- Sự tuân thủ
2.1.3.4 Soát xét và đánh giá chính sách an toàn thông tin
Việc soát xét và đánh giá chính sách thông tin được tiêu chuẩn TCVN 7562 trình bày trong phần 3.1.2 nhưng không chỉ rõ các thông tin đầu vào và thông tin đầu ra của việc soát xét đánh giá do đó dễ gây khó khăn và vướng mắc cho người triển khai
Ngoài ra việc soát xét đánh giá cần lưu vào hồ sơ lưu trữ hỗ trợ công tác quản lý, điều tra và xử lý khi có sự cố xảy ra.
2.1.3.5 Phân loại và kiểm soát tài sản
Việc phân loại và kiểm soát tài sản được trình bày trong điều 5 của TCVN 7562. Phần này đã đề cập đến các quy tắc trong giải trình tài sản và phân loại thông tin. Tuy nhiên đối với các tài sản/thông tin cần quản lý thông tin về đối tượng sử dụng tài sản/thông tin, ở đây có thể hiểu là một quy trình nghiệp vụ, một tập hợp các hành động, một ứng dụng và một tập hợp dữ liệu. Việc xác định rõ các đối tượng sử dụng sẽ là một nhân tố quan trọng để phân loại thông tin.
2.1.3.6 An ninh cá nhân
Điều 6 của tiêu chuẩn TCVN 7562 có tên “an ninh cá nhân” bao gồm ba nội dung: an ninh theo định nghĩa và nguồn công việc; đào tạo người sử dụng và đối phó với các sự cố an ninh.
Nội dung điều này được xây dựng từ nội dung “personnel security” trong tiêu chuẩn ISO 17999:2000, đề ra các quy tắc đảm bảo an toàn trong tổ chức cán bộ. Tên “an ninh cá nhân” sẽ dễ dẫn đến hiều nhầm là đảm bảo an toàn và tính bảo mật thông tin cá nhân mà cần hiểu là an toàn trong việc tổ chức và.
những cần quan tâm đảm bảo an toàn thông tin cho tổ chức từ các khâu tuyển dụng, ký kết hợp đồng và quản lý nhân lực mà còn phải quản lý rất chặt việc thay đổi vị trí công tác hoặc những nhân viên kết thúc hợp đồng. Khi công việc của một nhân viên kết thúc thì các thông tin, hiểu biết mà các nhân viên này đã có rất có thể gây ra các sự cố an toàn thông tin trong tổ chức. Ty nhiên điều này chưa được đề cập rõ ràng và đủ trong tiêu chuẩn TCVN 7562.
2.1.3.7 Quản lý truyền thông và hoạt động
Đây là tiêu đề của nội dung số 8 trong tiêu chuẩn TCVN 7562. Sự thay đổi nhanh chóng của công nghệ cũng như ứng dụng công nghệ trong cuộc sống đã dẫn đến một số nội dung cần bổ sung như
a Sự chuyển nhượng dịch vụ
Sự chuyên nghiệp hóa và sự phát triển của các dịch vụ phụ trợ trong thời gian gần đây đã tạo ra một xu hướng mới là các cơ quan, tổ chức có thể thuê một đối tác khác (bên thứ ba) cung ứng các dịch vụ mà thường trước đây tổ chức tự xử lý như dịch vụ đảm bảo an toàn hệ thống thông tin là một ví dụ điển hình. Việc các tổ chức rất khó có thể tổ chức và duy trì một đội ngũ đảm bảo an toàn thông tin đủ mạnh với nhu cầu và tiềm năng của mình trong khi phải đối mặt với các vấn đề an toàn thông tin phát sinh thường xuyên như hiện nay thì việc thuê khoán một đối tác cung cấp dịch vụ chuyên nghiệp là rất cần thiết và hiệu quả. Tuy nhiên để đảm bảo hiệu quả cũng như chất lượng cần thiết thì cần phải thường xuyên giám sát và soát xét chất lượng dịch vụ và quản lý chặt việc các thay đổi dịch vụ. Đây là một nội dung rất quan trọng cần có các quy tắc quản lý chặt chẽ nhưng chưa có trong nội dung của tiêu chuẩn TCVN 7562.
b Giao dịch trực tuyến
Thương mại điện tử đặc biệt phát triển rất nhanh trong thời gian gấn đây và chứng tỏ được những ưu điểm vô cùng lớn so với những loại hình kinh doanh truyền thống nhưng cũng tiềm ẩn rất nhiều nguy cơ gây mất an toàn thông tin. Giao dịch trực tuyến là một trong những vấn đề cơ bản ảnh hướng tới thành
công của thương mại điện tử nhưng lại chưa được đề cập đến trong tiêu chuẩn TCVN 7562.
c Sự cố an toàn thông tin
Trong tiêu chuẩn TCVN 7562, sự cố an toàn thông tin được đề cập trong điều 6 về an ninh cá nhân và điều 8 về quản lý truyền thông và hoạt động. Tuy nhiên ở đây chỉ đề cập đến trách nhiệm của các cá nhân trong việc thông báo khi phát hiện sự cố và quy trình xử lý khi có sự cố xảy ra.
Thực tế cho thấy việc quản lý các sự cố đã xảy ra cũng như các thông tin về hoạt động khắc phục là vô cùng quan trọng và cần lưu trữ làm tài liệu phục vụ cho công tác nghiên cứu, khắc phục, phòng ngừa và điều tra sau này. Nhưng bên cạnh đó cũng cần phải quản lý cả các điểm yếu có khả năng bị tin tặc tấn công, chủ động tìm kiếm phát hiện các điểm yếu này để có biện pháp xử lý sớm cũng là một trong những hoạt động rất quan trọng giúp đảm bảo an toàn thông tin giảm thiểu thiệt hại một cách hiệu quả. Các quy trình nâng cấp và khắc phục điểm yếu phải được chuẩn bị để chủ động trong việc bảo vệ hệ thống. Vấn đề này hiện chưa được đề cập trong tiêu chuẩn TCVN 7562.