9. Quản lý truyền thông và vận hành
9.9.3. Thông tin công kha
Biện pháp quản lý
Tính toàn vẹn của các thông tin công khai trên hệ thống công cộng cần phải được bảo vệ nhằm ngăn chặn sửa đổi trái phép.
Hướng dẫn triển khai
Cần có các cơ chế bảo vệ thích hợp, ví dụ chữ ký số (xem 11.3), nhằm bảo vệ các phần mềm, dữ liệu và các thông tin yêu cầu mức toàn vẹn cao khác sẽ được công bố trên hệ thống thông tin đại chúng. Hệ thống truy cập công cộng cần được kiểm tra trước khi thông tin được công bố. Cần có một quá trình phê chuẩn chính thức trước khi thông tin được công bố. Hơn nữa, tất cả các đầu vào được cung cấp từ bên ngoài hệ thống cũng cần được xác minh và phê chuẩn. Các hệ thống xuất bản điện tử, đặc biệt là các hệ thống cho phép phản hồi và đưa trực tiếp thông tin vào, cần được quản lý cẩn thận sao cho:
a) thông tin thu được tuân theo các quy định pháp lý về bảo vệ dữ liệu (xem 14.1.4);
b) đầu vào thông tin tới và được xử lý bởi hệ thống xuất bản sẽ được xử lý hoàn chỉnh và chính xác đúng lúc;
c) thông tin nhạy cảm sẽ được bảo vệ trong quá trình thu thập, xử lý và lưu trữ;
d) truy cập đến hệ thống xuất bản không cho phép truy cập không có mục đích vào các mạng mà hệ thống kết nối tới.
Thông tin khác
Thông tin trên hệ thống công cộng, ví dụ thông tin trên một máy chủ Web có thể truy cập qua Internet, có thể cần phải tuân theo các quy định của luật pháp, các quy tắc và điều lệ ở phạm vi pháp lý mà hệ thống đang tồn tại, nơi xảy ra giao dịch hoặc nơi người sở hữu cư trú. Việc chỉnh sửa trái phép thông tin được xuất bản có thể làm tổn hại đến danh tiếng của tổ chức phát hành.
9.10. Giám sát
Mục tiêu: Nhằm phát hiện các hoạt động xử lý thông tin trái phép
Cần giám sát các hệ thống và ghi lại các sự kiện liên quan đến an toàn thông tin. Các nhật ký của người điều hành và nhật ký lỗi có thể được sử dụng nhằm đảm bảo nhận biết được tất cả các vấn đề về hệ thống thông tin.
Tổ chức cần tuân thủ tất cả các yêu cầu pháp lý liên quan trong các hoạt động giám sát và ghi nhật ký.
Giám sát hệ thống cũng cần được sử dụng nhằm kiểm tra tính hiệu quả của các biện pháp quản lý được áp dụng và kiểm chứng sự phù hợp với một mô hình chính sách truy cập.