Hành động phòng ngừa

Một phần của tài liệu Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 (Trang 39)

Tổ chức cần xác định các hành động để tránh các nguyên nhân gây ra các vi phạm tiềm ẩn có thể phát sinh với hệ thống quản lý ATTT để có các biện pháp bảo vệ và phòng ngừa. Các hành động bảo vệ và phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể gây ra. Các thủ tục dưới dạng văn bản để bảo vệ, phòng ngừa cần xác định rõ các yêu cầu sau:

1/. Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng.

2/. Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện. 3/. Xác định và triển khai các hành động trên.

4/. Lập hồ sơ về các hành động này (xem 2.3.3.3). 5/. Xem xét các hành động đã được thực hiện trên.

Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại các thay đổi này. Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên kết quả của quá trình đánh giá rủi ro.

Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi khắc phục sự cố do các vi phạm gây ra.

38

Phụ lục A: Các mục tiêu quản lý và biện pháp quản lý

Các mục tiêu và biện pháp quản lý trong bảng A được xây dựng từ các điều số 5 đến 15 trong tiêu chuẩn quốc tế ISO/IEC 17799:2005[5]. Nội dung trong bảng A là chưa hoàn toàn đầy đủ nên tổ chức có thể tham khảo thêm các mục tiêu và biện pháp quản lý khác. Việc lựa chọn các mục tiêu và biện pháp quản lý trong bảng dưới đây sẽ được coi như một phần trong quá trình thiết lập hệ thống quản lý ATTT (xem 2.3.3.1).

Bảng A: Các mục tiêu và biện pháp quản lý

A.5 Chính sách an toàn bảo mật

A.5.1 Chính sách an toàn thông tin

Mục tiêu: Nhằm cung cấp định hướng quản lý và hỗ trợ bảo đảm an toàn thông tin thỏa mãn với các yêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ.

A.5.1.1 Tài liệu chính sách an toàn thông tin

Biện pháp quản lý

Một tài liệu về chính sách an toàn thông tin cần phải được phê duyệt bởi ban quản lý và được cung cấp, thông báo tới mọi nhân viên cũng như các bộ phận liên quan.

A.5.1.2 Xem xét lại chính sách an toàn thông tin

Biện pháp quản lý

Chính sách an toàn thông tin cần thường xuyên được xem xét theo đúng kế hoạch định trước hoặc nếu khi có những thay đổi lớn xuất hiện để luôn đảm bảo sự phù hợp, đầy đủ và thực sự có hiệu lực.

39

A.6 Sự tổ chức của bảo đảm an toàn thông tin

A.6.1 Tổ chức nội bộ

Mục tiêu:Nhằm quản lý an toàn thông tin bên trong tổ chức A.6.1.1 Ban quản lý đối cam kết

về bảo đảm an toàn thông tin

Biện pháp quản lý

Ban quản lý cần chủ động hỗ trợ bảo đảm an toàn thông tin trong tổ chức bằng các định hướng rõ ràng, các cam kết minh bạch, các nhiệm vụ rõ ràng và nhận thức rõ được trách nhiệm về bảo đảm an toàn thông tin.

A.6.1.2 Phối hợp bảo đảm an toàn thông tin

Biện pháp quản lý

Các hoạt động bảo đảm an toàn thông tin cần phải được phối hợp bởi các thành phần đại diện cho các bộ phận trong tổ chức với vai trò và nhiệm vụ cụ thể. A.6.1.3 Phân định trách nhiệm

bảo đảm an toàn thông tin

Biện pháp quản lý

Tất cả các trách nhiệm bảo đảm an toàn thông tin cần phải được xác định một cách rõ ràng.

A.6.1.4 Quy trình cấp phép cho chức năng xử lý thông tin

Biện pháp quản lý

Một quy trình quản lý cấp phép cho chức năng xử lý thông tin phải được xác định rõ và thi hành.

40 A.6.1.5 Các thỏa thuận bí mật Biện pháp quản lý

Các yêu cầu cho các thỏa thuận bí mật phản ánh các nhu cầu của tổ chức để bảo vệ thông tin sẽ được xác định rõ và thường xuyên xem xét lại.

A.6.1.6 Liên lạc với những cơ quan/tổ chức có thẩm quyền thẩm quyền

Biện pháp quản lý

Phải duy trì các kênh liên lạc cần thiết với các cơ quan có thẩm quyền.

A.6.1.7 Liên lạc với các với các nhóm có quyền lợi đặc biệt

Biện pháp quản lý

Giữ liên lạc với các nhóm có quyền lợi đặc biệt, các diễn đàn và hiệp hội an toàn thông tin.

A.6.1.8 Tự xem xét về an toàn thông tin

Biện pháp quản lý

Cách tiếp cận của tổ chức đối với việc quản lý và triển khai hoạt động đảm bảo an toàn thông tin (chẳng hạn như: các mục tiêu và biện pháp quản lý, các chính sách, các quá trình và các thủ tục đảm bảo an toàn thông tin) cần phải được tự xem xét theo định kỳ hoặc khi xuất hiện những thay đổi quan trọng liên quan đến an toàn thông tin.

41

A.6.2 Các thành phần bên ngoài

Mục tiêu: Nhằm duy trì an toàn thông tin và chức năng xử lý thông tin của tổ chức được truy cập, xử lý, truyền tới hoặc quản lý bởi các thành phần bên ngoài tổ chức. A.6.2.1 Xác định các rủi ro liên

quan đến các bộ phận ngoài

Biện pháp quản lý

Các rủi ro đối thông tin và các chức năng xử lý thông tin của tổ chức từ các quy trình nghiệp vụ liên quan đến các thành phần bên ngoài cần được nhận biết và triển khai biện pháp quản lý thích hợp khi cấp quyền truy cập cho các thành phần này.

A.6.2.2 Xem xét an toàn an ninh khi thương thảo với khách hàng

Biện pháp quản lý

Tất cả các yêu cầu về an toàn an ninh đã được xác định cần phải được xem xét trước khi cho phép khách hàng truy cập tới các tài sản hoặc thông tin của tổ chức. A.6.2.3 Xem xét an toàn an ninh

trong các thỏa thuận với bên thứ 3

Biện pháp quản lý

Các thỏa thuận với bên thứ 3 liên quan đến truy cập, xử lý, truyền thông hoặc quản lý thông tin hay chức năng xử lý thông tin hoặc các sản phẩm, dịch vụ phụ trợ để có điều kiện thuận tiện để xử lý thông tin cần phải được xem xét nhằm thỏa mãn với mọi yêu cầu an toàn an ninh một cách thỏa đáng.

42

A.7 Quản lý tài sản

A.7.1 Trách nhiệm đối với tài sản

Mục tiêu: Hoàn thành và duy trì các biện pháp bảo vệ thích hợp đối với tài sản của tổ chức.

A.7.1.1 Kê khai tài sản Biện pháp quản lý

Tất cả mọi tài sản cần được xác định một cách rõ ràng và cần thực hiện và duy trì việc kê khai mọi tài sản quan trọng.

A.7.1.2 Quyền sở hữu tài sản Biện pháp quản lý

Tất cả mọi thông tin và tài sản liên quan tới chức năng xử lý thông tin sẽ được phân bổ bởi bộ phận có chức năng của tổ chức.

A.7.1.3 Sử dụng hợp lý tài sản Biện pháp quản lý

Các quy tắc cho việc sử dụng hợp lý các tài sản và thông tin liên quan tới các chức năng xử lý thông tin cần được xác định, tài liệu hóa và triển khai.

43

A.7.2 Phân loại thông tin

Mục tiêu: Nhằm đảm bảo rằng thông tin sẽ có mức độ bảo vệ thích hợp

A.7.2.1 Hướng dẫn phân loại Biện pháp quản lý

Thông tin cần được phân loại theo giá trị, yêu cầu pháp lý, sự nhạy cảm và quan trọng đối với tổ chức.

A.7.2.2 Gán nhãn và quản lý thông tin

Biện pháp quản lý

Các thủ tục cần thiết cho việc gán nhãn và quản lý thông tin cần được phát triển và triển khai phù hợp với lược đồ phân loại thông tin đã được tổ chức lựa chọn.

44

A.8 Đảm bảo an toàn tài nguyên con ngƣời

A.8.1 Trước khi tuyển dụng và bổ nhiệm

Mục tiêu: Đảm bảo rằng các nhân viên, nhà thầu và các các bên thứ 3 hiểu rõ trách nhiệm của mình, thích hợp đối với các vai trò được giao phó đồng thời giảm thiểu các rủi ro về việc ăn cắp, gian lận hoặc lạm dụng chức năng, quyền hạn.

A.8.1.1 Các vai trò và trách nhiệm

Biện pháp quản lý

Các vai trò và trách nhiệm đảm bảo an toàn của các nhân viên, nhà thầu và bên thứ ba cần được định nghĩa và tài liệu hóa theo các chính sách đảm bảo an toàn thông tin của tổ chức.

A.8.1.2 Thẩm tra Biện pháp quản lý

Quá trình xác nhận thông tin và kiểm tra tất cả các ứng viên cho các vị trí cần phải được thực hiện phù hợp pháp luật, quy định và đạo đức phù hợp với các yêu cầu của công việc. Sự phân loại thông tin để nắm bắt và đánh giá được các rủi ro.

A.8.1.3 Thời hạn và điều kiện tuyển dụng

Biện pháp quản lý

Như một phần của các ràng buộc trong hợp đồng, các nhân viên, nhà thầu và bên thứ 3 cần phải thống nhất và ký vào hạn chế và quy định của hợp đồng tuyển dụng. Điều này sẽ nêu rõ trách nhiệm của người được tuyển dụng và tổ chức tuyển dụng đối với an toàn thông tin.

45

A.8.2 Trong thời gian làm việc

Mục tiêu: Đảm bảo rằng tất cả mọi nhân viên của tổ chức, nhà thầu và bên thứ 3 cần phải nhận thức được các mối nguy cơ và các vấn đề liên quan tới an toàn thông tin, trách nhiệm và nghĩa vụ pháp lý của họ cũng như được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của tổ chức trong quá trình họ làm việc để có thể giảm thiểu tối đa các rủi ro do con người gây ra.

A.8.2.1 Trách nhiệm ban quản lý Biện pháp quản lý

Ban quản lý cần phải yêu cầu các nhân viên, nhà thầu và bên thứ 3 chấp hành đảm bảo an toàn thông tin phù hợp với các các thủ tục và các chính sách an toàn thông tin đã được thiết lập của tổ chức. A.8.2.2 Nhận thức, giáo dục và

đào tạo về đảm bảo an toàn thông tin

Biện pháp quản lý

Tất cả các nhân viên trong tổ chức, nhà thầu và các bên thứ 3 cần phải được đào tạo nhận thức và cập nhật thường xuyên những thủ tục, chính sách đảm bảo an toàn thông tin của tổ chức như một phần công việc bắt buộc.

A.8.2.3 Xử lý kỷ luật Biện pháp quản lý

Là các hình thức xử lý kỷ luật đối với các nhân viên vi phạm công tác đảm bảo an toàn thông tin.

46

A.8.3 Chấm dứt hoặc thay đổi công việc

Mục tiêu: Nhằm đảm bảo rằng các nhân viên của tổ chức, nhà thầu và các bên thứ 3 nghỉ việc hoặc thay vị trí cần thực hiện một cách có tổ chức.

A.8.3.1 Trách nhiệm kết thúc hợp đồng

Biện pháp quản lý

Các trách nhiệm trong việc kết thúc hoặc thay đổi việc sử dụng nhân sự cần được vạch ra và quy định rõ ràng.

A.8.3.2 Bàn giao tài sản Biện pháp quản lý

Tất cả các nhân viên cần trả lại các tài sản tổ chức mà họ quản lý khi kết thúc hợp đồng hoặc thuyên chuyển sang công tác khác theo các điều khoản đã thống nhất.

A.8.3.3 Hủy bỏ quyền truy cập Biện pháp quản lý

Các quyền truy cập thông tin và các chức năng xử lý thông tin của mọi nhân viên cần phải được hủy bỏ khi họ kết thúc hợp đồng hoặc thuyên chuyển công tác.

47

A.9 Đảm bảo an toàn vật lý và môi trƣờng

A.9.1 Các khu vực an toàn

Mục tiêu: Nhằm ngăn chặn các sự truy cập vật lý trái phép, làm hư hại và cản trở tới thông tin và tài sản của tổ chức.

A.9.1.1 Vành đai an toàn vật lý Biện pháp quản lý

Các vành đai an toàn (như các bức tường, cổng ra/vào có kiểm soát bằng thẻ hoặc bàn tiếp tân v.v..) cần được sử dụng để bảo vệ các khu vực chứa thông tin và chức năng lý thông tin của tổ chức.

A.9.1.2 Kiểm soát cổng truy cập vật lý

Biện pháp quản lý

Các khu vực bảo mật cần được bảo vệ bởi các biện pháp kiểm soát truy cập thích hợp nhằm đảm bảo chỉ có những người có quyền mới được phép truy cập.

A.9.1.3 Bảo vệ các văn phòng, phòng làm việc và vật dụng

Biện pháp quản lý

Đảm bảo an toàn vật lý cho các văn phòng, phòng làm việc và vật dụng cần được thiết kế và áp dụng.

48 A.9.1.4 Bảo vệ chống lại các mối

đe dọa từ bên ngoài và từ môi trường

Biện pháp quản lý

Bảo vệ vật lý chống lại những nguy cơ do cháy nổ, ngập lụt, động đất, tình trạng náo loạn và các dạng thảm họa khác do thiên nhiên và do con người gây ra cần được thiết kế và áp dụng.

A.9.1.5 Làm việc trong các khu vực an toàn

Biện pháp quản lý

Hướng dẫn và bảo vệ vật lý để làm việc trong các khu vực an toàn cần được thiết kế và áp dụng.

A.9.1.6 Các khu vực truy cập tự do, phân phối, chuyển hàng

Biện pháp quản lý

Các điểm truy cập mà người truy nhập không cần cấp phép như khu vực chung, phân phối, chuyển hàng v.v.. sẽ cần được quản lý và nếu có thể cách ly khỏi các chức năng xử lý thông tin để tránh tình trạng truy nhập trái phép.

49

A.9.2 Đảm bảo an toàn trang thiết bị

Mục tiêu:Nhằm ngăn ngừa sự mất mát, hư hại, mất cắp hoặc lợi dụng tài sản và làm gián đoạn hoạt động của tổ chức.

A.9.2.1 Bố trí và bảo vệ thiết bị Biện pháp quản lý

Thiết bị cần được bố trí tại các địa điểm an toàn hoặc được bảo vệ nhằm giảm thiểu các rủi ro do các nguy cơ, vấn đề từ môi trường hay các truy cập trái phép.

A.9.2.2 Các tiện ích hỗ trợ Biện pháp quản lý

Trang thiết bị cần được bảo vệ khỏi sự cố về điện cũng như các sự gián đoạn hoạt động có nguyên nhân từ các hệ thống phụ trợ.

A.9.2.3 An toàn cho dây cáp Biện pháp quản lý

Dây dẫn của điện và truyền thông cần phải được bảo vệ khỏi sự xâm phạm hoặc làm hư hại.

50 A.9.2.4 Bảo trì thiết bị Biện pháp quản lý

Các thiết bị cần được bảo trì một cách thích hợp nhằm đảm bảo luôn luôn sẵn sàng và toàn vẹn.

A.9.2.5 An toàn cho thiết bị hoạt động bên ngoài

Biện pháp quản lý

Đảm bảo an toàn cần được áp dụng đối với thiết bị, chú ý đến các rủi ro khác nhau khi thiết bị làm việc bên ngoài tổ chức.

A.9.2.6 An toàn trong loại bỏ và tái sử dụng thiết bị

Biện pháp quản lý

Tất cả các thành phần của thiết bị bao gồm các phương tiện lưu trữ thông tin cần phải được kiểm tra nhằm đảm bảo rằng tất cả dữ liệu nhạy cảm và phần mềm có bản quyền nào phải được xóa bỏ hoặc ghi đè trước khi loại bỏ hoặc tái sử dụng thiết bị cho mục đích khác.

A.9.2.7 Di dời tài sản Biện pháp quản lý

Thiết bị, thông tin hoặc phần mềm sẽ không được mang ra ngoài trước khi được cho phép.

51

A.10 Quản lý truyền thông và điều hành

A.10.1 Các trách nhiệm và thủ tục điều hành

Mục tiêu: Nhằm đảm bảo sự điều hành hành đúng đắn và an toàn các chức năng xử lý thông tin.

A.10.1.1 Các thủ tục vận hành đã được tài liệu hóa

Biện pháp quản lý

Các thủ thục vận hành cần được tài liệu hóa, duy trì và luôn sẵn sàng đối với mọi người cần dùng đến.

A.10.1.2 Quản lý thay đổi Biện pháp quản lý

Các thay đổi trong chức năng và hệ thống xử lý cần phải được kiểm soát. A.10.1.3 Phân tách nhiệm vụ Biện pháp quản lý

Các nhiệm vụ và phạm vi trách nhiệm cần được phân tách nhằm giảm thiểu khả năng sửa đổi bất hợp lệ hoặc không mong muốn hay lạm dụng các tài sản của tổ chức.

A.10.1.4 Phân tách các chức năng: phát triển, kiểm thử và điều hành

Biện pháp quản lý

Các chức năng phát triển, kiểm thử và vận hành cần được phân tách nhằm giảm thiểu các rủi ro của việc truy cập hoặc thay đổi trái phép đối với hệ thống điều hành.

52

A.10.2 Quản lý việc chuyển giao dịch vụ của bên thứ 3

Một phần của tài liệu Nghiên cứu hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 (Trang 39)

(99 trang)