xuất sách • Mỗi đơn vị tổ chức chịu trách nhiệm đảm bảo có an toàn cho tất phần cứng, phần mềm, tài liệu, liệu thông tin Đề xuất tiêu chuẩn • Thực hiện, trì, định kỳ hợp lý hóa m ột ph ần c t ất c ả đơn vị, bao gồm tất phần cứng phần mềm • Đảm bảo thiết bị bảo vệ khỏi truy cập trái phép khơng cần giám sát • Duy trì mơi trường an tồn cho tất đ ơn v ị ki ểm soát hệ thống, máy chủ tập tin, đơn vị chủ điều khiển chia sẻ cho phép nhân viên có thẩm quyền truy cập cho đơn vị • Sao lưu liệu chương trình cách th ường xuyên • Lưu trữ lưu địa điểm an tồn off-site • Lưu trữ đĩa mềm rời có ch ứa phân loại cơng ty thơng tin chương trình thiết bị lưu trữ bị khóa khơng sử dụng Phần mềm sản phẩm – kiểm soát an ninh Đề xuất sách • Tất nhân viên phải tuân thủ luật quy ền liên bang không công bố, điều khoản cấp phép nhà cung cấp việc cài đặt, sử dụng phân phối phần mềm mua Đề xuất tiêu chuẩn • Bất kỳ nhân viên học cách lạm dụng quy ền s h ữu ho ặc phần mềm cấp phép tài liệu liên quan công ty phải thông báo cho người giám sát mình,điều phối viên thơng tin địa, kiểm tốn • Mỗi đơn vị tổ chức phải tiến hành kiểm tra phần mềm h ằng năm đơn vị máy tính để bàn, so sánh phần mềm cài đặt với phần mềm chứng minh tài liệu mua bán đĩa gốc Thảo luận • Cơng ty cấp phép sử dụng phần mềm máy tính t nhiều nhà cung cấp Công ty không sở hữu phần mềm tài liệu liên quan và, trừ ủy quyên đặc biệt giấy phép cho phần mềm khơng có quyền chép Mã số vấn đề phần mềm Đề xuất sách 10 Việc chép không hợp pháp phần mềm máy tính có quyền vi phạm pháp luật trái với tiêu chuẩn hành xử công ty • Công ty cấm việc chép công nh ận nguyên tắc sau làm sở để phòng ngừa xuất • Công ty không cam không cho phép t ạo ho ặc s dụng phần mềm trái phép hoàn cảnh • Công ty cung cấp phần mềm hợp pháp đ ể đáp ứng m ọi nhu cầu phần mềm hợp pháp cách kịp th ời với số lượng đủ • Tất nhân viên phải tuân theo tất giấy phép mua hàng điều khoản điều chỉnh việc sử dụng phần mềm mua sử dụng • Cơng ty thực thi hành nội mạnh mẽ kiểm soát đ ể ngăn ngừa việc tạo sử dụng trái phép phần mềm, bao gồm biện pháp hiệu để xác minh tuân thủ tiêu chuẩn An ninh virus máy tính Đề xuất sách • Người giám sát thơng tin có trách nhiệm cung cấp mơi trường chế biến an tồn an tồn thơng tin trì với tính tồn vẹn Đề xuất tiêu chuẩn • Người giám sát hệ thống xử lý thông tin ph ải đảm bảo hệ thống phần mềm phá hoại (chẳng hạn vi rút) làm suy giảm bình thường hoạt động dự kiến hệ thống Đề xuất hướng dẫn • Khi có sẵn, phòng chống virus, phát ho ặc ph ục h ồi gói cần cài đặt • Nhân viên có quyền truy cập vào hệ thống máy tính nên tham dự buổi tập huấn mối đe dọa virus để hiểu thiệt h ại nhiễm virut gây hiểu trách nhiệm cá nhân họ để bảo vệ hệ thống họ • • Virus thường lan truyền qua phần mềm miền công cộng Nên không phép sử dụng phần mềm thuộc phạm vi cơng cộng (nghĩa phần mềm khơng có gi phép gọi "chia sẻ phần mềm" "phần mềm miễn phí") tài sản cá nhân nhân viên không đ ược phép xuất thiết bị công ty mà không đ ược ủy 11 quyền rõ ràng quan quản lý chưa qt virus • Tắt khóa hệ thống máy tính để bàn vào cuối ngày làm việc để ngăn chặn truy cập trái phép nhiễm virus có th ể xảy • Sử dụng tab "write security" trên đĩa mềm • Báo cáo hình th ức truy cập trái phép, tr ộm c ắp, lây nhiễm virus cho nhóm Bảo mật Thơng tin Trung tâm Dịch vụ Khách hàng phát Tự động hóa văn phòng Tự động hóa văn phòng cụm từ bao gồm công nghệ nh xuất máy tính để bàn, tin nhắn điện tử, th điện tử, th thoại, l ịch, fax công cụ hiệu khác Với việc thực hệ thống điện tử vậy, phải thực số bước cần thiết để đảm bảo mức độ an toàn Mặc dù hệ thống cung cấp cho người dùng kh ả liên lạc tốt hơn, chúng mang đến thêm rủi ro cho thơng tin Ngồi ra, cơng ty sử dụng biện pháp thư n ội bộ, tủ hồ sơ bàn làm việc, sở lưu giữ hồ sơ dài hạn để v ận chuy ển lưu trữ thông tin 9.1 Điện thoại/thư thoại Đề xuất sách: • Thơng tin bí mật truyền qua điện thoại/thư thoại cần thiết với biện pháp kiểm sốt thích hợp để bảo vệ thông tin khỏi việc bị tiết lộ trái phép Đề xuất tiêu chuẩn: • Thơng tin bí mật khơng giữ lại hộp thư thoại • Hệ thống thư thoại bảo mật mật bí mật mà chủ sở hữu hộp thư biết Thảo luận: 12 • Một số quy tắc xác định Cẩm nang Nhân viên, Công ty Bạn việc sử dụng điện thoại cách công ty cung cấp Khi công nghệ tiếp tục trở nên phức tạp hơn, người ta phải đảm bảo thông tin truyền qua điện thoại lưu tr ữ hộp thư thoại kiểm soát cách với mật đặc bi ệt an tồn Bởi hệ thống mục tiêu tin t ặc điện thoại, mật nên để khó đốn thơng tin bí mật nên loại bỏ sớm 9.2 Các tiêu chuẩn quản lý truyền thông điện tử Đề xuất sách: • Những sách công ty liên quan đến tiêu chu ẩn qu ản lý nhân viên, tranh giành lợi ích, hội việc làm công ch ỗ làm việc đa dạng, truyền thông, bảo vệ thông tin áp dụng cho thư điện tử (e-mail), tin nhắn điện thoại ( th thoại), truyền thông điện tử bên bên ngồi khác, bao gồm, khơng giới hạn, bảng tin điện tử, nhóm tin tức Internet • Tạo, xử lý, phân loại, lưu trữ tin nhắn truyền v ới mức độ quan tâm tài liệu kinh doanh khác Đi ều bao gồm việc tuân thủ cấm truy cập thông tin, truy c ập thông tin cho mục đích kinh doanh hợp pháp, bảo vệ thông tin khỏi truy cập người khơng có thẩm quyền • Những người dùng nên biết hệ thống thông tin lưu trữ bên chúng tài sản công ty ch ỉ sử dụng cho hoạt động Công ty thông qua Công ty phải trì giám sát hoạt động hệ thống • Kể từ tính bí mật khơng đảm bảo, hệ th ống ch ỉ sử dụng để truyền thông tin xem “ Public” “ Internal Use” ( Các định nghĩa “Public”, “Internal Use”, “Confidential” tìm thấy sách Bảo vệ thông tin công ty Thông tin “bí mật” khơng nên sử dụng hệ thống điện tử để truyền đạt Công ty cấm bình luận xúc phạm phản cảm truyền tin qua hệ thống Đặc biệt cần lưu ý để đảm bảo phong cách giọng điệu tin nhắn phù hợp 13 • Mọi nỗ lực phải thực để tin nhắn gửi cho người “cần biết” Chính sách Truyền thông Công ty nêu chi tiết yêu cầu cần phê duyệt tr ước phân ph ối thơng tin bên ngồi nội thơng qua việc sử dụng danh sách gửi thư cơng ty • Nhân viên có trách nhiệm sử dụng hệ thống cách phù hợp Sử dụng khơng phù hợp dẫn đến việc bị k ỷ luật Đề xuất tiêu chuẩn • Thơng tin bí mật khơng giữ lại hộp thư điện tử • Các hệ thống thư điện tử phải bảo mật mật xác thực có chủ sở hữu hộp thư biết • Thơng tin bí mật phải truyền với biên lai xác nhận Thảo luận: • Giống hệ thống điện thoại/ thư thoại, công nghệ tiếp tục trở nên phức tạp Do đó, người ta phải đảm bảo thông tin truyền lưu trữ h ộp th điện tử kiểm sốt hợp lý với mật bảo mật thích h ợp B ởi hệ thống mục tiêu tin tặc máy tính, m ật phải khó đốn, thơng tin bí mật ph ải đ ược loại bỏ sớm tốt 9.3 Điện thoại di động: Đề xuất sách • Thơng tin bí mật khơng nên bàn luận điện thoại di động Thảo luận: • Điện thoại di động hội thoại phát sóng khơng dây qua sóng vơ tuyến dễ dàng bị chặn thiết bị khơng đắt tiền có sẵn cửa hàng điện tử Một nh ững cách kiểm tra tính hợp pháp thơng tin bí mật nỗ lực tổ chức để giữ cho thơng tin bí mật Bằng cách th ảo luận thơng tin bí mật qua điện thoại di động khơng dây, kiểm tra bí mật bị Theo quan điểm pháp luật, 14 hy vọng riêng tư, kể từ người g ửi không th ể xác đ ịnh người thực có quyền truy cập thơng tin Mỗi lần thơng tin bí mật bảo hộ, điều quan trọng thông tin không thảo luận thiết bị 9.4 Máy fax: Đề xuất sách • Đặc biệt đề phòng thơng tin bí mật bị lấy cắp gửi qua fax Đề xuất tiêu chuẩn: • Chỉ gửi thơng tin bí mật fax người nhận ủy quy ền người truy cập Thảo luận: • Gửi thơng tin qua máy fax làm ảnh hưởng đến tính bí m ật thông tin Thông thường, tài liệu fax giữ trạm tiếp nhận hàng giờ, cho phép có c h ội đ ể xem thông tin Nếu bạn khơng thể tránh gửi thơng tin bí m ật fax được, thông báo cho người nhận qua ện tho ại thông tin gửi để họ đến trạm fax nhận thông tin Điều đảm bảo có người nhận có th ể nhận thông tin truyền đạt 9.5 Thư nội (Interoffice Mail) Đề xuất sách • Các biện pháp phòng ngừa đặc biệt th ực g ửi Thơng tin bí mật mail nội để đảm bảo trì tính bảo mật Đề xuất phương pháp: • Khi thơng tin bí mật vận chuyể mail nội bộ, nhãn mác phong thư khơng cho biết nội dung ch ứa thơng tin bí mật; nhiên, trang tài liệu tờ bìa ph ải ghi rõ tài liệu bí mật 15 Đề xuất hướng dẫn • Khi cần phải gửi thơng tin bí mật, người gửi nên cân nh ắc vi ệc cung cấp thông tin gửi chuy ển phát nhanh đáng tin cậy qua đường thư nội ( thư liên văn phòng phòng ban cơng ty) • Người gửi thơng tin quan trọng cần xem xét sử dụng " Valuable Letter Receipt " – hành động xác nhận thư có giá trị để xác nhận yêu cầu mà người nhận mong muốn Thảo luận: Khi sử dụng thư nội bộ, tài liệu qua nhiều bàn tay không giám sát nhiều lần trình giao th Các chuy ển phát nội bộ, phân loại thư tín thư ký chuyên gia văn phòng có tay việc cung c ấp tài liệu cho người nhận Điều quan trọng tránh ghi bìa th th đặc biệt gửi Khi thấy nội dung ghi bìa th ch ứa thơng tin bí mật, thu hút tò mò người Do nên tránh ghi bìa thư, để trơng giống thư bình thường khác 9.6 Tủ hồ sơ bàn làm việc văn phòng Đề xuất Chính sách Thơng tin chứa tủ hồ sơ bàn làm việc văn phòng phải bảo vệ chắn để chống lại truy cập trái phép Đề xuất tiên chuẩn Phải khóa tủ hồ sơ bàn làm việc có ch ứa thơng tin bí mật khơng có mặt Thảo luận: Tủ hồ sơ bàn làm việc chứa lượng thông tin đáng kể mà thơng tin sử dụng hàng ngày việc th ực hầu hết chức doanh nghiệp Cho dù thông tin đ ược phân loại Bí mật Sử dụng Nội bộ, thơng tin đòi hỏi mức độ bảo mật mong đợi giống cung cấp thơng tin dựa máy tính Tính bí mật, tính tồn vẹn tính sẵn có quan trọng; thơng tin ln gần gũi, người ta thường bỏ qua giá trị hoạt động 16 Cần phải xem xét gián đoạn mà việc thơng tin có th ể gây thực bước thận trọng để đảm bảo tính bảo mật 9.7 Quản lý hồ sơ: Đề xuất sách Quản lý tổ chức việc chịu trách nhiệm xác định hồ s cần thiết để đáp ứng yêu cầu quy định nhu cầu hoạt động, thiết lập hướng dẫn trì tiêu hủy loại hồ sơ (Từ: Chính sách Cơng ty Quản lý Thơng tin) Đề xuất tiêu chuẩn Bản thức thông tin, với ph ương ti ện truy ền thông, bị hủy bỏ sau hết thời hạn lưu giữ trừ chờ xử lý bị kiện tụng điều tra Hàng năm, đơn vị, tổ chức phải xác minh h s đ ược giữ lại tuân theo chương trình đơn v ị, t ổ ch ức thi ết lập Đề xuất đề nghị: • Các tổ chức nên làm việc chung với nhóm Dịch vụ Kinh doanh (Quản lý Hồ sơ) để xác định yêu cầu bắt buộc việc giữ lại hồ sơ Kết luận Như vậy, để đáp ứng yêu cầu bảo vệ thông tin doanh nghiệp, tổ chức thời buổi công nghệ phát triển phức tạp nay, sách, tiêu chuẩn cần thiết Qua báo cáo này, nhóm chúng em biết sách để bảo vệ thông tin, liệu quan trọng công ty Từ 17 giảm thiểu rủi ro liệu Những sách quan trọng 18 Tài liệu tham khảo [1] “Information Security - Policies and Procedures - A Practitioner’s Reference”, Thomas R Peltier 19 ... thơng tin Chương 3: KếtBÀI luận.TẬP LỚN MƠN QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN ĐỀ TÀI: CÁC CƠNG CỤ AN TỒN THƠNG TIN VÀ Q TRÌNH XỬ LÝ THƠNG TIN Giảng viên hướng dẫn: Trần Thị Xuyên Họ... hệ thống thơng tin doanh nghiệp Vì cần đòi hỏi có cơng cụ bảo mật để chống lại công Nội dung báo cáo bao gồm chương: Chương 1: Các công cụ bảo mật thông tin Chương 2: Xử lý thơng tin Chương 3:... Quang Tuấn Lớp: L03 Mục Lục THÔNG TIN Giới thiệu Chủ sở hữu thơng tin có trách nhiệm quản lý tính bảo mật (tiết lộ), tính tồn vẹn tính sẵn có thông tin mà h ọ tạo ho ặc qu ản lý Đối với thông tin