14. Sự tuân thủ
14.1.5.Ngăn ngừa việc lạm dụng phương tiện xử lý thông tin
Biện pháp quản lý
Cần ngăn chặn người dùng khỏi việc sử dụng các phương tiện xử lý thông tin vào mục đích không được phép.
Hướng dẫn triển khai
Ban quản lý cần thông qua việc sử dụng các phương tiện xử lý thông tin. Mọi sự sử dụng các phương tiện này cho các mục đích phi nghiệp vụ mà chưa có sự thông qua của ban quản lý (xem 5.1.4), hoặc cho các mục đích trái phép, đều được coi là sử dụng các phương tiện một cách không phù hợp. Nếu bất kỳ hoạt động trái phép nào được xác định bởi quá trình giám sát hoặc bởi các biện pháp khác thì hoạt động này cần được đưa vào diện lưu ý của người quản lý, trong đó cần quan tâm đến biện pháp xử phạt thỏa đáng và/hoặc hoạt động pháp lý.
Cần có sự tư vấn pháp lý trước khi triển khai các thủ tục giám sát.
Mọi người dùng đều phải nhận thức được phạm vi truy cập được phép của họ và việc giám sát nhằm phát hiện sự sử dụng trái phép. Họ có thể được cấp cho một giấy phép, mà bản sao của nó sẽ được người dùng ký vào và được tổ chức lưu giữ một cách an toàn. Các nhân viên của tổ chức, người của nhà thầu và bên thứ ba cần được tư vấn là không được truy cập trừ khi truy cập đó đã được cấp phép.
Tại thời điểm đăng nhập, cần có một thông điệp cảnh báo chỉ ra rằng phương tiện xử lý thông tin đang được truy cập là thuộc quyền sở hữu của tổ chức và sự truy cập chưa được cấp phép sẽ bị cấm. Người dùng phải hiểu biết và phản ứng một cách phù hợp với thông điệp trên màn hình để tiếp tục quá trình đăng nhập (xem 10.5.1).
Thông tin khác
Các phương tiện xử lý thông tin của một tổ chức thường dành riêng và trước tiên cho các mục đích nghiệp vụ.
Các công cụ phát hiện vi phạm, kiểm tra nội dung, và các công cụ giám sát khác có thể giúp ngăn ngừa và phát hiện sự lạm dụng các phương tiện xử lý thông tin.
Rất nhiều nước đã có các quy định pháp lý trong việc bảo vệ chống lại việc lạm dụng máy tính. Đó có thể là sự vi phạm có tính chất hình sự trong việc sử dụng máy tính cho những mục đích trái phép. Tính pháp lý của việc giám sát sự sử dụng cũng khác nhau giữa các quốc gia và có thể đòi hỏi ban quản lý phải tư vấn cho mọi người dùng về việc giám sát và/hoặc để nhận được sự chấp thuận của họ. Nếu hệ thống đang được truy cập được sử dụng cho truy cập công cộng (ví dụ dịch vụ web công cộng) và là đối tượng cần giám sát an toàn bảo mật thì cần đưa ra một thông điệp thông báo về điều đó.