1. 1. Chiến lượcChiến lược
• Năng lực an toàn thông tin là vấn đề cốt Năng lực an toàn thông tin là vấn đề cốt lõi cần xây dựng đơn vị.
lõi cần xây dựng đơn vị.
• Dựa vào bên thứ 3 cho tất cả hoặc phần Dựa vào bên thứ 3 cho tất cả hoặc phần nào đó.
nào đó.
• Cần một thời gian ngắn để bên thứ 3 giúp Cần một thời gian ngắn để bên thứ 3 giúp cải thiện chương trình sau đó chuyển giao cải thiện chương trình sau đó chuyển giao
công nghệ cho cán bộ.
công nghệ cho cán bộ.
1. Chiến lược 2. Hợp phần 3. Quản lý
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
• Có cần lãnh đạo có năng lực cho đơn vị.Có cần lãnh đạo có năng lực cho đơn vị.
• Có đào tạo đầy đủ cho cán bộ và họ có đạt Có đào tạo đầy đủ cho cán bộ và họ có đạt được chứng nhận của ngành.
được chứng nhận của ngành.
• Có tiếp tục chương trình đào tạo để đảm Có tiếp tục chương trình đào tạo để đảm bảo cán bộ có được chứng nhận của
bảo cán bộ có được chứng nhận của ngành.
ngành.
• Đơn vị theo mô hình tập trung hay phân Đơn vị theo mô hình tập trung hay phân tán.tán.
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
• Bạn có muốn cách ly trách nhiệm trong Bạn có muốn cách ly trách nhiệm trong đơn vị như thế nào.
đơn vị như thế nào.
• Vai trò và trách nhiệm của cán bộ an toàn Vai trò và trách nhiệm của cán bộ an toàn thông tin.
thông tin.
• Phối hợp tối ưu nhất cán bộ trong đơn vị Phối hợp tối ưu nhất cán bộ trong đơn vị an toàn thông tin.
an toàn thông tin.
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
2. Hợp phần 2. Hợp phần
• Quản lý an toànQuản lý an toàn
• Cán bộ kỹ thuậtCán bộ kỹ thuật
• Kiểm soátKiểm soát
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
• Quản lý an toànQuản lý an toàn
- Lãnh đạo an toàn thông tin hiểu biết rộng:Lãnh đạo an toàn thông tin hiểu biết rộng:
+ An toàn thông tin + An toàn thông tin
+ Hoạt động của đơn vị + Hoạt động của đơn vị
- Nhà quản lý an toàn thông tin cần:Nhà quản lý an toàn thông tin cần:
+ Chứng chỉ kỹ năng attt (CISSP) + Chứng chỉ kỹ năng attt (CISSP)
+ Chứng chỉ quản lý attt (CISM) + Chứng chỉ quản lý attt (CISM)
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
• Cán bộ kỹ thuậtCán bộ kỹ thuật Cần có:
Cần có: + Kỹ năng thích hợp theo lĩnh vực+ Kỹ năng thích hợp theo lĩnh vực + SysAdmin
+ SysAdmin + Audit
+ Audit
+ Network Security + Network Security
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
• Kiểm soátKiểm soát
Đảm bảo cho chương trình hoạt động phù Đảm bảo cho chương trình hoạt động phù
hợp với chính sách đã đề ra:
hợp với chính sách đã đề ra:
+ Có vai trò rất quan trọng + Có vai trò rất quan trọng
+ Phải hiểu về chương trình attt + Phải hiểu về chương trình attt
+ Có kinh nghiệm + Có kinh nghiệm
+ Có chứng chỉ kiểm soát hệ thống + Có chứng chỉ kiểm soát hệ thống thông tin (CISA)
thông tin (CISA)
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
3. Quản lý 3. Quản lý
Vai trò trong chương trình attt CEO - Thiết lập trương trình attt chung
- Kiểm soát quá trình chung
Lãnh đạo attt Duy trì cấu trúc và chiến lược attt Giám đốc thông tin
(CIO)
Thuê và quản lý nhóm attt Giám đốc an toàn
(CSO)
Xây dựng lộ trình attt và báo cáo quy trình theo mục tiêu chung
Giám đốc attt (CISO) Chiến lược hóa và thực hiện thành công nguồn lực ngoài
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
Vị trí của attt trong đơn vị IT
CIO
Dịch vụ & hỗ trợ khách hàng
Ứng dụng
kinh doanh Vận hành ATTT
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con
người người
Tổ chức ATTT theo chức năng
ATTT
AT mạng AT Host AT ứng dụng Nhận thức
về AT