7 Nhận dạng các rủi ro và chuẩn bị xác định các biện pháp an toàn
7.2.1 Các yêu cầu an toàn trong chính sách an toàn thông tin doanh nghiệp
Chính sách an toàn thông tin doanh nghiệp của một tổ chức (hay của một cộng đồng) có thể bao gồm những công bố về sự cần thiết đối với tính bí mật, tính toàn vẹn, sự không chối bỏ và tính sẵn sàng, cũng như các quan điểm về các loại đe dọa và rủi ro, và các biện pháp an toàn mạng sẽ cần phải được triển khai bất kể những rủi ro đã được đánh giá. Do đó, bước đầu tiên phải là soát xét chính sách an toàn thông tin doanh nghiệp để có những chi tiết về các rủi ro liên quan đến mạng, những rủi ro mà luôn được xem là ở mức cao, và về các biện pháp an toàn mạng phải được triển khai.
Ví dụ, một chính sách như vậy có thể công bố rằng
• Tính sẵn sàng của một số loại thông tin hay dịch vụ cố định là mối quan tâm chủ yếu,
• Không cho phép thực hiện các kết nối qua các đường dây quay số,
• Tất cả các kết nối tới Internet phải được thực hiện qua một cổng an toàn,
• Một loại cổng an toàn đặc thù nên được sử dụng,
• Không thể thực hiện thanh toán nếu không có chữ kí số hợp lệ
Các yêu cầu như vậy phải được tính đến khi thực hiện đánh giá rủi ro và soát xét quản lý, và xác định các khía cạnh kiến trúc/thiết kế an toàn kỹ thuật và các biện pháp an toàn tiềm năng. Bất kì yêu cầu nào như vậy sẽ phải ghi lại trong danh sách phác thảo các vấn đề về những biện pháp tiềm năng, và khi cần thì được phản ánh trong các tùy chọn kiến trúc/thiết kế an toàn kỹ thuật. Hướng dẫn về chính sách an toàn thông tin được cung cấp trong TCVN ISO/IEC 27002:2011 và ISO/IEC 27005.