CHƯƠNG1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THÔNG TIN
3.1. Chính sách an tồn thơng tin
3.1.1. Định nghĩa
- Chính sách ATTT là tập hợp những chỉ thị và hướng dẫn về ATTT. Chính sách an tồn bảo mật thơng tin là tập hợp các điều luật, các quy định bảo đảm sự bảo vệ có hiệu quả các hệ thống thơng tin chống lại những hiểm họa ATTT.
- Chính sách ATTT là các tun bố hình thức nhằm mơ tả các muc tiêu ưu tiên và mục đích quản lý ATHTTT cũng như cách đạt được những mục tiêu này.
3.1.2. Chức năng
• Bảo vệ con người và bảo vệ thơng tin.
• Đưa ra những quy tắc hoạt động của người dùng. quản trị hệ thống, quản trị và nhân viên an ninh.
• Cho phép nhân viên an ninh giám sát, thăm dị và điều tra.
• Xác định và phê chuẩn hậu quả của sự vi phạm.
• Xác định quan điểm cơ sở thống nhất về an tồn của tổ chức.
• Hỗ trợ tối thiểu hóa rủi ro.
• Hỗ trợ tuân thủ quy định và luật lệ .
➢ VD: Sd mật khẩu: Chính sách nhân viên phải đổi mật khẩu 3 tháng 1 lần.
o Xác định quan điểm cơ sở thống nhất về an toàn của tổ chức.
o Hỗ trợ tối thiểu hóa rủi ro.
o Hỗ trợ tuân thủ quy định và luật lệ.
➢ VD: Chính sách phân quyền người dùng: Chính sách khơng cho người khác mượn tài khoản của mình. Chính sách thu thồi quyền => đảm bảo thông tin không bị mất mát.
o Kiểm soát được mọi mối đe dọa đối với hệ thống.
48
o Thiết lập luật lệ cho người dùng.
o Xác định hậu quả của các vi phạm.
o Tối thiểu hóa rủi ro cho tổ chức.
=> Bất kì 1 q trình xử lý thơng tin nào mà chứa một trong các yêu cầu trên thì cần đưa ra một chính sách ATTT.
3.1.3. Yêu cầu
• Kiểm sốt được mọi mối đe dọa đối với hệ thống.
• Bao gồm việc bảo về con ng và thơng tin.
• Thiết lập luật lệ cho ng dùng.
• Xác định hậu quả của các vi phạm.
• Tối thiểu hóa rủi ro cho tổ chức.
3.1.4. Tại sao chính sách ATTT lại quan trọng
• Cung cấp 1 khung làm việc toàn diện cho sự lựa chọn và thực thi các biện pháp AT.
• Tạo ra phương tiện liên lạc giữa các bên liên quan.
• Quản lý các tài nguyên: con người, kỹ năng, tiền bạc, thời gian …
• Giúp tạo ra “Văn hóa AT” : Niềm tiên vào các giá trị liên quan đến AT đc chia sẽ.
• Nghĩa vụ pháp ly.
• Giúp thúc đẩy các mối quan hệ tin cậy giữa các tổ chức và các đối tác khách hàng trong kinh doanh của tổ chức.
3.1.5. Mối quan hệ của chính sách, chuẩn, thủ tục và hướng dẫn
49 - Gồm hai mối quan hệ:
▪ Mối quan hệ từ bên ngoài ▪ Mối quan hệ từ bên trong
Mối quan hệ từ bên ngồi: chuẩn sẽ khơng gắn liền với chính sách, chỉ là tài liệu tham khảo cho chính sách, tất cả nội dung trong chính sách khơng thuộc trong chuẩn, một phần chính sách tn theo chuẩn, phần cịn lại của chính sách khơng tuân theo chuẩn không sao.
Mối quan hệ từ bên trong: khi có thủ tục, hướng dẫn, tồn bộ nội dung trong thủ tục hướng dẫn phải có trong chính sách.