Chính sách bảo mật thông tin trong doanh nghiệp theo ISO 27001 là cơ sở để thực hiện, triển khai cũng như áp dụng Hệ thống quản lý an toàn thông tin vào thực tế. Vậy có những yêu cầu gì khi xây dựng chính sách bảo mật thông tin, Quý Doanh nghiệp hãy đọc bài viết dưới đây để tìm hiểu rõ hơn về điều này.
BẢO MẬT THÔNG TIN LÀ GÌ?
Bảo mật thông tin là hoạt động duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng cho toàn bộ thông tin.
CHÍNH SÁCH BẢO MẬT THÔNG TIN LÀ GÌ?
Chính sách bảo mật thông tin được hiểu là định hướng của tổ chức liên quan tới kết quả hoạt động nhằm ngăn chặn bên thứ ba truy cập vào hệ thống mạng hoặc thông tin khi chưa được cho phép. Chính sách bảo mật thông tin phải được lãnh đạo cao nhất của tổ chức công bố một cách chính thức.
CHÍNH SÁCH BẢO MẬT THÔNG TIN LÀ THẺO ISO 27001 LÀ GÌ?
Chính sách bảo mật thông tin theo ISO 27001 là chính sách an toàn bảo mật thông tin được xây dựng tuân thủ theo các yêu cầu của tiêu chuẩn ISO 27001 về Hệ thống quản lý an toàn thông tin.
YÊU CẦU VỀ LÃNH ĐẠO KHI XÂY DỰNG CHÍNH SÁCH BẢO MẬT THÔNG TIN TRONG DOANH NGHIỆP
Lãnh đạo cao nhất giữ vai trò quan trọng quá trình xây dựng Hệ thống quản lý an toàn thông tin. Khi xây dựng chính sách bảo mật thông tin, tiêu chuẩn ISO 27001:2013 yêu cầu lãnh đạo phải thực hiện tốt nghĩa vụ của mình và thể hiện cam kết đối với Hệ thống quản lý an toàn thông tin.
Để làm được điều này, lãnh đạo cao nhất phải:
- Chịu trách nhiệm giải trình đối với hiệu lực của hệ thống quản lý an toàn thông tin
- Đảm bảo chính sách an toàn thông tin và những mục tiêu bảo mật thông tin đã được thiết lập có sự tương thích với định hướng chiến lược cũng như bối cảnh của tổ chức
- Đảm bảo tích hợp giữa yêu cầu của hệ thống quản lý an toàn thông tin với các hoạt động chủ chốt của tổ chức
- Đảm bảo nguồn lực sẵn có đáp ứng được yêu cầu của hệ thống quản lý an toàn thông tin
- Duy trì trao đổi thông tin về tầm quan trọng của an ninh mạng, an ninh thông tin
- Đảm bảo hệ thống quản lý an toàn thông tin đạt được những kết quả theo dự kiến
- Định hướng cũng như khuyến khích mọi người trong tổ chức đóng góp vào việc xây dựng hệ thống quản lý an toàn thông tin
- Tiến hành thúc đẩy quá trình cải tiến liên tục hệ thống quản lý an toàn thông tin
- Hỗ trợ các quản lý liên quan khác
YÊU CẦU VỀ CHÍNH SÁCH BẢO MẬT THÔNG TIN ISO 27001
Việc xây dựng Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001 phải được thực hiện theo đúng yêu cầu của tiêu chuẩn. Chính sách bảo mật thông tin hoàn chỉnh trong Doanh nghiệp phải đảm bảo:
- Phù hợp với mục đích và bối cảnh của tổ chức.
- Phải xác định được các mối nguy, rủi ro và cơ hội trong hệ thống an toàn thông tin
- Cung cấp khuôn khổ cho quá trình thiết lập những mục tiêu an toàn thông tin
- Có cam kết loại bỏ các mối nguy và giảm các rủi ro liên quan tới an ninh thông tin và các cam kết cụ thể khác có liên quan tới bối cảnh của tổ chức
- Có cam kết của tổ chức đối với việc thực hiện đầy đủ các yêu cầu pháp lý và yêu cầu khác
- Có cam kết trong hoạt động cải tiến liên tục đối với hệ thống quản lý an toàn thông tin để có thể nâng cao khả năng bảo mật thông tin tại Doanh nghiệp
- Chính sách bảo mật thông tin theo ISO 27001 cần phải được duy trì dưới hình thức thông tin dạng văn bản, sẵn có cho các bên quan tâm, thỏa đáng và thích hợp.
- Chính sách sau khi được lãnh đạo cao nhất phê duyệt phải được trao đổi thông tin trong toàn bộ tổ chức
MẪU CHÍNH SÁCH BẢO MẬT THÔNG TIN TRONG DOANH NGHIỆP
Dưới đây là các nội dung trong Chính sách bảo mật [Quyền riêng tư] được công khai trên trang chủ của Cổng thông tin điện tử Công đoàn Trường Đại học Khoa học Tự nhiên. Quý Doanh nghiệp có thể tham khảo để hình dung rõ hơn về Chính sách an toàn thông tin.
Chính sách bảo mật [Quyền riêng tư]
Danh mục
- Điều 1: Thu thập thông tin
- Điều 2: Lưu trữ & Bảo vệ thông tin
- Điều 3: Sử dụng thông tin
- Điều 4: Tiếp nhận thông tin từ các đối tác
- Điều 5: Chia sẻ thông tin với bên thứ ba
- Điều 6: Thay đổi chính sách bảo mật
Dưới đây là nội dung chi tiết của một số điều:
Điều 2: Lưu trữ & Bảo vệ thông tin:
Hầu hết các thông tin được thu thập sẽ được lưu trữ tại cơ sở dữ liệu của chúng tôi.
Chúng tôi bảo vệ dữ liệu cá nhân của các bạn bằng các hình thức như: mật khẩu, tường lửa, mã hóa cùng các hình thức thích hợp khác và chỉ cấp phép việc truy cập và xử lý dữ liệu cho các đối tượng phù hợp, ví dụ chính bạn hoặc các nhân viên có trách nhiệm xử thông tin với bạn thông qua các bước xác định danh tính phù hợp.
Mật khẩu của bạn được lưu trữ và bảo vệ bằng phương pháp mã hoá trong cơ sở dữ liệu của hệ thống, vì thế nó rất an toàn. Tuy nhiên, chúng tôi khuyên bạn không nên dùng lại mật khẩu này trên các website khác. Mật khẩu của bạn là cách duy nhất để bạn đăng nhập vào tài khoản thành viên của mình trong website này, vì thế hãy cất giữ nó cẩn thận.
Trong mọi trường hợp bạn không nên cung cấp thông tin mật khẩu cho bất kỳ người nào dù là người của chúng tôi, người của NukeViet hay bất kỳ người thứ ba nào khác trừ khi bạn hiểu rõ các rủi ro khi để lộ mật khẩu. Nếu quên mật khẩu, bạn có thể sử dụng chức năng “Quên mật khẩu” trên Website.
Để thực hiện việc này, bạn cần phải cung cấp cho hệ thống biết tên thành viên hoặc địa chỉ Email đang sử dụng của mình trong tài khoản, sau đó hệ thống sẽ tạo ra cho bạn mật khẩu mới và gửi đến cho bạn để bạn vẫn có thể đăng nhập vào tài khoản thành viên của mình.
Điều 5: Chia sẻ thông tin với bên thứ ba
Chúng tôi sẽ không chia sẻ thông tin cá nhân, thông tin tài chính… của bạn cho các bên thứ 3 trừ khi được sự đồng ý của chính bạn hoặc khi chúng tôi buộc phải tuân thủ theo các quy định pháp luật hoặc khi có yêu cầu từ cơ quan công quyền có thẩm quyền.
Xem thêm Tư vấn ISO 27001
————————————————————————————————————————————————————————————————-
Để biết thêm thông tin chi tiết về Chính sách bảo mật thông tin trong doanh nghiệp theo ISO 27001, Quý Khách hàng vui lòng liên hệ với Chúng Tôi theo số hotline: 0948.690.698 hoặc Emai:
Thông tin là một trong những tài sản quan trọng, quý giá đối với tổ chức, doanh nhiệp [TC/DN]. Những rủi ro đối với các thông tin như bị lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trọng đến hoạt động, uy tín, chiến lược của TC/DN.
Vì vậy, mục tiêu đưa ra là cần phải bảo vệ an toàn thông tin, đảm bảo tính bí mật, tính toàn vẹn, tính sẵn sàng. Việc đảm bảo được các yếu tố trên sẽ giúp TC/DN bảo vệ tính bảo mật của thông tin, chống lại việc thay đổi, phá hủy hay mất mát thông tin.
Hiện trạng của việc xây dựng hệ thống bảo mật thông tin [BMTT]
Tại Việt Nam, các TC/DN cũng đã xây dựng các giải pháp để đảm bảo an toàn hệ thống như trang bị hệ thống tường lửa [Firewall], hệ thống chống xâm nhập [IPS], hệ thống phòng chống virus.... Tuy nhiên, tất cả chỉ đơn thuần là giải pháp công nghệ. Câu hỏi đặt ra là hệ thống đã được trang bị giải pháp bảo mật nhưng mức độ an toàn đến đâu, giải pháp đã tốt chưa, đã đầy đủ chưa? Tổ chức thực hiện giải pháp đã tốt hay chưa, con người thực hiện giải pháp như thế nào, họ đã ý thức các vấn đề về an toàn thông tin và đã được giao trách nhiệm phải đảm bảo an toàn hệ thống thông tin chưa? Thông thường, các giải pháp khi mới xây dựng xong thì tốt nhưng chỉ sau một thời gian hoạt động sẽ bộc lộ nhiều điểm yếu mà nguyên nhân chính là do yếu tố con người.
Chúng ta biết bảo mật đi kèm với sự không thuận tiện cho người dùng và dễ dàng làm cho họ từ bỏ các biện pháp bảo mật. Tuy nhiên, trong các TC/DN, an toàn thông tin luôn phải được đưa lên hàng đầu và tất cả các thành viên đều phải tuân thủ điều này.
Vai trò của chính sách BMTT
Để đảm bảo an toàn hệ thống, cần phải có các yếu tố: Con người, Quy trình, Giải pháp, Các tiêu chuẩn quốc tế.
Hiện tại, các TC/DN mới thực hiện ở việc xây dựng giải pháp, còn các yếu tố khác như con người, qui trình, tiêu chuẩn quốc tế chưa được chú trọng nhiều. Các yếu tố đó chưa tốt, chưa gắn kết và chưa được giám sát, bởi còn thiếu một yếu tố rất quan trọng, đó là chính sách BMTT.
Chính sách bảo mật là tài liệu cấp cao đặc thù, tập hợp các luật đặc biệt của TC/DN như những yêu cầu, quy định mà những người của TC/DN đó phải thực hiện để đạt được các mục tiêu về an toàn thông tin. Chính sách bảo mật sẽ được người đứng đầu TC/DN phê chuẩn và ban hành thực hiện. Nó được ví như bộ luật của TC/DN mà mọi thành viên trong TC/DN, các đối tác, khách hàng quan hệ đều phải tuân thủ. Chính sách bảo mật sẽ là tiền đề để doanh nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống. Đồng thời chính sách bảo mật cũng đưa ra nhận thức về an toàn thông tin, giao trách nhiệm về an toàn cho các thành viên của TC/DN, từ đó đảm bảo hệ thống được vận hành đúng quy trình, an toàn hơn.
Chính sách BMTT là cốt lõi, là trung tâm để có thể bắt đầu xây dựng các giải pháp an toàn thông tin. Từ bộ chính sách bảo mật, ngoài việc sẽ đưa ra được giải pháp an ninh toàn diện còn gắn với ý thức, trách nhiệm của thành viên trong TC/DN về an toàn thông tin. Từ lâu, hậu quả của việc không xây dựng chính sách BMTT mà chỉ có giải pháp an ninh đã khiến cho giải pháp trở nên không toàn diện và hiệu quả.
Mô hình Top-down trong chính sách BMTT
Thực tế là hiện nay, trong các TC/DN, chúng ta thấy đều xuất hiện “chính sách ngầm” về BMTT. Ví dụ như không được cài sniffer [phần mềm nghe lén] trong mạng, không được gửi e- mail mạo danh, không được sao chép tài liệu ra ngoài, không được dùng phần mềm không có bản quyền... Những chính sách này đều bàn thảo không chính thức, không được ban hành, và phổ biến rộng rãi. Điều này làm cho chính sách không còn hiệu lực, không gắn ý thức an toàn thông tin tới từng thành viên, không quy được trách nhiệm về pháp lý và trong nhiều trường hợp có thể còn xung đột với các văn bản ban hành.
Hiện tại, các TC/DN chỉ mới đưa ra các giải pháp công nghệ là chính và chưa xây dựng cùng với chính sách bảo mật. Mô hình mà họ đang xây dựng là theo mô hình bottom-up. Tức là xây dựng hạ tầng thông tin, giải pháp bảo mật trước rồi sau đó mới xây dựng chính sách bảo mật. Chính vì vậy, các giải pháp công nghệ xây dựng đều không toàn diện, không mang tính tổng thể đồng bộ, chi phí cao. Ví dụ: Đề xuất xây dựng hệ thống bảo mật mạng Firewall, IPS nhưng sau đó do hệ thống máy tính bị virus, tổ chức lại đề xuất giải pháp diệt virus. Khi thấy hệ thống không kiểm soát được việc truy cập mạng lại đề xuất giải pháp kiểm soát truy cập mạng NAC. Điều này thể hiện sự thiếu chiến lược toàn diện.
Theo khuyến cáo của các tổ chức trên thế giới, để xây dựng hệ thống an toàn thì nên xây dựng theo mô hình top- down tức là phải xây dựng chính sách bảo mật trước. Tổ chức thực thi theo chính sách bảo mật bao gồm con người, quy trình, giải pháp công nghệ, vật lý. Phương pháp này đạt được tính toàn diện, đồng bộ và lâu dài.
Trong các tài liệu chuẩn về an toàn thông tin như ISO27001 hay COBIT, nhiệm vụ xây dựng chính sách bảo mật đều được đặt lên đầu tiên trong lộ trình xây dựng hệ thống an toàn thông tin.
Chính sách bảo mật tác động đến toàn bộ hệ thống bao gồm phần mềm, phần cứng, truy cập, con người, các kết nối, hệ thống mạng, hạ tầng viễn thông. Để xây dựng được một bộ chính sách bảo mật tốt, trước tiên chúng ta cần xác định được các tài nguyên trong hệ thống, đánh giá mức độ quan trọng, phân loại chúng. Chỉ khi xác định được đủ các tài nguyên thì bộ chính sách viết ra mới bao quát được toàn bộ tất cả những gì cần phải bảo vệ. Bước tiếp theo sẽ là đánh giá các chức năng, quy trình hoạt động sử dụng các tài nguyên, sau đó, xác định tài nguyên nào cần được bảo vệ. Từ đó đưa ra các chính sách bảo mật bảo vệ các tài nguyên đó.
Kết luận
Như vậy, để đảm bảo an toàn hệ thống thông tin, chúng ta không những phải có giải pháp mà cần có con người, quy trình và cần áp dụng các tiêu chuẩn an toàn. Sự kết hợp giữa các yếu tố này để vận hành, quản trị nâng cấp hệ thống được an toàn hơn, những điều này đều xuất phát từ chính sách bảo mật của TC/DN. Đó là vấn đề cốt lõi để thực hiện: Xây dựng quy trình an toàn thông tin; Xây dựng các giải pháp an toàn thông tin; Áp dụng các tiêu chuẩn an toàn thông tin; Đưa ra các hướng dẫn thực hiện an toàn thông tin; Đưa ý thức an toàn thông tin vào các thành viên tổ chức; Đưa trách nhiệm an toàn thông tin vào các thành viên tổ chức; Tránh việc vi phạm an toàn thông tin dẫn tới vi phạm pháp luật. Tất cả những điều đó thể hiện chính sách bảo mật là rất quan trọng đối với TC/DN.