Chính sách an toàn thông tin (Information security policy)
Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin.
Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết về an toàn thông tin thông qua việc đưa ra và duy trì các chính sách về an toàn thông tin đối với một tổ chức.
Tài liệu chính sách an toàn thông tin cần được phê chuẩn bởi nhà quản lý và cung cấp phổ biến cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông tin.Tối thiểu là bao gồm:
a) định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiết lập cơ chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu); b) đưa ra mục tiêu của sự quản lý, hỗ trợ mục đích và nguyên lý của an toàn thông tin
c) bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có tính chất quan trọng cho một tổ chức, ví dụ như:
1)đúng theo luật pháp và các yêu cầu hợp đồng 2) các yêu cầu về kiến thức an toàn
3) ngăn chặn và nhận dạng virus và các phần mềm hiểm độc khác; 4) quản lý tính liên tục trong kinh doanh;
5) các hậu quả của sự vi phạm các chính sách an toàn thông tin d) định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin bao gồm các báo cáo về các vấn đề an toàn nói chung.
e) tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách về an toàn thông tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người dùng.
Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng có liên quan.
Xây Dựng một Chính Sách Bảo Mật Hệ Thống
1. Xác định đối tượng cần bảo vệ: 2. Xác định nguy cơ đối với hệ thống
a. Các điểm truy nhập:
b. Không kiểm soát được cấu hình hệ thống c. Những bug phần mềm sử dụng
d. Những nguy cơ trong nội bộ mạng
3.Xác định phương án thực thi chính sách bảo mật a. Tính đúng đắn
b. Tính thân thiện c. Tính hiệu quả
4. Triển khai chính sách bảo mật bằng cách đào tạo người sử dụng và xây dựng thiết bị
5. Thiết lập các thủ tục bảo vệ hệ thống
a. Thủ tục quản lý tài khoản người sử dụng b. Thủ tục quản lý mật khẩu
c. Thủ tục quản lý cấu hình hệ thống d. Thủ tục sao lưu và khôi phục dữ liệu e. Thủ tục báo cáo sự cố