Các chính sách và thủ tục trao đổi thông tin

Một phần của tài liệu CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH QUẢN LÝ AN TÒAN THÔNG TIN (Trang 37 - 38)

9. Quản lý truyền thông và vận hành

9.8.1. Các chính sách và thủ tục trao đổi thông tin

Biện pháp quản lý

Các chính sách, thủ tục và biện pháp quản lý chính thức cần phải sẵn có để bảo vệ sự trao đổi thông tin thông qua hệ thống truyền thông.

Hướng dẫn triển khai

Các biện pháp và thủ tục cần tuân thủ khi sử dụng các phương tiện truyền thông điện tử trong trao đổi thông tin cần quan tâm đến các vấn đề sau:

a) các thủ tục được thiết kế nhằm bảo vệ thông tin được trao đổi khỏi sự nghe lén, sao chép, sửa đổi, sai địa chỉ, và phá hủy;

b) các thủ tục nhằm phát hiện và bảo vệ chống lại mã độc hại bị phát tán khi sử dụng các phương tiện truyền thông điện tử (xem 9.4.1);

c) các thủ tục nhằm bảo vệ thông tin điện tử nhạy cảm được trao đổi có tệp tin đính kèm;

chính sách hoặc các hướng dẫn sơ lược về sử dụng các phương tiện truyền thông điện tử (xem 6.1.3);

e) các thủ tục sử dụng các phương tiện truyền thông vô tuyến, quan tâm đến các rủi ro cụ thể; f) trách nhiệm của nhân viên, người của nhà thầu và những người dùng khác trong việc không làm ảnh hưởng xấu đến tổ chức, ví dụ phỉ báng, quấy rối, mạo danh, chuyển các bức thư hàng loạt, mua bán trái phép...;

g) có thể sử dụng các kỹ thuật mật mã nhằm bảo vệ tính bí mật, tính toàn vẹn và tính xác thực của thông tin (xem 11.3);

h) hướng dẫn ngăn chặn và hủy bỏ các thư từ giao dịch, bao gồm cả các thông điệp, theo các quy định và quy chế nội bộ và quốc gia có liên quan;

i) không được để thông tin nhạy cảm hoặc thông tin quan trọng trên các thiết bị in ấn, ví dụ các máy sao chụp tài liệu, máy in, máy quét, vì chúng có thể bị truy cập bởi những cá nhân không được phép; j) các biện pháp quản lý và các hạn chế liên quan đến việc chuyển tiếp các phương tiện truyền thông, ví dụ tự động chuyển tiếp thư điện tử vào các địa chỉ hộp thư bên ngoài;

k) nhắc nhở với mọi người về việc thực hiện đề phòng, ví dụ không tiết lộ thông tin nhạy cảm nhằm tránh không bị nghe lỏm hoặc bị nghe trộm khi đang gọi điện thoại bởi:

1) những người ở xung quanh, đặc biệt là khi đang sử dụng điện thoại di động;

2) nghe trộm, và các hình thức nghe trộm khác thông qua truy nhập vật lý đến máy điện thoại cầm tay hoặc đường điện thoại, hoặc sử dụng các máy thu quét;

3) những người ở đầu máy kia;

I) không để các thông điệp chứa thông tin nhạy cảm ở các máy trả lời vì các thông điệp này có thể bị những người không có quyền nghe lại, cất giữ trên các hệ thống công cộng hoặc cất giữ không đúng quy cách do quay số nhầm;

m) nhắc nhở với mọi người về các sự cố do sử dụng máy sao chép, cụ thể là:

1) truy cập trái phép vào các bộ lưu giữ thông điệp bên trong nhằm lấy các thông điệp;

2) cố ý hoặc vô tình lập trình cho các máy thực hiện gửi các-thông điệp đến các số cụ thể nào đó; 3) do quay số sai hoặc sử dụng số lưu trữ sai mà gửi nhầm các tài liệu và các thông điệp;

n) nhắc nhở mọi người không được đăng ký dữ liệu cá nhân, ví dụ các thông tin như địa chỉ thư điện tử hoặc các thông tin cá nhân khác, trong bất cứ phần mềm nào nhằm tránh bị thu thập thông tin cho

các mục đích sử dụng trái phép;

o) nhắc nhở mọi người rằng các máy sao chụp tài liệu hiện đại đều có các bộ nhớ trong và có thể lưu được nội dung các trang trong trường hợp có lỗi truyền dẫn hoặc lỗi về giấy in, các trang này sẽ được in lại ngay khi lỗi được khắc phục.

Hơn nữa, cũng cần nhắc nhở mọi người không được nói những điều bí mật ở các nơi công cộng hoặc các văn phòng rộng và các nơi hộp họp không có tường cách âm.

Các phương tiện trao đổi thông tin cần tuân thủ các yêu cầu pháp lý liên quan (xem 14). Thông tin khác

Có thể xảy ra trao đổi thông tin khi sử dụng nhiều loại phương tiện truyền thông khác nhau, bao gồm thư điện tử, thoại, sao chụp, và hình ảnh.

Có thể xảy ra trao đổi phần mềm thông qua nhiều phương thức khác nhau, bao gồm tải thông tin tử internet và tải thông tin được các nhà cung cấp các sản phẩm mua có sẵn yêu cầu.

Cần quan tâm đến những vấn đề về an toàn, pháp lý và nghiệp vụ liên quan đến việc trao đổi dữ liệu điện tử, thương mại điện tử, truyền thông điện tử và các yêu cầu về các biện pháp quản lý.

Thông tin có thể bị tổn hại do sự thiếu hiểu biết, các thủ tục và chính sách sử dụng các phương tiện trao đổi thông tin, ví dụ bị nghe trộm trên máy điện thoại di động ở nơi công cộng, chuyển sai địa chỉ của thông điệp thư điện tử, các máy trả lời bị nghe trộm, truy cập trái phép đến các hệ thống hộp thư thoại quay số hoặc vô tình gửi nhầm đến thiết bị sao chụp tài liệu.

Các hoạt động nghiệp vụ có thể bị phá vỡ và thông tin có thể bị tổn hại nếu các phương tiện truyền thông bị lỗi, bị quá tải hoặc bị ngắt kết nối (xem 9.3 và điều 13). Thông tin có thể bị tổn hại nếu bị truy cập bởi những người dùng trái phép (xem điều 10).

Một phần của tài liệu CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH QUẢN LÝ AN TÒAN THÔNG TIN (Trang 37 - 38)

Tải bản đầy đủ (DOC)

(88 trang)
w