MỤC LỤC
CS được thiết kế và viết (hoặc trong trường hợp CS lỗi thời, được t hiết kế lại và viết lại). quản lý hoặc điều hành cấp cao ở cấp thích hợp và cố vấn pháp lý c ủa tổ chức xem xét và chính thức phê duyệt tài liệu. phải được lập kế hoạch, cấp vốn hợp lý và quản lý chặt chẽ để đảm bảo rằng nó được hoàn thành đúng thời hạn và trong ngân sách.
Đề cương chi tiết về phạm vi của dự án phát triển CS và các ước tính hợp l ý về chi phí và lịch trình của dự án. Đánh giá rủi ro mới hoặc gần đây hoặc kiểm toán CNTT ghi lại các nhu cầu ATTT h iện tại của tổ chức. Tập hợp các tài liệu tham khảo chính, bao gồm bất kỳ CS hiện hành nào.
■ “Điều nào không được phép sẽ bị cấm” còn được gọi là phương pháp “danh sách trắng”. Nhiệm vụ đầu tiên trong giai đoạn thiết kế là soạn thảo văn bản CS thực tế. ■ Trang web của chính phủ - như http://csrc.nist.gov và http://csrc.nist.gov/groups/SMA/fasp/index.html chứa nhiều CS m ẫu và tài liệu hỗ trợ CS.
■ Mạng ngang hang - Các chuyên gia ATTT khác phải viết các CS tương tự và thực hiện các kế hoạch tương tự. Sửa đụ̉i bỏo cỏo phõn tớch khả thi dựa trờn chi phớ và lợi ớch được cải thiện khi thiết kế được làm rừ. Người dùng hoặc các thành viên của tổ chức phải thừa nhận một c ỏch rừ ràng rằng họ đó nhận và đọc CS (tuõn thủ).
Nhóm phát triển CS giám sát, duy trì và sửa đổi CS khi cần thiết để đảm bảo rằng CS đó vẫn hiệu quả như một công cụ để đáp ứng các mối đe dọa đang thay đổi. phải có một cơ chế tích hợp để người dùng có thể báo cáo sự cố, tốt nhất là ẩn d anh thông qua biểu mẫu Web được giám sát bởi nhóm pháp lý của tổ chức hoặc một ủy ban được giao nhiệm vụ thu thập và xem xét nội dung đó. phải đảm bảo rằng mọi người được yêu cầu tuân theo CS một cách bình đẳng và các CS không được thực hiện khác nhau trong các lĩnh vực hoặc thứ bậc khác nh au của tổ chức.
Mục đích của CS này là để thiết lập các yêu cầu tối thiểu cho việc duy trì. “bàn làm việc sạch sẽ” – nơi mà thông tin nhạy cảm/quan trọng về các n hân viên, sở hữu trí tuệ, khách hàng và nhà cung cấp AT, cất vào chỗ đượ c khóa và thoát khỏi trang Web. CS bàn làm việc sạch sẽ có thể là một công cụ để đảm bảo các dữ liệu nhạy cảm/bí mật phải được người dùng loại bỏ khỏi chỗ làm việc và được khóa khi không sử dụng hoặc khi nhân viên rời khỏi chỗ làm.
Đ ây là một trong những chiến lược hàng đầu được áp dụng để hạn chế rủi ro từ những vi phạm AT ở nơi làm việc. Một CS như vậy cũng có th ể nâng cao nhận thức của nhân viên về việc bảo vệ thông tin nhạy cả m. CS này áp dụng cho tất cả các nhân viên và các chi nhánh của công ty X.
Tủ tài liệu chứa thông tin nhạy cảm hoặc thông tin không được phổ biến rộ ng phải được đóng và khóa khi không sử dụng hoặc khi không có mặt ở đó. CS này áp dụng cho tất cả các nhân viên và các chi nhánh của công ty X. Tủ tài liệu chứa thông tin nhạy cảm hoặc thông tin không được phổ biến rộ ng phải được đóng và khóa khi không sử dụng hoặc khi không có mặt ở đó.
Liệt kê các thực thể và trách nhiệm liên quan tới việc thực thi CS. việc thực thi CS phải có khả năng chịu được sự giám sát từ bên ngoài.
Kiểm tra xem tất cả các bên bị ảnh hưởng đã đọc chính sách chưa. Các tổ chức kết hợp các tuyên bố xác nhận chính sách vào hợp đồn g lao động, đánh giá hàng năm. ● Các thông điệp hàng ngày, Ví dụ: Trách nhiệm cá nhân, chỉ thị, sự bắt buộc.
Ch ữ ký và ngày tháng của nhân viên cung cấp d ấu vết trên giấy về việc họ đã nhận được CS. ví dụ về màn hình EULA yêu cầu đầu vào của người dùng cụ thể. đánh giá tuân thủ: như một bài kiểm tra ngắn, để đảm bảo rằng người dùng vừa đọc C S vừa hiểu CS.
Điểm tối thiểu thường được thiết lập trước khi nhân viên được chứng n hận tuân thủ. một video đào tạo ngắn, bài kiểm tra tuân thủ là phương pháp hay nhất hiện nay để th ực thi và tuân thủ CS. Trung tâm CS VigilEnt - trun g tâm thực hiện và phê duy ệt CS tập trung.
VPC server sends published policy docs and quizzes to the server for distribution to the user sites.
Trình bày về quy trình xây dựng CS theo cách tiếp cận quả n lý dự án. Ở phần đầu, hãy mô tả tổ chức mà Anh/Chị đan g tạo CS và sau đó hoàn thành CS.