BAN CƠ YẾU CHÍNH PHU HỌC VIỆN KĨ THUẬT MẬT MA Ths.Trần Thị Xuyên, Ks.Nguyễn Thị Thu Thủy GIÁO TRÌNH QUẢN LÍ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN HÀ NỘI, 2013 i MỤC LỤC MỤC LỤC ii DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT .iv DANH MỤC CÁC BẢNG v DANH MỤC CÁC HÌNH VE vi LỜI MỞ ĐẦU vii Chương TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN 1.1 CHÍNH SÁCH AN TỒN THƠNG TIN 1.2 QUẢN LÍ CHÍNH SÁCH AN TỒN THƠNG TIN .2 1.2.1 Khái niệm an tồn hệ thống thơng tin 1.2.2 Quản trị tầm quan trọng quản trị an tồn thơng tin 1.2.3 Các sách an tồn thơng tin tầm quan trọng chúng 1.2.4 Khi cần sử dụng sách an tồn thơng tin 15 1.3 ĐIỀU PHỐI CHÍNH SÁCH AN TỒN THƠNG TIN .18 1.3.1 Tầm quan trọng điều phối công ty 19 1.3.2 Duy trì tuân thủ 21 1.3.3 Giảm nhẹ rủi ro bị lộ 29 1.3.4 Tối thiểu hóa trách nhiệm tổ chức 38 1.3.5 Thực thi sách để điều phối tính thống vận hành 40 1.4 SỰ TUÂN THU LUẬT PHÁP .44 1.4.1 Đối tượng bảo vệ luật pháp 52 1.4.2 Kết hợp sách kiểm sốt an tồn hợp lệ 54 1.4.3 Một số chuẩn công nghiệp quan trọng 55 Chương PHÂN LOẠI CHÍNH SÁCH AN TỒN THƠNG TIN 62 2.1 CÁC HƯỚNG TIẾP CẬN KHUNG CHÍNH SÁCH AN TỒN THƠNG TIN 62 2.1.1 Các hướng tiếp cận khung sách an tồn CNTT 63 2.1.2 Cách tiếp cận tuân thủ quản lí rủi ro 70 2.1.3 Tiếp cận vật lí trách nhiệm CNTT 72 2.1.4 Vai trò, trách nhiệm cá nhân 72 2.1.5 Phân tách nhiệm vụ .74 2.1.6 Quản trị tuân thủ 78 2.2 CHÍNH SÁCH NGƯỜI DÙNG 79 2.2.1 Phân loại người dùng 79 ii 2.2.2 Chính sách chấp nhận người dùng (Acceptable Use Policy – AUP) 90 2.2.3 Phân mức quyền truy nhập (Privileged-level access agreement – PAA) 92 2.2.4 Chính sách nhận thức an tồn (Security Awareness Policy- SAP) 93 2.3 CHÍNH SÁCH AN TOÀN CƠ SỞ HẠ TẦNG CÔNG NGHỆ THÔNG TIN 95 2.3.1 Đặc điểm cấu tạo sách sở hạ tầng 95 2.3.2 Các sách miền máy trạm (Workstation Domain Policies) 99 2.3.3 Các sách miền mạng LAN .105 2.3.4 Các sách miền mạng LAN – to – WAN 109 2.3.5 Các sách miền mạng WAN .111 2.3.6 Các sách miền truy cập từ xa 113 2.3.7 Các sách miền hệ thống/ứng dụng 115 2.3.8 Các sách viễn thông 117 2.4 CHÍNH SÁCH PHÂN LOẠI VÀ QUẢN LÍ DỮ LIỆU, VÀ CHÍNH SÁCH QUẢN LÍ RUI RO 120 2.4.1 Chính sách phân loại liệu 120 2.4.2 Chính sách quản lí liệu 125 2.4.3 Các loại rủi ro liên quan đến hệ thống thông tin 127 2.4.4 Chính sách phân tích tác động hoạt động tổ chức .128 2.4.5 Chính sách đánh giá rủi ro 129 2.4.6 Chính sách lên kế hoạch trì liên tục hoạt động 130 2.4.7 Chính sách khắc phục thảm người dùnga 131 2.5 CHÍNH SÁCH XỬ LÍ SỰ CỐ 132 Chương THIẾT KẾ, TỔ CHỨC, TRIỂN KHAI VÀ BẢO TRÌ CHÍNH SÁCH AN TỒN THƠNG TIN 136 3.1 THIẾT KẾ CÁC CHUẨN VÀ CÁC CHÍNH SÁCH 136 3.1.1 Các nguyên tắc xây dựng chuẩn sách 137 3.1.2 Các loại kiểm soát cho chuẩn sách .141 3.2 XEM XÉT TỔ CHỨC TÀI LIỆU 143 3.3 TRIỂN KHAI CHÍNH SÁCH AN TỒN THƠNG TIN 150 3.3.1 Các vấn đề triển khai sách an tồn thơng tin 151 3.3.2 Thực thi sách nâng cao nhận thức an toàn 160 3.3.3 Phổ biến thông tin – cách thức đào tạo nhân viên .169 3.3.4 Khắc phục trở ngại kĩ thuật 175 3.4 THỰC THI CHÍNH SÁCH AN TỒN THƠNG TIN 178 3.5 CẬP NHẬT VÀ SỬA ĐỔI CÁC CHÍNH SÁCH VÀ CÁC CHUẨN 188 DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT iii DANH MỤC CÁC BẢNG Bảng 1.1 Ví dụ sách an tồn thành phần điều khiển .24 Bảng 1.2 Những lợi ích phép đo điều khiển 24 Bảng 1.3 Những khái niệm tuân thủ luật pháp liên quan tới CS ATTT 47 Bảng 2.1 Mẫu khung sách an tồn CNTT 70 Bảng 2.2 Nhu cầu truy nhập kiểu người dùng 81 Bảng 2.3 Một số kiểu khác chuẩn điều khiển miền máy trạm 103 Bảng 2.4 Sự phân loại liệu điều khiển an toàn .125 Bảng 3.1 u cầu nhận thức sách an tồn đơn giản 164 Bảng 3.2 Mô tả kế hoạch truyền thông đơn giản 172 iv DANH MỤC CÁC HÌNH VE Hình 1.1 Vịng đời quản lí ISS đơn giản hóa 12 Hình 1.2 Các tài liệu bên với bên ngồi 17 Hình 1.3 Cải tiến kĩ thuật xử lí cơng ty 25 Hình 1.4 Ba kiểu thiết kế điều khiển an toàn 34 Hình 1.5 Mối quan hệ then chốt sách an tồn 37 Hình 1.6 Các thành phần việc bảo vệ tài sản số 43 Hình 2.1 Khung thư viện chuẩn sách .70 Hình 2.2 Mơ hình phạm vi khung sách an tồn CNTT đơn giản hóa 72 Hình 2.3 Bẩy miền sở hạ tầng CNTT điển hình 104 Hình 3.1 Phân loại thư viện sách chuẩn 153 Hình 3.2 Biểu diễn chi tiết phần sách 154 Hình 3.3 Chuẩn sở thủ tục sách thư viện chuẩn 155 Hình 3.4 Văn hướng dẫn gắn với chuẩn kiểm sốt 155 Hình 3.5 Tầng mở rộng u cầu kiểm sốt cho cơng nghệ lạc hậu 185 v LỜI MỞ ĐẦU Việc đảm bảo an tồn hệ thống thơng tin ngày đặc biệt trọng xã hội sử dụng cơng nghệ thơng tin ứng dụng an tồn thông tin hầu hết lĩnh vực Chúng ta không đơn giản bảo vệ thông tin trước nguy làm tính an tồn mà cần bảo vệ hệ thống lưu trữ xử lí thơng tin Dù thơng tin có lưu trữ đâu, dạng phải bảo vệ khỏi thay đổi, làm lộ, phá hủy hay truy nhập bất hợp pháp Chính cần có sách an tồn thực tốt để đảm bảo thông tin bảo vệ cách tốt Tuy nhiên, để cài đặt sách an tồn cơng nghệ thơng tin khung sách an toàn cho quan hay tổ chức khu vực công hay khu vực tư nhân xem nhiệm vụ khó khăn phức tạp Chúng ta phải xem xét, nghiên cứu, phân tích loạt vấn đề khác quan niệm an tồn, cách quản trị, quy mơ tổ chức, văn hóa tổ chức, yêu cầu, quy định luật pháp, … Môn người dùngc giúp hiểu thêm khái niệm vấn đề liên quan tới quản lí, thiết kế thực thi sách an tồn thơng tin Chúng ta hiểu cách đầy đủ sách an tồn thơng tin khung sách an tồn, khái niệm khác an tồn thơng tin, thuật ngữ đơn giản quản trị, ủy quyền người quản lí, điều phối sách an tồn, xem xét luật pháp nhiều thuật ngữ khác Chương tập trung vào việc giới thiệu khái niệm liên quan đến sách an tồn thơng tin, quản lí sách an tồn thơng tin, điều phối an toàn xem xét vấn đề tuân thủ pháp luật Chương hướng tới nhu cầu cần có khung sách an tồn CNTT bao gồm sách viết thành tài liệu, chuẩn, thủ tục vi hướng dẫn Chúng ta tìm thấy hướng tiếp cận khung sách cách phân loại sách an tồn thơng tin phần Chương trình bày cách thiết kế, tổ chức, thực thi bắt buộc sách an tồn thơng tin tổ chức Đưa nguyên tắc định vấn đề gặp phải trình thực sách an tồn thơng tin, đề xuất hướng giải khắc phục hậu xảy Môn người dùngc đóng góp phần vào việc cung cấp nguồn thơng tin có ý nghĩa cho sinh viên, giáo viên, người làm việc an toàn thơng tin liên quan đến sách an tồn khung sách an tồn Tuy nhiên, cịn hạn chế trình độ, kiến thức thực tế, thiếu thốn tài liệu áp lực thời gian hồn thiện nên giáo trình Quản lí xây dựng sách an tồn thơng tin chắn cịn tồn nhiều thiếu sót Chúng tơi mong nhận nhận xét đóng góp ý kiến quý báu để sinh viên, giáo viên người quan tâm có tài liệu hoàn chỉnh lần tái Qua cảm ơn giúp đỡ Ban yếu Chính phủ, Người dùngc viện Kỹ thuật Mật Mã thầy cô khoa An tồn thơng tin đồng nghiệp Người dùngc viện Ban yếu cổ vũ tạo điều kiện thuận lợi để chúng tơi hồn thành sách vii Chương TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN 1.1 CHÍNH SÁCH AN TOÀN THÔNG TIN Đối với tổ chức để làm việc tốt cần q trình xử lí cơng việc đáng tin cậy, chi phí thấp tuân thủ luật pháp Hầu hết tổ chức sử dụng sách thủ tục nhân viên biết mục tiêu công việc cách thực để đạt mục tiêu Trong giới hồn hảo, sách thủ tục ln đưa kết hoàn hảo Điều yêu cầu nhân viên ln ln phải tn theo sách thủ tục Tuy nhiên, không sống giới Cả sách thủ tục lúc thực tốt nhân viên không luôn tuân theo chúng Bất mà lĩnh tiền ngân hàng hiểu thủ tục Thủ tục lĩnh tiền bao gồm kiểm tra danh tính số dư tài khoản Chính sách ngân hàng nói rõ người thu ngân làm theo thủ tục trả tiền tài khoản có đủ tiền người thu ngân đưa tiền mặt cho chủ tài khoản Nếu không tuân theo thủ tục sách ngân hàng bị tiền Để tạo bắt buộc sách quan trọng để bảo vệ thông tin tổ chức Tất tổ chức bao gồm doanh nghiệp phủ nên thực thi sách Khơng có tiếp cận giống hệt Mỗi tổ chức có cách riêng để thực thi bắt buộc sách Một thách thức mà tổ chức phải đối mặt chi phí để giữ vững tốc độ phát triển với công nghệ thay đổi Điều bao gồm nhu cầu cập nhật sách thời điểm tổ chức cập nhật công nghệ Tình trạng thực thi khơng thích hợp tạo nên điểm yếu hệ thống Những điểm viii yếu làm cho q trình xử lí cơng việc thơng tin dễ bị đánh cắp Trong việc tạo sách an tồn hệ thống thơng tin (Information Systems Security - ISS) gọi đơn giản “chính sách an tồn” hay “các sách ISS”, nhiều cơng ty tài (factor) bắt buộc yêu cầu sách Các yêu cầu bao gồm quy mô tổ chức, q trình xử lí, kiểu thơng tin, luật lệ quy tắc Một tổ chức tạo sách người dùng phải đối mặt với thách thức kĩ thuật người để cài đặt chúng Các yếu tố quan trọng cho việc cài đặt sách chấp nhận nhân viên việc quản lí áp đặt sách Một sách hiệu khơng có giá trị khơng tuân theo 1.2 QUẢN LÍ CHÍNH SÁCH AN TOÀN THƠNG TIN 1.2.1 Khái niệm an tồn hệ thống thơng tin An tồn hệ thống thơng tin (ISS) việc bảo vệ thông tin bảo vệ hệ thống lưu trữ xử lí thơng tin Sự bảo vệ có nghĩa chống lại rủi ro dẫn tới việc truy nhập, sử dụng, làm lộ, phá vỡ, sửa chữa hay phá hủy thông tin cách bất hợp pháp Nó khơng bảo vệ thơng tin bên máy tính mà thơng tin dạng nào, chẳng hạn bảo vệ in liệu hay bảo vệ thông tin phương tiện truyền thơng Trong thực tế, sách an tồn cấu trúc tốt để đảm bảo bảo vệ thông tin chỗ dạng Có thể thấy phạm vi rõ ràng cụ thể cần đảm bảo an tồn Thơng thường, tổ chức áp đặt an tồn tốt khu vực có mối đe dọa lớn tới tài nguyên người Đôi thông tin không bảo vệ thành cơng nhiều lí khác Một số tổ chức không cho thông tin quan trọng Một số lại tin cách chủ quan vào độ đo an toàn thiết kế để bảo vệ người giúp ix đảm bảo an toàn thơng tin Số khác đơn giản khơng muốn tốn thêm chi phí Tuy nhiên, việc bảo vệ thông tin quan trọng hoạt động công ty Việc bảo vệ thông tin liên quan đến vịng đời quản lí an tồn hệ thống thơng tin Nói chung, q trình xử lí quan trọng nên có q trình xử lí vịng đời để giảm thiểu lỗi xảy đảm bảo xem xét tất yêu cầu Việc cài đặt độ đo an tồn khơng có khác Các điều khiển q trình xử lí an tồn thơng tin sử dụng phương pháp tiếp cận chung làm đơn giản hóa việc xây dựng giảm thiểu lỗi Một q trình xử lí vịng đời cụ thể chia nhiệm vụ thành pha nhỏ hơn, dễ sử dụng Hiệp hội kiểm toán quản lí hệ thống thơng tin (Information Systems Audit and Control Association – ISACA) phát triển khung làm việc thực tiễn quốc tế chấp nhận rộng rãi Khung làm việc tốt nhiều vịng đời, gọi đối tượng điều khiển thơng tin cơng nghệ có liên quan (Control Objects for Information and related Technology - COBIT) Nịng cốt pha nhằm mục đích thể chung vịng đời an tồn hệ thống thông tin dựa khái niệm:  Lập kế hoạch Tổ chức  Đạt Cài đặt  Phân phối Hỗ trợ  Giám sát Quản lí Q trình xử lí vịng đời sử dụng phạm vi hay pha đơn giản để xây dựng sách điều khiển Mỗi pha phát triển dựa pha khác pha bị lỗi dẫn tới pha sau có khuyết điểm hay điểm yếu Khung làm việc COBIT sâu vào việc tách nhỏ thêm pha thành nhiệm vụ trình xử lí chi tiết Nhiều tổ chức x vòng phản hồi từ nhân viên để đảm bảo sách cịn ý nghĩa cho doanh nghiệp  Quyền tổ chức theo dõi hành động người dùng luồng thông tin Quan điểm luật pháp hành có quyền giám sát hoạt động người lao động máy tính cơng ty Đó khơng phải tuyệt đối Nói cách khác, điều quan trọng tổ chức hoạt động phù hợp với sách pháp luật Các sách phải rõ ràng súc tích Điều khơng có nghĩa tổ chức cần có sách tạo quyền giám sát nhân viên mà chúng phải tạo luật pháp Thông tin liên lạc điện tử riêng tư (ECPA) cho người sử dụng lao động có quyền giám sát nhân viên trình kinh doanh bình thường Có số lý để theo dõi hoạt động máy tính người lao động  Duy trì lực lượng lao động sản xuất  Phát sách an tồn khơng tn theo  Duy trì tính bảo mật liệu nhạy cảm  Đảm bảo chất lượng bảo vệ danh tiếng tổ chức  Tránh trách nhiệm từ vi phạm quyền sở hữu trí tuệ phần mềm âm nhạc Có tranh chấp mà tổ chức theo dõi máy tính người lao động sử dụng suốt làm việc thơng qua tài khoản cơng ty Có lĩnh vực giám sát hành động nhân viên:  Internet: Kiểm soát truy cập tới tài liệu chứa nội dung khơng lành mạnh clxxxvi  E-mail: Kiểm sốt virus mã độc, bảo vệ rò rỉ liệu (DLP) thơng tin nhạy cảm  Máy tính: Kiểm soát virus mã độc, chép bất hợp pháp phần mềm sử dụng mức game playing, tập tin không xác thực  Tuân thủ luật pháp: Yêu cầu quản lý rủi ro ? Chính sách an tồn nỗ lực thân người dùng để tuân thủ tất yêu cầu quy định đáp ứng tổ chức “Nỗ lực” sử dụng để việc tạo sách cân Chính sách phải cân mục tiêu đạt được, thực hành tốt giải thích quy định chúng phải thỏa hiệp Đó lý phận pháp lý bên liên quan chủ chốt việc tạo sách an tồn Bộ phận pháp lý đảm bảo sách an tồn phù hợp với quy định tòa án Các nhà quản lý người xem xét sách an tồn đưa đánh giá sách có hợp lý phù hợp với hướng dẫn không Các nhà quản lý đảm bảo yêu cầu cốt lõi đáp ứng tổ chức cảm thấy người dùng đạt Tuy nhiên, quan quản lý phải giải thích ngơn ngữ pháp lý, khác với giải thích tổ chức Ghi chú: Nhà quản lý sử dụng văn hướng dẫn công bố công khai Người dùng sử dụng tài liệu để đánh giá tn thủ Tở chức so sánh chúng từ sách an tồn để đảm bảo tất yêu cầu đáp ứng.Văn hướng dẫn cũng cung cấp bằng chứng để quản quản lý phù hợp  Sự khác biệt pháp luật, quy định, sách an tồn:  Pháp luật thiết lập ngưỡng pháp lý clxxxvii  Yêu cầu quy định thiết lập mà tổ chức phải làm để đáp ứng ngưỡng pháp lý  Chính sách an tồn thiết lập cách thức đạt u cầu quy định Kiểm sốt an tồn để thực thi bảo vệ liệu riêng tư ? Tổ chức có khả chấp nhận rủi ro tác động tới kinh doanh khơng có quyền chấp nhận rủi ro khách hàng việc xử lý sai liệu người dùng Phương pháp quản lý rủi ro sử dụng để đánh giá chấp nhận rủi ro kinh doanh áp dụng liệu cá nhân khách hàng Bất kì tổ chức sưu tầm, lưu trữ, xử lý truyền thông tin cá nhân phải phù hợp với luật riêng tư Những luật riêng tư thiết lập kiểm soát cụ thể Một số kiểm sốt an ninh thơng thường gồm: - Thơng báo có vi phạm xảy - Mã hóa liệu rời khỏi mạng lưới tổ chức - Mỗi người dùng có định dạng truy cập liệu - Cấp quyền truy cập cho mục đích kinh doanh - Phá hủy liệu khơng sử dụng thời gian dài - Có phương pháp tiếp cận sách nhận thức an tồn chỗ Đây điều quan trọng để tìm cách pháp luật riêng tồn tổ chức làm kinh doanh Dựa luật này, tổ chức xác định tập điều khiển cốt lõi Các điều khiển thơng thường cần phải có sách bảo mật  Những kiểm sốt an ninh tự động thực thơng qua sách? clxxxviii Thực thi sách thực thông qua điều khiển tự động tay Thời gian nỗ lực tham gia quản lý sách tay làm cho cơng cụ tự động lựa cngười dùngn hấp dẫn Điều khiển tự động chi phí hiệu cho khối lượng lớn công việc cần phải thực cách quán Điều khiển tự động cấu hình thiết bị để thực thi sách an tồn Dưới danh sách vài điều khiển tự động thông thường:  Phương pháp xác thực  Phương pháp ủy quyền  Mã hóa liệu  Sự kiện đăng nhập  Phân đoạn liệu  Phân đoạn mạng Số lượng điều khiển tự động giới hạn khả cơng nghệ  Đánh giá điều khiển an toàn tay với việc thực thi? Khơng phải tất điều khiển nên tự động Điều khiển ằng tay phù hợp cho cơng việc khối lượng thấp Nó phù hợp với cơng việc địi hỏi phán xét người Ví dụ điều khiển tay là:  Kiểm tra lý lịch  Đăng nhập đánh giá  Quyền truy cập đánh giá  Chứng thực clxxxix  Ý nghĩa pháp lý thực thi sách an tồn thông tin Công nghệ làm cho việc giao dịch trở nên dễ dàng Máy tính cung cấp phương pháp truyền thông lưu trữ liệu hiệu Công nghệ cung cấp khả tự động lưu trữ dấu vết Điều dễ dàng sử dụng tạo số lượng lớn liệu có ý nghĩa thực thi sách an ninh Dữ liệu phải lưu giữ dễ sử dụng cho loạt lý pháp lý Điều quan trọng để thực thi sách bảo mật liệu lưu giữ, bao gồm việc bảo quản liệu Các sách an ninh phải đảm bảo lưu trữ hồ sơ xác trì an tồn Điện tử phát phần q trình hợp pháp Nó sử dụng để thu thập thơng tin máy tính tạo cho hành động pháp lý Điều gặp nhiều phức tạp so với việc phát tài liệu giấy Đó tổ chức nắm giữ số lượng lớn liệu  Ai người cuối chịu trách nhiệm rủi ro, mối đe dọa lỗ hỏng ? kết là, tất tổ chức có khả giữ trách nhiệm lãnh đạo người dùng Trách nhiệm giải trình thực lực lượng bên như:  Dư luận  Cổ đơng  Các quy định  Tịa án  Việc thực thi sách an tồn thơng tin xuất phát từ đâu? Nhiều lớp tổ chức thực thi sách an tồn Mỗi người có vai trị xác nhận quản lý rủi ro Sau vài vai trị để thực thi sách: cxc  Tư vấn chung  Quản lý thực thi  Nguồn nhân lực  Tổ chức an tồn hệ thống thơng tin  Quản lý, Giám sát trực tuyến 3.5 CẬP NHẬT VÀ SỬA ĐỔI CÁC CHÍNH SÁCH VÀ CÁC CHUẨN Nhiều cập nhật xem việc chỉnh sửa không đáng kể ví dụ bao gồm cập nhật chức danh hay tên phận, sửa chữa lỗi đánh máy, sửa chữa liên kết trang web bị hỏng Sửa đổi có loại: Nhiều, Sửa đổi thường có ý nghĩa thấp, khơng ảnh hưởng nhiều tới hệ thống, ví dụ, làm rõ từ ngữ câu đoạn văn Sửa đổi nhiều làm thay đổi lớn sách Ví dụ yêu cầu mới, hạn chế mới, trách nhiệm mở rộng Những loại thay đổi phải gửi đến hội đồng quản trị kiểm soát thay đổi sách để xem xét Giả sử, tổ chức tuân theo phát triển chu trình đánh giá cập nhật đạt cần thiết từ người bị ảnh hưởng thay đổi, hoạt động tốn thời gian truyền thay đổi tới tổ chức Để giúp tổ chức xác định thay đổi bảo trì tổ chức cần thực hiện, sử dụng thông tin cung cấp bởi:  Trường hợp ngoại lệ miễn trừ  Yêu cầu từ người sử dụng nhà quản trị  Thay đổi từ tổ chức cxci Câu hỏi ôn tập chương III Câu 1: Khi viết sách tiêu chuẩn, bạn nên thêm câu hỏi ai, gì, đâu, nào, sao, A Đúng B Sai Câu 2: Tất thư viện sách tiêu chuẩn tuân theo số đề án phổ cập chung cho thống tổ chức C Đúng D Sai Câu 3: Tài liệu hướng dẫn thường gắn liền với tiêu chuẩn kiểm soát cụ thể C Đúng D Sai Câu 4: Cái sau khơng phải kiểm sốt hành chính? E Phát triển sách, tiêu chuẩn, thủ tục hướng dẫn F Sàng lọc cá nhân G Thay đổi thủ tục kiểm soát H Cơ chế kiểm sốt truy cập hợp lí Câu 5: Điều sau bước thực chung phát triển tài liệu sách bảo mật, tiêu chuẩn thủ tục? E Thiết kế, triển khai, ban hành, mã hóa kiểm thử F Thực hành, triển khai, phê duyệt, thực thi, tích hợp G Bắt đầu, đánh giá, triển khai, phê duyệt, ban hành, thực thi, bảo trì cxcii H Thiết kế, mã hóa, đánh giá, phê duyệt, ban hành, thực thi Câu 6: Các phòng ban cần xem xét lại sách tiêu chuẩn trước ban hành thức? (chọn ) E Kĩ thuật F Pháp lí G Nguồn nhân lực H Bảo trì I Kiểm toán Câu 7: Kiểm soát thực thi để làm sau đây: A Tạo tiêu chuẩn B Bảo vệ hệ thống khỏi cơng tính bảo mật, tồn vẹn, tính sẵn sàng hệ thống C Loại bỏ tất rủi ro loại bỏ khả mát liệu D Hỗ trợ hướng dẫn Câu 8: Loại kiểm soát phù hợp để đáp ứng sửa chữa cố an toàn? A Ngăn chặn B Bồi thường C Khắc phục D Trinh thám Câu 9: Ví dụ kiểm sốt an tồn vật lí Câu 10: Ngun tắc an tồn cần thiết trường hợp khơng có đầy đủ thơng tin để đưa định an toàn cao? A Đúng cxciii B Sai Câu 11: “ Truy cập tới tất tài nguyên thông tin Tổ chức kết nối tới mạng phải kiểm soát việc sử dụng định danh người dùng phương pháp xác thực” câu tài liệu thủ tục đề cặp A Đúng B Sai Câu 12: Điều sau hội đồng quản trị kiểm soát thay đổi sách thực hiện? ( chọn 2) A Đánh giá sách tiêu chuẩn đưa khuyến nghị cho thay đổi B Quyết định số chương trình thư viện sách tiêu chuẩn C Triển khai kiểm soát kĩ thuật thay đổi điều kiện kinh doanh D Đánh giá yêu cầu thay đổi khung sách Câu 13: Điều sau văn hóa tổ chức áp dụng sách an tồn thơng tin? A Chính sách thơng tin phần phản ánh thói quen hàng ngày B Chính sách thơng tin hỗ trợ Uy ban tổ chức C Giá trị đích thực sách an tồn thể phản ứng người lao động với tình D Tất trường hợp Câu 14: Chính sách an tồn hiệu địi hỏi tất người phải có trách nhiệm cho việc thực thi sách A Đúng B Sai cxciv Câu 15: Tại nên thực thi sách an tồn linh hoạt phép cập nhật? A Chưa biết mối đe dọa phát B Phương pháp dạy giới thiệu C Công nghệ giới thiệu D A C E Tất trường hợp Câu 16: Điều sau bị phản đối giao dịch với sách liên quan tới cơng nghệ lạc hậu? A Viết sách bảo mật để thực hành tốt đưa từ bỏ sách công nghệ lạc hậu mà vốn thực B Viết sách bảo mật thấp nhất, tiêu chuẩn an tồn phổ biến cơng nghệ cung cấp C Viết sách khác cho công nghệ lạc hậu D Tất trường hợp Câu 17: Chỉ số đào tạo nâng cao nhận thức không hiệu quả? A Vi phạm tường lửa B Chia sẻ mật với người giám sát C Chia sẻ máy tính cá nhân với đồng nghiệp D Hỏa hoạn trung tâm liệu Câu 18: Điều sau nguyên nhân phổ biến vi phạm an toàn? A Cải tiến đào tạo nhận thức an toàn B Làm tăng động lực nhân viên cxcv C Xử lí bên cho nhà cung cấp Câu 19: Cách tốt để phổ biến sách mới? A Bản cứng B Mạng nội C Các phiên túi màu nâu D Tất đáp án Câu 20: Uy ban an ninh có vai trị xác định vi phạm sách xảy A Đúng B Sai Câu 21: Điều khơng phải kiểm sốt truy cập? A Xác thực B Phân quyền C Mã hóa D Đăng nhập Câu 22: Đâu ví dụ kiểm sốt tay? A Kiểm tra lí lịch B Xác thực C Xem xét quyền truy cập D A C E Tất trường hợp Câu 23: Điều sau lý để giám sát hoạt động máy tính nhân viên? cxcvi A Duy trì lực lượng sản xuất B Phát sách bảo mật khơng cho phép C Tìm người mà nhân viên biết đến D Đảm bảo chất lượng bảo vệ danh tiếng tổ chức Câu 24: Kết nối thiết bị cá nhân tới mạng cơng ty tạo ý nghĩa pháp lý A Đúng B Sai Câu 25: Điều sau khơng xem xét kiểm sốt thư tín người dùng hoạt động mạng? A Thiếu liệu B Virus mã độc C Truy cập trái phép tới vị trí D Hiệu suất mạng cxcvii KẾT LUẬN Như xem xét sách an tồn thơng tin cần phải quan tâm đến số vấn đề trình thực công việc, thay đổi q trình thực có, cải tiến liên tục trình thực hay trường hợp, cố xảy Chúng ta cần phải biết sách phù hợp nào, phù hợp đâu tổ chức để đáp ứng yêu cầu vận hành yêu cầu quản trị Việc phải liên quan đến miền sơ sở hạ tầng công nghệ thơng tin, miền máy trạm, miền mạng LAN, miền mạng LAN-to-WAN, miền mạng WAN, miền truy nhập từ xa, miền hệ thống/ứng dụng miền viễn thông Các sách an tồn thơng tin đóng vai trị quan trọng việc quản lí truy nhập thơng tin cách hợp pháp điều khiển thay đổi hệ thống Mỗi tổ chức hàng ngày phải đối mặt với nhiều rủi ro thơng tin mà có khơng đầy đủ hồn thiện Vì tổ chức cố gắng để tối đa lợi nhuận đồng thời giảm bớt rủi ro Việc quản lí rủi ro cần phải định nghĩa rõ ràng yêu cầu dạng sách an tồn cần phải thiết kế điều khiển an toàn bắt buộc tuân thủ sách Các tổ chức phải đào tạo cho nhân viên người dùng có ý thức kiến thức an tồn thơng tin Rủi ro giảm đáng kể tổ chức đưa thỏa thuận ràng buộc đảm bảo dựa trách nhiệm người dùng Mục tiêu tổ chức phải tạo q trình xử lí an tồn, lặp lại chứng minh Để đạt điều tổ chức cần phải thực thi bắt buộc tuân thủ sách an tồn định nghĩa tốt Muốn đạt yêu cầu đảm bảo an tồn tổ chức cần phải tn thủ quy định luật lệ Ngoài ra, sách an tồn, điều khiển thủ tục phải gắn với quy định cxcviii Sự phát triển khung sách cần thiết thiết lập thực chương trình an tồn cho tổ chức Khung sách tài liệu dạng sách, chuẩn, sở, thủ tục hướng dẫn tuân thủ Có nhiều khung sách an tồn CNTT khác chúng nói tới khái niệm mục tiêu điều khiển rủi ro giống cách tiếp cận phạm vi bao trùm khung lại có khác Một điều quan trọng tổ chức cần phải quản lí, thiết kế, tổ chức thực thi sách an tồn thơng tin Điều thể thực tế tổ chức làm việc đảm bảo an tồn thơng tin Để thiết kế cần phải tuân thủ nguyên tắc xây dựng chuẩn sách Nắm nguyên tắc cần xây dựng điều khiển an tồn để bắt buộc chuẩn sách Việc thực thi sách phải dựa văn hóa tổ chức Khi người sử dụng có thói quen tn theo sách tự nhiên văn hóa tổ chức thay đổi đem lại kết mà mong đợi đảm bảo an tồn hệ thống thơng tin cách tốt cxcix TÀI LIỆU THAM KHẢO [1] Rob Johnson, “Security policies and implementation issues”, Jones & Bartlett learning (Năm 2011) [2] Charles Cresson Wood, “Information Security Policies Made Easy”, Information Shield, Inc [3] Charles Cresson Wood, “Information Security Roles and Responsibilities Made Easy”, Information Shield, Inc [4] “ISO/IEC 17799:2005 (ISO 27002) – Code of practice for information security management” [5] “The Business Need for Updated Information Security Policies”