8 Quản lý tác nghiệp và thông tin liên lạc (Communications and operations
8.7.4 An toàn thư điện tử (Security of electronic mail)
8.7.4.1 Các rủi ro về bảo mật (Security risks)
Thư điện tử đang được sử dụng trong giao dịch truyền thông, thay thế các hình thức giao dịch truyền thống như telex và thư tín. Điểm khác biệt của thư điện tử so với các hình thức giao dịch truyền thống là tốc độ, cấu trúc thông điệp, mức độ thân thiện và khả năng bị xâm phạm từ các hành động bất hợp pháp. Điều đáng quan tâm ở đây là nhu cầu cần có các quy tắc nhằm giảm thiểu rủi ro từ thư điện tử. Có thể kể ra các rủi ro về bảo mật bao gồm:
a) Nguy cơ truy cập bất hợp pháp, sửa đổi thông điệp, hoặc từ chối dịch vụ.
b) Nguy cơ gây lỗi, như sai địa chỉ hoặc sự hướng dẫn sai địa chỉ, cũng như tính tin cậy, tính sẵn sàng của dịch vụ nói chung.
c) Sự ảnh hưởng của việc thay đổi các phương tiện truyền thông trong quá trình kinh doanh, như hiệu quả của việc gia tăng tốc độ gửi thông điệp hoặc hiệu quả trong việc gửi các thông điệp từ một cá nhân tới một cá nhân hơn là từ công ty tới công ty.
d) Quan tâm đến vấn đề luật pháp, như yêu cầu chứng minh tính nguồn gốc, sự gửi đi, phân phát và chấp nhận;
bên ngoài;
f) Quyền hạn truy cập từ xa tới tài khoản thư điện tử.
8.7.4.2 Chính sách thư điện tử (Policy on electronic mail)
Các tổ chức cần thảo ra các chính sách một cách rõ ràng về vấn đề sử dụng thư điện tử, bao gồm:
a) các tấn công thư điện tử, như nguy cơ về virus, nguy cơ ngăn chặn; b) bảo vệ các phần đính kèm thư điện tử;
c) hướng dẫn khi không sử dụng thư điện tử;
d) trách nhiệm của nhân viên là không làm tổn hại đến công ty, như việc gửi các thư điện tử làm ảnh hưởng đến uy tín công ty, sử dụng với mục đích quấy rối, mua bán bất hợp pháp.
e) Sử dụng kỹ thuật mã hóa để bảo vệ tính mật và tính toàn vẹn của thông điệp thư điện tử (xem 10.3);
f) Nếu đã lưu trữ, giữ lại các thông điệp nhằm phục vụ trong trường hợp liên quan đến luật pháp;
g) Đưa vào các quy tắc cho các thông điệp mang tính hiệu chỉnh (vetting messaging), đó là những thông điệp không thể được xác thực.