Xem mẫu
- TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HỒ CHÍ MINH
BÁO CÁO DỊCH SÁCH
CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH
CHƯƠNG 14: CHÍNH SÁCH BẢO MẬT THÔNG TIN – GÓC NHÌN
CỦA CHUYÊN VIÊN
GVHD : Đặng Hoàng Huy
Môn học : Mạng máy tính và truyền thông
Lớp : ITS709_211_D06
Nhóm thực hiện : Nhóm 4
Thành viên : Nguyễn Thị Phương
Trần Thảo Quyên
Nguyễn Sinh Tài
Ngô Thành Phát
Lê Thanh Sơn
- TP. Hồ Chí Minh, tháng 12 năm 2021
MỤC LỤC
CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH
- CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH
I. CHÍNH SÁCH LÀ NỀN TẢNG
Nền tảng của một cấu trúc bảo mật thông tin hiệu quả là một tuyên
bố chính sách được biên soạn kỹ lưỡng. Đây là nguồn mà từ đó tất cả các
chỉ thị, tiêu chuẩn, thủ tục, hướng dẫn và các tài liệu hỗ trợ khác sẽ có
hiệu lực. Đối với bất kỳ cơ sở nào, điều quan trọng là phải thiết lập một
nền tảng vững chắc. Như điều sẽ được thảo luận sau đây, một chính sách
thực hiện hai vai trò: bên trong và bên ngoài.
Những dữ liệu nội bộ cho nhân viên biết họ mong đợi điều gì và
hành động của họ sẽ được đánh giá như thế nào. Còn phần thông tin bên
ngoài cho thế giới biết doanh nghiệp thấy trách nhiệm của mình như thế
nào. Mọi tổ chức phải có các chính sách hỗ trợ các phương thức kinh
doanh hợp lý và họ sẽ chứng minh cho thế giới thấy rằng việc bảo vệ tài
sản là điều cần thiết để thực hiện thành công sứ mệnh của mình.
Trong bất kỳ cuộc thảo luận nào liên quan đến các yêu cầu bằng văn
bản, chính sách thuật ngữ mang rất nhiều ý nghĩa khác nhau. Đối với một
số người, chính sách là chỉ thị của quản lý cấp cao về cách một chương
trình nhất định sẽ được chạy, tính khách quan và mục tiêu của nó là gì,
trách nhiệm sẽ được giao cho ai. Thuật ngữ chính sách có thể đề cập đến
các quy tắc bảo mật cụ thể cho một hệ thống cụ thể như bộ quy t ắc Cơ
sở kiểm soát truy cập 2 (ACF2), giấy phép Cơ sở kiểm soát truy cập tài
- nguyên (RACF) hoặc chính sách hệ thống phát hiện xâm nhập. Ngoài ra,
chính sách có thể đề cập đến các vấn đề hoàn toàn khác nhau, chẳng hạn
như các quyết định quản lý cụ thể thiết lập chính sách bảo mật email của
tổ chức hoặc chính sách sử dụng Internet hay mạng xã hội.
II. ĐỊNH NGHĨA
1. Chính sách
Chính sách là một tuyên bố cấp cao về niềm tin, mục tiêu và tính
khách quan của doanh nghiệp, và là phương tiện chung để họ đạt được
một lĩnh vực hay chủ đề cụ thể. Khi chúng tôi nghe các cuộc thảo luận về
hệ thống phát hiện xâm nhập giám sát việc tuân thủ các chính sách của
công ty, điều này không phải là các chính sách mà chúng tôi đang thảo luận
ở đây. Hệ thống phát hiện xâm nhập thực sự là các tiêu chuẩn giám sát
(điều này chúng ta sẽ thảo luận chi tiết hơn ở phần sau), các bộ quy tắc
hoặc proxy. Chúng tôi sẽ tạo các chính sách giống như chính sách về bảo
mật thông tin được trình bày trong Hình 1.1. Phần sau của chương này,
chúng ta sẽ xem xét một số chính sách bảo mật thông tin và phê bình chúng
dựa trên một mẫu chính sách đã được thiết lập.
2. Những tiêu chuẩn
Tiêu chuẩn là các yêu cầu bắt buộc hỗ trợ các chính sách riêng lẻ.
Các tiêu chuẩn có thể bao gồm từ phần mềm hoặc phần cứng nào có thể
được sử dụng, giao thức truy cập từ xa sẽ được triển khai đến người chịu
trách nhiệm phê duyệt nội dung. Khi xây dựng chính sách an toàn thông tin,
thiết lập một bộ tiêu chuẩn hỗ trợ là điều vô cùng cần thiết. Hình 1.2 là
- một ví dụ về những tiêu chuẩn cho một chủ đề cụ thể có thể trông như
thế nào.
Hình 1.1 Mẫu chính sách bảo mật thông tin.
Chính sách bảo mật thông tin
Thông tin kinh doanh là tài sản thiết yếu của công ty. Điều này đúng với tất cả các thông tin
kinh doanh trong công ty bất kể thông tin đó được tạo ra, phân phối hoặc lưu trữ như thế
nào và liệu nó được đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay nói.
Tất cả nhân viên có trách nhiệm bảo vệ thông tin công ty khỏi bị truy cập, sửa đổi, sao
chép, phá hủy hoặc tiết lộ trái phép, dù là vô tình hay cố ý. Trách nhiệm này là cần thiết đối
với hoạt động kinh doanh của công ty. Khi thông tin không được bảo vệ tốt, công ty có thể
bị tổn hại theo nhiều cách khác nhau như mất thị phần đáng kể và danh tiếng bị tổn hại.
Chi tiết về trách nhiệm của mỗi nhân viên trong việc bảo vệ thông tin công ty được ghi lại
trong Sổ tay Tiêu chuẩn và Chính sách Bảo vệ Thông tin. Ban Giám đốc có trách nhiệm
đảm bảo rằng tất cả nhân viên đều hiểu và tuân thủ các chính sách và tiêu chuẩn này. Ban
Giám đốc cũng có trách nhiệm lưu ý những điểm khác biệt so với các thực tiễn bảo mật đã
thiết lập và bắt đầu các hành động khắc phục.
Kiểm toán viên nội bộ sẽ thực hiện đánh giá định kỳ để đảm bảo việc tuân thủ liên tục
chính sách bảo vệ thông tin của Công ty. Các trường hợp vi phạm chính sách này sẽ được
giải quyết theo quy định trong Hướng dẫn Chính sách Nguồn nhân lực dành cho quản lý.
Quản lý/Trưởng nhóm hệ thống thông tin
Người quản lý chịu trách nhiệm về Hệ thống thông tin phải thực hiện tất cả các bổn phận
phù hợp với tư cách là người quản lý cho khu vực mà họ chịu trách nhiệm. Ngoài ra, họ sẽ
đóng vai trò là người giám sát của thông tin được sử dụng bởi các hệ thống đó nhưng thuộc
quyền sở hữu của những người quản lý khác. Người quản lý chịu trách nhiệm về Hệ
thống thông tin phải thực hiện tất cả các bổn phận phù hợp với tư cách là người quản lý
cho khu vực mà họ chịu trách nhiệm.
Tất cả các nhà quản lý, giám sát, giám đốc, những người ở cấp quản lý khác cũng có vai trò
cố vấn và hỗ trợ cho các nhà quản lý IS và những người không quản lý IS về mặt:
◾ Xác định và đánh giá các mối đe dọa
◾ Xác định và thực hiện các biện pháp bảo vệ (bao gồm cả việc tuân thủ các thông lệ này)
◾ Duy trì mức độ nhận thức an ninh thỏa đáng
◾ Giám sát hoạt động thích hợp của các biện pháp an ninh trong đơn vị
◾ Điều tra điểm yếu và các sự cố
- ◾ Đưa ra bất kỳ vấn đề hoặc tình huống mới nào mà họ nhận thức được thông qua vai trò
chuyên gia của mình
◾ Phối hợp với kiểm toán nội bộ và bên ngoài
Hình 1.2 Ví dụ về các tiêu chuẩn.
3. Thủ tục
Thủ tục là những hành động bắt buộc, theo từng bước, chi tiết về
các hoạt động cần thiết để hoàn thành xuất sắc nhiệm vụ. Thủ tục có thể
rất chi tiết. Gần đây, tôi đang xem xét thay đổi các quy trình quản lý và
nhận thấy một quy trình bao gồm 42 trang thông tin chính xác. Chúng được
biên soạn rất kỹ lưỡng và là những gì cần thiết để đảm bảo rằng quy trình
có thể được tuân thủ (Hình 1.3).
4. Hướng dẫn
Hướng dẫn là những tài liệu tham khảo được lập thành văn bản để
thực hiện thường xuyên và nhất quán các hoạt động đã được chấp nhận.
Chúng thường có ít quyền thực thi hơn. Một ví dụ thường ngày về sự khác
biệt giữa tiêu chuẩn và hướng dẫn sẽ là biển báo “Dừng lại” và biển báo
“Vui lòng không giẫm lên cỏ”.
Thủ tục Quản lý Thay đổi Ứng dụng
Tổng quan
Hệ thống Yêu cầu Dịch vụ (SSR) được sử dụng để bắt đầu và ghi lại tất cả các hoạt động
- lập trình. Nó được sử dụng để thông báo nhu cầu của khách hàng với nhân viên Phát triển
Ứng dụng (AD). Một SSR có thể được khởi xướng và chuẩn bị bởi khách hàng, thành viên
của nhân viên AD, hoặc bất kỳ cá nhân nào khác đã xác định được nhu cầu hoặc yêu cầu,
vấn đề hoặc cải tiến của ứng dụng. Không có nhiệm vụ nào có thể hoàn thành mà không
có SSR.
Hệ thống Yêu cầu Dịch vụ
Tổng quan
Biểu mẫu này nêu rõ các kết quả mong muốn đạt được, được khách hàng hoàn thành và
gửi cùng với tài liệu hỗ trợ tới AD. Yêu cầu có thể bao gồm việc xác định một vấn đề
hoặc tài liệu của một yêu cầu mới. Khách hàng được khuyến khích gửi yêu cầu của họ
một cách đầy đủ chi tiết để dễ dàng cho trưởng dự án AD ước tính chính xác nỗ lực cần
thiết để đáp ứng yêu cầu, nhưng có thể cần thiết để trưởng dự án liên hệ với khách hàng
và có được thông tin bổ sung. Thông tin này phải được đính kèm với một bản sao của SSR.
Sau khi các chương trình yêu cầu đã được hoàn thành, các cuộc kiểm tra nghiệm thu đã thỏa
thuận sẽ được tiến hành. Sau khi khách hàng xác nhận rằng yêu cầu đã được đáp ứng, họ
sẽ phê duyệt trên SSR. Biểu mẫu này cũng sẽ được sử dụng để ghi lại rằng dự án hoàn
thành đã được đưa vào trạng thái sản xuất.
Quá trình
Phần này mô tả việc xử lý một SSR:
1. Khách hàng bắt đầu quá trình bằng cách hoàn thành SSR và chuyển tiếp nó đến Người
quản lý dự án (PM) hoặc Giám đốc phát triển ứng dụng (AD) thích hợp.
2. SSR được nhận trong bộ phận AD. Bất kể ai trong AD thực sự nhận được SSR, nó phải
được chuyển đến PM thích hợp.
3. Nếu PM thấy mô tả các yêu cầu trên SSR không đầy đủ hoặc không rõ ràng, PM sẽ liên
hệ trực tiếp với khách hàng để làm rõ.
Khi PM hiểu đầy đủ các yêu cầu, họ sẽ chuẩn bị một bản phân tích và ước tính về nỗ lực
cần thiết để đáp ứng yêu cầu. Trong một số trường hợp, PM có thể cảm thấy rằng việc
đáp ứng yêu cầu là không thể hoặc phi thực tế. Vì thế trong trường hợp này, họ sẽ thảo
luận với khách hàng lý do tại sao yêu cầu không được thực hiện. Và nếu khách hàng xác
nhận lại yêu cầu, PM và Giám đốc của AD sẽ cùng xác định xem có nên khiếu nại quyết
định của khách hàng lên Ban chỉ đạo Hệ thống Thông tin để đưa ra phán quyết cuối cùng
về SSR hay không.
4. Nếu ước tính của dự án là bốn mươi giờ hoặc ít hơn, những chi tiết của thiết kế cần
được xem xét với khách hàng. Sau khi xem xét sự đồng tình về kế hoạch, PM sẽ dự kiến
thời hạn mục tiêu (TTD) để hoàn thành SSR. Trong việc thiết lập TTD, PM cũng sẽ cân
nhắc các nguồn lực sẵn có và các cam kết khác của dự án. TTD sẽ nhanh chóng thông báo
tới những khách hàng đã yêu cầu.
5. Nếu ước tính dự án vượt quá bốn mươi giờ, SSR và bất kỳ tài liệu bổ sung nào của dự
án sẽ được chuyển đến ISSC để xem xét, xác định mức độ ưu tiên và ủy quyền tiến hành.
Hội đồng sẽ xác định liệu các sự thay đổi được yêu cầu sẽ được lên lịch thực hiện ngay
lập tức, được lên kế hoạch thực hiện trong tương lai hay bị từ chối.
Nếu yêu cầu bị từ chối, yêu cầu sẽ ngay lập tức được trả lại cho khách hàng, cùng với lời
giải thích về (các) lý do từ chối. Nếu nó được chấp thuận để triển khai, một chỉ định ưu
- tiên sẽ được thực hiện và SSR được trả lại cho AD để biết lịch trình thực hiện.
Sau khi nhận được ủy quyền triển khai, thiết kế chi tiết nên được khách hàng xem xét lại.
Sau khi nhận được sự nhất trí về thiết kế, Thủ tướng sẽ chiếu một TTD để hoàn thành dự
án. Trong việc thiết lập một TTD, PM sẽ xem xét các nguồn lực sẵn có và các cam kết khác
của dự án. Bộ phận TTD sẽ nhanh chóng thông tin cho khách hàng.
6. PM sẽ phối hợp với nhân viên AD, nhân viên quản lý và nhân viên CNTT khác (chẳng
hạn như Quản trị cơ sở dữ liệu, Dịch vụ hỗ trợ người dùng, Quản trị mạng, v.v.) các
nguồn lực của họ sẽ được yêu cầu để đáp ứng đề nghị này, hoặc liệu sẽ có một tác động
về mặt vận hành hoặc quy trình trong các lĩnh vực khác .
7. PM sẽ liên hệ với khách hàng để thảo luận chi tiết về (các) bài kiểm tra sẽ được tiến
hành.
8. Khi Kiểm tra nghiệm thu (AT) đã được hoàn thành và khách hàng đã xác minh tính chính
xác của kết quả thu được, khách hàng sẽ cho biết sự chấp thuận của họ để đưa dự án vào
sản xuất bằng cách ký SSR.
9. Nhóm Kiểm soát Sản xuất (PCG) sẽ đưa dự án vào trạng thái hoạt động. PM sẽ hoàn
thành phần dưới cùng của SSR, ghi lại rằng dự án đã được đưa vào sản xuất. PM sẽ ghi lại
trạng thái của yêu cầu là “đã hoàn thành” và gửi một bản sao của SSR. PM sẽ nhanh chóng
thông báo cho khách hàng rằng dự án đã hoàn thành và đi vào sản xuất.
Lưu giữ Biểu mẫu và Tài liệu
Tất cả tài liệu liên quan đến việc xử lý mỗi SSR sẽ được lưu giữ trong ít nhất mười hai
tháng.
Hình 1.3 Mẫu thủ tục quản lý thay đổi ứng dụng.
III. CÁC YẾU TỐ THEN CHỐT CỦA CHÍNH SÁCH
Để đáp ứng được nhu cầu của tổ chức, một chính sách tốt nên:
◾Dễ dàng để có thể hiểu được. Điều quan trọng là các tài liệu được
trình bày phải đáp ứng được những yêu cầu của đối tượng dự kiến. Thông
thường, những chính sách, tiêu chuẩn và thủ tục được biên soạn bởi những
chuyên gia về chủ đề và gửi đến một đối tượng chung để sử dụng. Tài
liệu thường được viết ở trình độ cao đẳng hoặc kỹ thuật trong khi trình độ
đọc hiểu trung bình của các đối tượng ở nơi làm việc nằm trong phạm vi
một học sinh lớp sáu (12 tuổi).
- ◾Được áp dụng. Khi tạo chính sách, người viết có thể nghiên cứu
thêm ở các tổ chức khác và sao chép nguyên văn tài liệu. Điều này có vẻ
thiết thực; tuy nhiên, Điều quan trọng là phải đảm bảo rằng dù thế nào đi
chăng nữa thì người viết vẫn có thể đáp ứng được nhu cầu cụ thể của tổ
chức bạn.
◾Được triển khai. Liệu tổ chức và những nhân viên của họ vẫn có
thể đạt được các mục tiêu kinh doanh nếu chính sách này được thực thi?
Thông thường, các tổ chức thực thi các chính sách nhằm trả lời những ý
kiến đánh giá. Vấn đề khi thực hiện điều này chính là chính sách có thể
quá hạn chế đến mức cản trở khả năng thực hiện công việc kinh doanh
hoặc sứ mệnh của tổ chức.
◾Được thực thi. Tránh việc viết nên một chính sách tự huỷ hoại
chính mình. “Chỉ sử dụng điện thoại di động do công ty cung cấp dành cho
các cuộc gọi về công việc”. Đối với hầu hết các tổ chức, trên thực tế đây
có thể là chính sách, tuy nhiên hầu hết mọi điện thoại trong cơ sở đều
được sử dụng hằng ngày cho các cuộc gọi cá nhân. Một chính sách tốt hơn
sẽ là một chính sách có dạng, “Điện thoại do công ty cung cấp chỉ được sử
dụng khi có sự phê duyệt của ban quản lý”.
◾Được thực hiện tuần tự. Điều này rất cần thiết để tổ chức có thể
xem xét và sắp xếp chính sách trước khi nó có hiệu lực. Nhiều tổ chức
công bố một chính sách và sau đó yêu cầu các đơn vị kinh doanh cung cấp
bản tuân thủ kế hoạch trong một khoảng thời gian cụ thể sau khi công bố.
Điều này giúp các nhà quản lý đơn vị kinh doanh có một khoảng thời gian
để xem xét chính sách, tìm ra các điểm thiếu hụt của tổ chức, sau đó trình
- bày một thời gian biểu để tuân thủ. Các thư tuân thủ này thường được lưu
trữ trong hồ sơ và được cung cấp cho các nhân viên kiểm toán.
◾Được chủ động. Hãy nêu rõ những việc phải làm, đừng quá sa đà
vào việc đưa ra những tuyên bố rằng: “Không được làm điều này!” cố
gắng nêu rõ những gì có thể làm được và đâu là những mong đợi từ nhân
viên.
◾Tránh tuyệt đối. Có khả năng ngoại giao và hiểu cách nói đúng đắn
về mặt chính trị. Khi thảo luận về các biện pháp trừng phạt đối với hành
vi không tuân thủ, một số tổ chức đã tuyên bố, “Nhân viên vi phạm chính
sách này sẽ phải chịu các hình thức kỷ luật và bao gồm cả việc sa thải mà
không cần cảnh cáo”. Đối với những chính sách có nội dung như “Nhân
viên không tuân thủ với chính sách này sẽ bị coi là vi phạm Tiêu chuẩn
Ứng xử của nhân viên”. Các tiêu chuẩn ứng xử quy định rằng nhân viên sẽ
phải chịu các hình thức kỷ luật bao gồm cả sa thải. Nếu có thể, hãy sử
dụng cách tiếp cận tử tế hơn, nhẹ nhàng hơn.
◾Đáp ứng các mục tiêu kinh doanh. Các chuyên viên về bảo mật
phải nhận thức rằng các biện pháp kiểm soát phải giúp tổ chức đạt được
mức rủi ro có thể chấp nhận được. 100% bảo mật là 0% năng suất. Bất cứ
khi nào các biện pháp kiểm soát hoặc chính sách làm ảnh hưởng đến các
mục tiêu và sứ mệnh kinh doanh hoặc ảnh hưởng đến tổ chức, khi đó các
biện pháp kiểm soát và chính sách sẽ mất đi. Phải hiểu rằng chính sách
tồn tại để hỗ trợ doanh nghiệp chứ không phải ngược lại.
IV. ĐỊNH DẠNG CHÍNH SÁCH
- Định dạng (bố cục) thực tế của chính sách sẽ phụ thuộc vào hình
thức của chính sách như trong tổ chức của bạn. Điều quan trọng là bất kỳ
chính sách nào được phát triển phải giống với các chính sách được công bố
từ tổ chức để thành công. Hãy tìm ra ai là người chịu trách nhiệm về các
chính sách trong tổ chức của bạn và xem liệu họ có biểu mẫu sẵn hay
không. Những thành viên của hội đồng đánh giá sẽ không thể chấp nhận
việc đọc và đánh giá những chính sách mới nếu như nó không giống như
một chính sách thực sự.
Những chính sách nhìn chung ngắn gọn hơn so với những thủ tục và
thường bao gồm chữ trong một tờ văn bản sử dụng hai mặt của tờ giấy.
Trong các lớp học của mình, tôi nhấn mạnh khái niệm về sự ngắn gọn.
Tuy nhiên, điều quan trọng khi tạo nên một chính sách là phải cân bằng
giữa sự ngắn gọn và rõ ràng. Lấy tất cả các từ bạn cần để hoàn thành suy
nghĩ, nhưng hãy chống lại sự thôi thúc muốn bổ sung thêm thông tin.
Nhiều năm trước, có một linh mục trẻ đến thăm giáo xứ của chúng
tôi và bài giảng của ông là một cuộc thảo luận về khái niệm in chìm. Khái
niệm này thường được đề cập trong lớp Tâm lý học cơ bản 101 và nó là
- một hành vi xã hội ban đầu giữa những con chim, là một quá trình làm cho
những con chim mới nở trở nên gắn bó một cách nhanh chóng và mạnh mẽ
với các đối tượng xã hội như cha mẹ hoặc người thay thế cha mẹ của
chúng.
Mặc dù một số giáo dân hiểu ông đang nói về điều gì, nhưng phần
lớn chỉ ngây người nhìn ông ấy. Vì vậy, người linh mục tiếp tục giải thích
rồi lại giải thích cho đến khi bài giảng của ông ấy kéo dài khoảng 45 phút.
Khi viết một chính sách, hãy cân bằng giữa khoảng thời gian giới hạn với
những gì cần được giải quyết. Giữ cho nó ngắn gọn, nhưng vẫn có thể
hiểu được.
Có ba loại chính sách mà bạn sẽ sử dụng mỗi loại vào những thời
điểm khác nhau trong chương trình bảo mật thông tin của bạn và trong
toàn bộ tổ chức để hỗ trợ quá trình kinh doanh hay sứ mệnh. Ba loại chính
sách đó là:
1. Chính sách Toàn cầu (cấp 1) chúng được sử dụng để tạo ra tầm
nhìn tổng quát và định hướng chung của tổ chức
2. Chủ đề cụ thể (cấp 2) chúng đề cập đến các chủ đề cụ thể cần
quan tâm. Trong trường hợp chính sách đặc trưng cấp 1 có thể đề cập đến
- “Truyền thông doanh nghiệp”, thì các chính sách hỗ trợ cấp 2 có thể giải
quyết các yêu cầu liên lạc khi sử dụng email, mạng xã hội, thư thoại và
các phương thức khác.
3. Ứng dụng cụ thể (bậc 3) tập trung vào các quyết định do ban
quản lý đưa ra để kiểm soát các ứng dụng cụ thể (báo cáo tài chính, bảng
lương,...) hoặc hệ thống (hệ thống lập ngân sách)
1. Chính sách Toàn cầu (cấp 1)
Theo Tiêu chuẩn “chăm sóc thích đáng”, và chịu trách nhiệm cuối
cùng trong việc đáp ứng các mục tiêu kinh doanh hoặc yêu cầu của nhiệm
vụ, nhà quản lý cấp cao phải đảm bảo rằng các nguồn lực cần thiết được
sử dụng hiệu quả để phát triển khả năng đáp ứng các yêu cầu nhiệm vụ.
Họ phải kết hợp các kết quả của quá trình phân tích rủi ro vào quá trình ra
quyết định. Nhà quản lý cấp cao cũng chịu trách nhiệm ban hành các chính
sách toàn cầu để thiết lập định hướng của tổ chức trong việc bảo vệ tài
sản thông tin.
Một chính sách bảo mật thông tin sẽ xác định được mục đích của
ban quản lý và cơ quan tài trợ của nó đối với việc bảo vệ tài sản thông tin
của tổ chức. Nó sẽ bao gồm phạm vi của chương trình, nghĩa là nơi mà nó
sẽ tiếp cận ở đâu và những thông tin nào được đưa vào chính sách này.
Cuối cùng, chính sách sẽ xác định ai là người chịu trách nhiệm và chịu
trách nhiệm về những gì.
Các thành phần của Chính sách toàn cầu (Cấp 1) thường bao gồm
bốn đặc điểm sau.
Chủ đề
- Phần chủ đề của chính sách xác định cụ thể những gì mà chính sách
sẽ giải quyết. Bởi vì khả năng chú ý của người đọc bị hạn chế, chủ đề
phải xuất hiện nhanh chóng, có thể trong phần mở đầu hoặc câu chủ đề.
Tôi thường đề nghị (lưu ý rằng đó là một hướng dẫn, không phải là một
tiêu chuẩn) rằng câu chủ đề cũng bao gồm một “điểm níu chân độc giả”,
đó là lý do tôi với tư cách là một độc giả, nên tiếp tục đọc chính sách này.
Vì vậy, trong câu mở đầu, chúng tôi muốn truyền tải hai yếu tố quan
trọng: (1) chủ đề (nó nên liên quan gì đến tiêu đề của chính sách), và (2)
câu kết (tại sao người đọc nên tiếp tục đọc chính sách).
Một câu mở đầu chủ đề có thể được đọc như sau: “Thông tin cái
mà được tạo ra khi làm việc cho công ty, chính là tài sản của công ty và tất
cả nhân viên phải bảo vệ nó đúng cách.”
Phạm vi
Phạm vi có thể được sử dụng để mở rộng hoặc thu hẹp chủ đề hay
đối tượng, hoặc cả hai. Trong một tuyên bố về chính sách bảo mật thông
tin, chúng tôi có thể nói “thông tin là tài sản và là thuộc sở hữu của Công
ty, tất cả nhân viên có trách nhiệm bảo vệ tài sản đó”. Trong câu này,
chúng tôi đã mở rộng đối tượng để bao gồm tất cả nhân viên. Chúng ta
cũng có thể nói “Thông tin kinh doanh là tài sản thiết yếu của Công ty.
Điều này đúng với tất cả thông tin kinh doanh trong Công ty bất kể thông
tin đó được tạo ra, phân phối hoặc lưu trữ như thế nào và bất kể nó được
đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay giọng nói. ” Ở
đây, người viết đã mở rộng chủ đề để bao gồm tất cả các loại tài sản
thông tin.
- Một ví dụ khác về việc mở rộng phạm vi như sau: “Thông tin của
Công ty, các công ty con và chi nhánh của Công ty ở dạng điện tử, dù được
truyền đi hay lưu trữ, đều là tài sản quan trọng của Công ty và phải được
bảo vệ theo độ nhạy cảm, quan trọng, và giá trị. ” Ở đây, chủ đề “chủ đề”
được thu hẹp thành “hình thức điện tử”. Tuy nhiên, đối tượng được mở
rộng bao gồm “các công ty con và chi nhánh”.
Chúng ta cũng có thể sử dụng khái niệm phạm vi để thu hẹp chủ đề
hoặc đối tượng. Trong chính sách Thỏa thuận việc làm, đối tượng được
giới hạn trong một nhóm cụ thể như sau:
❖ Các bên tham gia ký thỏa thuận ngày (đặc tả) là (tên công ty),
một (chỉ định nhà nước và loại công ty) (“công ty”) và (tên nhân viên)
(“điều hành”).
❖ Công ty muốn tuyển dụng Người điều hành, và Người điều
hành chấp nhận làm việc với Công ty, theo các điều khoản và điều kiện
được quy định trong Thỏa thuận này. Do đó, nó được thống nhất như sau:
Ở đây, chính sách chỉ được giới hạn cho các Giám đốc điều hành và
sau đó sẽ tiếp tục thảo luận về những gì có thể và không thể thực hiện
bởi các Giám đốc điều hành.
Trách nhiệm
Thông thường, phần này của chính sách sẽ xác định ai là người chịu
trách nhiệm và chịu trách nhiệm về những gì. Khi viết, tốt hơn nên xác
định “ai” theo chức danh chứ không phải tên. “Hướng dẫn Tham khảo của
Quản trị viên Văn phòng” có thể hỗ trợ đắc lực bằng cách xác định cách
- các cấp quản lý nhất định được đề cập đến trong giao tiếp. Chính sách
muốn xác định những gì được mong đợi từ mỗi bên liên quan.
Tuân thủ hay Hậu quả
Khi các đơn vị kinh doanh hoặc nhân viên bị phát hiện ở trong tình
trạng không tuân thủ, chính sách phải nêu rõ hậu quả của những hành
động này. Đối với các đơn vị hoặc bộ phận kinh doanh, nếu bị phát hiện là
không tuân thủ, họ thường là đối tượng của một hạng mục đánh giá và sẽ
phải chuẩn bị một sự phản ứng tuân thủ chính thức.
Đối với một nhân viên, việc bị phát hiện không tuân thủ chính sách
của công ty có nghĩa là họ đang vi phạm “Tiêu chuẩn Ứng xử của Nhân
viên” của tổ chức và sẽ phải chịu những hậu quả được mô tả trong “Chính
sách Kỷ luật Nhân viên”.
2. Chính sách theo chủ đề cụ thể (Cấp 2)
Trong trường hợp Chính sách toàn cầu (cấp 1) giải quyết các vấn đề
rộng lớn của toàn tổ chức, thì Chính sách theo chủ đề cụ thể được phát
triển để tập trung vào các lĩnh vực hiện tại có liên quan và mối quan tâm
đối với tổ chức. Để hỗ trợ “Chính sách truyền thông của công ty” cấp 1,
ban quản trị có thể thấy thích hợp khi ban hành chính sách về cách một tổ
chức tiếp cận việc sử dụng phương tiện truyền thông xã hội hoặc sử
dụng hệ thống email do công ty cung cấp. Các chính sách cụ thể theo chủ
đề cũng có thể phù hợp khi các vấn đề mới phát sinh, chẳng hạn như việc
thực hiện luật mới được ban hành gần đây yêu cầu bảo vệ thông tin cụ
thể (GLBA, HIPAA,...). Chính sách toàn cầu (cấp 1) thường đủ rộng để
không phải sửa đổi theo thời gian, trong khi Chính sách theo chủ đề cụ thể
- (cấp 2) có khả năng cần phải sửa đổi thường xuyên hơn khi những thay
đổi trong công nghệ và các yếu tố khác quyết định.
Các chính sách theo chủ đề cụ thể sẽ được một tổ chức tạo ra một
cách thường xuyên nhất. Chúng ta sẽ xem xét các yếu tố chính của chính
sách theo chủ đề cụ thể. Khi tạo tài liệu "Tiêu chuẩn và Chính sách Bảo
mật thông tin", thông thường mỗi phần trong tài liệu sẽ bắt đầu bằng một
chính sách dành riêng cho chủ đề. Chính sách dành riêng cho chủ đề sẽ thu
hẹp trọng tâm vào một vấn đề tại một thời điểm. Điều này sẽ cho phép
người viết tập trung vào một lĩnh vực và sau đó phát triển một bộ tiêu
chuẩn để hỗ trợ chủ đề cụ thể này.
Trong trường hợp các chính sách cấp 1 được Ban chỉ đạo An toàn
thông tin phê duyệt, các chính sách cấp 2 (chủ đề cụ thể) có thể được ban
hành bởi một nhà quản lý cấp cao hoặc giám đốc.
Cũng như các chính sách cấp 1, các chính sách cấp 2 sẽ giải quyết
quan điểm của ban quản lý trong các vấn đề liên quan. Cần phải phỏng
vấn ban giám đốc để xác định mối quan tâm của họ là gì và họ mong muốn
điều gì. Người viết sẽ lấy thông tin này và kết hợp thành cấu trúc sau.
Tuyên bố luận văn
Điều này tương tự như phần “Chủ đề” được thảo luận trong các
chính sách cấp 1, nhưng nó cũng bổ sung thêm thông tin để hỗ trợ các
nhiệm vụ, mục tiêu của chính sách và chỉ thị của ban quản lý. Phần này sẽ
được sử dụng để thảo luận về vấn đề trong các điều khoản có liên quan
và những điều kiện nào bao gồm những gì. Nếu thích hợp, có thể có ích
khi chỉ định mục tiêu hoặc biện hộ cho chính sách. Điều này có thể hữu ích
khi đạt được lợi ích cùng sự tuân thủ chính sách.
- Khi phát triển tài liệu “Tiêu chuẩn làm làm việc”, một chính sách
theo chủ đề cụ thể về phần mềm thích hợp, với các tiêu chuẩn hỗ trợ, có
thể bao gồm thảo luận về phần mềm “Được công ty phê duyệt”. Chính
sách này sẽ xác định ý nghĩa của phần mềm được công ty phê duyệt, có
thể là “bất kỳ phần mềm nào được tổ chức phê duyệt, mua, sàng lọc,
quản lý và sở hữu”. Chính sách cũng sẽ thảo luận về các điều kiện cần
thiết để phần mềm được phê duyệt.
Sau khi các điều khoản và điều kiện đã được thảo luận, phần còn lại
của phần này sẽ được sử dụng cho quan điểm của quản lý nhà nước trong
vấn đề này.
Sự liên quan
Chính sách cấp 2 cũng cần xác định đối tượng áp dụng chính sách.
Ngoài đối tượng, chính sách sẽ muốn làm rõ nó được áp dụng ở đâu, như
thế nào và khi nào. Có phải chính sách chỉ được thực thi khi nhân viên ở
trong phạm vi cơ sở làm việc hay sẽ mở rộng sang các hoạt động bên
ngoài cơ sở? Cần phải xác định càng nhiều điều kiện và điều khoản càng
tốt.
Trách nhiệm
Việc phân công vai trò và trách nhiệm cũng được bao gồm trong các
chính sách cấp 2. Ví dụ, chính sách về phần mềm được công ty phê duyệt
sẽ phải xác định quy trình để phần mềm được chấp thuận. Điều này sẽ
bao gồm cơ quan (theo chức danh) được ủy quyền cấp phê duyệt và tham
chiếu đến nơi quy trình này được lập thành văn bản.
- Đây là thời điểm tốt để thảo luận về những sai lệch từ các yêu cầu
chính sách. Tôi đã thiết lập một tiêu chuẩn cá nhân, trong đó tôi không bao
giờ thảo luận về cách một thực thể có thể được miễn khỏi các điều
khoản từ chính sách. Tôi không muốn tuyên bố rằng “đây là chính sách và
tất cả nhân viên phải tuân thủ” ngoại trừ người nào đó trong số các bạn có
thể tìm cách giải quyết chính sách. Hầu hết các tổ chức đều có một quy
trình để đạt được sự sai lệch được chấp nhận từ chính sách hoặc tiêu
chuẩn. Điều này thường yêu cầu người khởi kiện đệ trình một trường hợp
kinh doanh sai lệch cùng với các biện pháp kiểm soát thay thế đủ đáp ứng
tinh thần của chính sách. Nếu một tổ chức hoặc cá nhân nào đó muốn có
sự sai lệch từ chính sách, hãy để họ tìm hiểu quy trình là gì.
Sự tuân thủ
Đối với chính sách cấp 2, có thể thích hợp để mô tả chi tiết một số
hành vi vi phạm không thể chấp nhận được và hậu quả của nó. Các hình
phạt có thể được nêu rõ ràng và phải phù hợp với Chính sách Kỷ luật Nhân
viên cấp 1. Hãy nhớ rằng, khi một nhân viên bị phát hiện trong tình huống
không tuân thủ, chính Ban Quản lý và Nhân sự phải chịu trách nhiệm kỷ
luật cá nhân đó.
Thông tin bổ sung
Đối với bất kỳ chính sách cấp 2 nào, cần chỉ ra các cá nhân thích hợp
trong tổ chức cần liên hệ để có thêm thông tin, sự hướng dẫn và tuân thủ.
Thông thường, thông tin liên hệ sẽ được chỉ định theo chức danh công
việc, không theo tên cá nhân. Cũng phải thận trọng khi xác định ai là chủ
sở hữu của chính sách này. Thông tin này sẽ cung cấp cho người đọc thông
tin thích hợp nếu họ có đề xuất về cách cải thiện chính sách.
- Để có hiệu quả, một chính sách đòi hỏi khả năng hiển thị. Khả năng
hiển thị hỗ trợ việc thực hiện chính sách bằng cách giúp đảm bảo rằng nó
được truyền đạt đầy đủ trong toàn bộ tổ chức. Các bài thuyết trình, video,
thảo luận của ban quản lý, diễn giả khách mời, diễn đàn hỏi và đáp và bản
tin sẽ tăng khả năng hiển thị. Chương trình nâng cao nhận thức về bảo
mật thông tin của tổ chức có thể thông báo một cách hiệu quả cho người
dùng về các chính sách mới thông qua blog bảo mật hoặc tài khoản mạng
xã hội. Chương trình Định hướng Nhân viên Mới cũng có thể được sử
dụng để giúp nhân viên mới làm quen với các chính sách của tổ chức.
Khi đưa ra các chính sách, điều quan trọng là phải đảm bảo sự hỗ trợ
rõ ràng của cấp quản, đặc biệt là trong các lĩnh vực mà nhân viên cảm
thấy “bị ngập” trong các chỉ thị, quy định hoặc các yêu cầu khác. Các chính
sách của tổ chức là phương tiện được sử dụng để nhấn mạnh cam kết của
ban quản lý đối với các biện pháp kiểm soát nội bộ hiệu quả và những kỳ
vọng của họ đối với sự hỗ trợ và tuân thủ của nhân viên.
3. Chính sách ứng dụng cụ thể (Bậc 3)
Các chính sách cấp toàn cầu (cấp 1) và theo chủ đề cụ thể (cấp 2) đề
cập đến chính sách ở cấp độ rộng, chúng thường bao gồm toàn bộ doanh
nghiệp. Chính sách ứng dụng cụ thể (bậc 3) tập trung vào một hệ thống
hoặc ứng dụng cụ thể. Khi việc xây dựng cấu trúc an toàn thông tin của tổ
chức hình thành, yếu tố cuối cùng sẽ là bản dịch các chính sách cấp 1 và
cấp 2 xuống cấp ứng dụng và hệ thống (cấp 3).
Nhiều quyết định về vấn đề bảo mật chỉ áp dụng ở cấp ứng dụng
hoặc hệ thống. Một số ví dụ về những vấn đề này bao gồm
◾ Ai có quyền đọc hoặc sửa đổi dữ liệu?
nguon tai.lieu . vn