Các giao dịch trực tuyến

Một phần của tài liệu Tiêu chuẩn ISOIEC27002 2011 (Trang 47 - 48)

9. Quản lý truyền thông và vận hành

9.9.2. Các giao dịch trực tuyến

Biện pháp quản lý

Thông tin trong các giao dịch trực tuyến cần được bảo vệ khỏi việc truyền thông tin không đầy đủ, sai địa chỉ, sửa đổi thông điệp trái phép, tiết lộ trái phép, sao chép thông điệp trái phép hoặc thực hiện lại giao dịch.

Hướng dẫn triển khai

Cần quan tâm đến các vấn đề an toàn sau trong thương mại điện tử: a) việc sử dụng chữ ký điện tử của các bên tham gia giao dịch; b) tất cả các khía cạnh về giao dịch, nhằm đảm bảo rằng:

1) các ủy nhiệm người dùng của tất cả các bên đều hợp lệ và đã được xác minh; 2) giao dịch đảm bảo tin cậy; và

3) tính riêng tư của tất cả các bên đều được duy trì;

c) luồng thông tin trao đổi giữa tất cả các bên tham gia đều được mã hóa;

d) các giao thức sử dụng nhằm trao đổi thông tin giữa tất cả các bên tham gia được đảm bảo an toàn;

e) đảm bảo rằng các thông tin chi tiết về giao dịch được lưu trữ ở bên ngoài môi trường công cộng dễ truy cập, ví dụ nằm trong một bộ phận lưu trữ thuộc mạng nội bộ của tổ chức, và không được lưu trữ trong một môi trường lưu trữ dễ dàng truy cập trực tiếp từ Internet;

f) nếu sử dụng một chuyên gia đủ tin cậy (ví dụ để ban hành và duy trì các chữ ký số và/hoặc các chứng chỉ số) thì an toàn thông tin sẽ là sự kết hợp và nằm trong toàn bộ quy trình quản lý chứng

chỉ/chữ ký từ đầu đến cuối. Thông tin khác

Phạm vi của các biện pháp quản lý được sử dụng cần tương ứng với mức độ rủi ro liên quan đến từng loại hình giao dịch trực tuyến.

Các giao dịch có thể cần phải tuân theo các quy định của luật pháp, các quy tắc và điều lệ trong phạm vi pháp lý mà giao dịch được khởi tạo, được xử lý, được hoàn thành, và/hoặc được lưu trữ.

Có rất nhiều loại hình giao dịch có thể được thực hiện theo phương thức trực tuyến, ví dụ hợp đồng, tài chính...

Một phần của tài liệu Tiêu chuẩn ISOIEC27002 2011 (Trang 47 - 48)

Tải bản đầy đủ (DOC)

(101 trang)
w