Tổng quan cung cấp dịch vụ

Một phần của tài liệu 2013-cyber-security-whiterpaper-vn (Trang 44 - 46)

Bằng việc triển khai các quy trình bảo đảm an ninh mạng end-to-end, chúng tôi tăng cường khả năng xác định và giải quyết các vấn đề an ninh mạng, kể cả cải tiến kỹ thuật sản phẩm, quy trình và quy định, và quản lý nhân sự. Bằng cách này, chúng tơi có thể đảm bảo rằng các sản phẩm và dịch vụ chúng tôi cung cấp được bảo mật trong khả năng tối đa.

Do các nhà khai thác dịch vụ viễn thông đang hướng tới mục tiêu giảm thiểu chi phí bằng cách outsource cơng tác quản lý và vận hành mạng, do vậy cần phải cân nhắc tới nhiều loại rủi ro an ninh mới, đồng thời thẩm tra lại các quá trình và thủ tục. Các lĩnh vực cần chú ý là:

 An ninh thông tin

 Quản lý nhân sự

 Tuân thủ luật pháp và quy định sở tại

 Chiến lược kinh doanh cốt lõi

 An ninh vật lý

 Quản lý hoạt động chuyển tiếp

Tuy nhiên, khác với dịch vụ tích hợp mạng, những rủi ro này cùng được quản lý bởi nhà cung cấp và chủ sở hữu mạng.

Trước khi làm việc với mạng, cần được chủ sở hữu mạng cấp phép. Trong khi tải phần mềm vào mạng của khách hàng, phần mềm phải được quét trước khi sử dụng để diệt virus và đảm bảo rằng các công cụ và phần mềm sử dụng được mua qua các kênh hợp pháp (ví dụ như website hỗ trợ chính thức), và có chữ ký số chính xác khi rời quy trình R&D.

Tất cả các hoạt động trên mạng được ghi lại trong nhật ký kiểm tra để đảm bảo khách hàng có thể xác nhận tính hợp lệ của cơng việc được giao và công việc được thực hiện đúng với công việc được giao.

Tuy nhiên, sự cố có thể xảy ra trong mạng của khách hàng, đó có thể là lỗi phần cứng hoặc phần mềm, hoặc các vấn đề về công nghệ. Các sự cố của khách hàng có thể được xác định và giải quyết nhanh chóng. Huawei xác định lỗi an ninh mạng dựa trên các định nghĩa của họ được ghi lại tại trung tâm hỗ trợ và các vấn đề an ninh mạng ghi nhãn “An ninh mạng” trong hệ thống iCare và gửi các vấn đề này lên bộ phận TAC/GTAC và sau đó gửi lên PSIRT, đảm bảo rằng tiến dộ xử lý vấn đề được báo cáo kịp thời.

Cung cấp dịch vụ Yêu cầu kinh doanh Yêu cầu hoạt động Đánh giá & Tư vấn Quy hoạch mạng Thiết kế, giới thiệu & tích hợp mạng Hỗ trợ và bảo đảm cho khách hàng Phát triển kỹ thuật và học hỏi Quản lý dịch vụ Quản lý tài sản thông tin Quản lý truy cập Sự toàn vẹn phần mềm Quản lý việc ủy quyền Bảo vệ sự riêng tư Thiết kế và củng cố an ninh An ninh vật lý và môi trường An ninh viễn thơng & hoạt

động Kiểm sốt truy cập Phát triển và bảo trì hệ thống thơng tin Phân loại và kiểm sốt tài sản thơng tin

Ngồi ra, có bốn điểm kiểm sốt chính được đưa vào quy trình sửa chữa linh kiện và dịch vụ gửi trả để đảm bảo khả năng bảo mật dữ liệu, đó là:

1. Sau khi yêu cầu dịch vụ sửa chữa và gửi trả được gửi lên, hệ thống tự động nhắc khách hàng xóa dữ liệu lưu trữ trong các bộ phận được sửa chữa.

2. Trước khi các bộ phận hỏng được gửi về Huawei, khách hàng nhận được mẫu phiếu sửa chữa nhằm nhắc nhở họ xóa dữ liệu hoặc tháo các thiết bị lưu trữ.

3. Trong trường hợp các bộ phận không thể sửa tại chỗ và phải gửi về trụ sở chính của Huawei, tag lỗi sẽ được kiểm tra theo từng hạng mục. Các sản phẩm có dữ liệu lưu trữ chưa được xóa hoặc các thiết bị lưu trữ chưa được tháo bị cấm gửi trả về trụ sở chính. Khách hàng có thể ủy quyền cho Huawei xóa dữ liệu nếu luật pháp tại địa phương cho phép.

4. Trong trường hợp các bộ phận bị hỏng có thể sửa tại chỗ, thiết bị kiểm tra tự động xóa dữ liệu trong các bộ phận này.

Các nhân viên cung cấp dịch vụ là những người lực lượng xung kích của cơng ty do họ truy cập vào các thông tin nhạy cảm tiềm tàng, và được đào tạo để hỗ trợ việc bảo vệ mạng khỏi các vấn đề kiểm soát truy cập, an ninh liên lạc và bảo vệ dữ liệu đã được xác định. Về phần quản lý nhân viên, Huawei đã phát triển một bộ Quy tắc ứng xử, dựa trên ISO27001 và các tiêu chuẩn khác, cho các nhân viên, bao gồm năm yếu tố chính, ví dụ như các yêu cầu vật lý và môi trường. Hoạt động quản lý mạng cũng phải xem xét các miền của nhiều nhà cung cấp và đề phịng việc xóa bỏ trái phép các thơng tin cá nhân hoặc bí mật.

Huawei quản lý chặt chẽ các nhân viên có quyền truy cập vào mạng của khách hàng. Những nhân viên này phải ký giấy cam kết về các trách nhiệm pháp lý, trách nhiệm giải trình và vai trị của họ và phải nghiên cứu và làm các bài kiểm tra liên quan đến an ninh mạng.

Các văn phòng đại diện và các đội dự án phải quản lý an ninh mạng thường xuyên và theo dõi hoạt động của các thành viên trong đội và nhân viên trong việc tuân thủ các yêu cầu an ninh mạng. Hoạt động quản lý các nhân viên thuê ngoài là một phần quan trọng trong quản lý dự án tại chỗ. Các nhân viên th ngồi này có hiểu biết khác nhau về an ninh mạng; do đó, họ phải tham gia vào các khóa đào tạo do đội dự án tổ chức và chỉ có thể đảm trách các nhiệm vụ sau khi vượt qua đánh giá của đội dự án. Huawei đã phát triển các tiêu chuẩn chấp thuận dự án của các nhân viên thuê ngoài và đánh giá chất lượng dự án của họ dựa trên các tiêu chuẩn này.

7.10 Khi gặp sự cố: Vấn đề, sai sót, phát hiện và giải pháp khắc phục yếu điểm bảo mật điểm bảo mật

Khơng có cơng ty chịu trách nhiệm nào có thể đảm bảo 100% về vấn đề an ninh. Do đó, khả năng của một cơng ty có thể đối phó một cách hiệu quả lại những vấn đề, rút ra bài học từ các sự cố đóng vai trị vơ cùng quan trọng đối với cả khách hàng và nhà cung cấp. Biết được việc gì cần làm trong thời điểm “khủng hoảng” sẽ đảm bảo có thể cung cấp thơng tin cho các cán bộ điều hành cấp cao từ đó đưa ra quyết định nhanh chóng và hợp tác hiệu quả với khách hàng và các bên liên quan đảm bảo dịch vụ thông thường được phục hồi một cách nhanh chóng và an tồn.

Chúng ta đang sống trong một thế giới được kết nối tồn cầu, và ln phải đối mặt với các mối đe dọa máy tính tồn cầu. Những mối đe dọa đó khơng chỉ giới hạn trong phạm vi địa lý của những quốc gia, mà còn ảnh hướng đến tồn bộ cơng nghệ và các nhà cung cấp dịch vụ/phần mềm/phần cứng. Các nguy cơ luôn luôn cao, và mức độ phức tạp cũng như khối lượng thì ngày càng tăng.

Quy trình Phương hướng đề ra Giải pháp (ITR) cung cấp một khn khổ khép kín từ khâu tiếp nhận, phân tích và xử lý các vấn đề mà khách hàng của chúng ta gặp phải, có liên quan đến an ninh hay không.

Thông thường các vấn đề khách hàng có thể ảnh hưởng ít nhiều đến cơng ty chúng tơi khi đó là một yêu cầu dịch vụ kỹ thuật, yêu cầu dịch vụ vận hành và vấn đề về linh kiện, một vấn đề an ninh được trình báo hoặc khiếu nại của khách hàng. Do vậy, quy trình ITR được kết hợp chặt chẽ với quá trình Nghiên cứu và Phát triển (IPD), PSIRT, Hệ thống Dò tìm Lỗi (DTS) và quy trình khác. Điều này giúp đảm bảo đối phó kịp thời để giải quyết các vấn đề cho khách hàng.

GCSO: Giám đốc an ninh mạng toàn cầu SPOC: Điểm liên lạc đơn

Một phần của tài liệu 2013-cyber-security-whiterpaper-vn (Trang 44 - 46)

Tải bản đầy đủ (PDF)

(55 trang)