nghiên cứu, tìm hiểu các chính sách, quy định đảm bảo an toàn thông tin tại Việt nam. Phân tích các nội dung trong Bộ luật thực thi về quản lý an toàn thông tin ISOIEC 270022005

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TẠI VIỆT NAM CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TOÀN THÔNG TIN ISO/IEC 27002:2005 LỜI MỞ ĐẦU4 CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TẠI VIỆT NAM6 1. An toàn thông tin là gì?6 2. Thực trạng vấn đề an toàn thông tin tại Việt Nam8 3. Các dạng tội phạm, hành vi xâm phạm an toàn thông tin hiện nay.10 3.1. Lừa đảo mạng ATM11 3.2. Tiếp tục các tấn công dạng Phishing11 3.3. Tấn công từ chối SQL12 3.4. Drive-By Attacks Deliver12 3.5. Mạng xã hội không còn là mục tiêu mới13 3.6. Smartphones: trò chơi mới của tin tặc14 4. Cách đối phó14 5. Xây dựng hệ thống bảo đảm an toàn thông tin16 6. Chính sách, quy định đảm bảo an toàn thông tin20 CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TOÀN THÔNG TIN ISO/IEC 27002:200522 1.Phạm vi22 2.Điều khoản và định nghĩa22 3.Cấu trúc của tiêu chuẩn23 3.1. Điều khoản23 3.2. Các hạng mục bảo mật chính24 4.Đánh giá và xử lý rủi ro bảo mật24 4.1. Đánh giá rủi ro24 4.2. Xử lý rủi ro25 5.Chính sách an toàn27 5.1. Chính sách an toàn thông tin27 6.Tổ chức của an toàn thông tin29 6.1. Tổ chức nội bộ29 6.2. Tổ chức bên ngoài33 7.Quản lý tài sản35 7.1. Trách nhiệm đối với tài sản35 7.2. Phân loại thông tin37 8.Bảo mật nguồn nhân lực38 8.1. Ưu tiên làm việc38 8.2. Trong quá trình làm việc40 8.3. Chấm dứt và thay đổi việc làm42 9.Bảo mật vật lý và môi trường44 9.1. Khu vực an toàn44 9.2. Bảo mật thiết bị47 10. Quản lý hoạt động và truyền thông49 10.1. Thủ tục và trách nhiệm hoạt động49 10.2. Quản lý giao hàng dịch vụ bên thứ ba50 10.3. Sao lưu53 10.4. Quản lý an ninh mạng53 10.5. Giám sát55 11. Kiểm soát truy cập56 11.1. Quản lý truy cập người dùng56 11.2. Trách nhiệm của người dùng59 11.3. Kiểm soát truy cập mạng60 11.4. Ứng dụng và kiểm soát truy cập thông tin63 12. Phát triển và bảo trì hệ thống thông tin64 12.1. Yêu cầu bảo mật của hệ thống thông tin64 12.2. Bảo mật các file hệ thống65 12.3. Bảo mật trong quá trình phát triển và hỗ trợ68 13. Quản lý sự cố về an toàn thông tin70 13.1. Báo cáo các sự kiện và điểm yếu về bảo mật thông tin70 13.2. Quản lý sự cố và cải thiện an toàn thông tin72 14. Tuân thủ74 14.1. Tuân thủ các chính sách và tiêu chuẩn bảo mật74 14.2. Kiểm tra tuân thủ kỹ thuật75

MỤC LỤC

LỜI MỞ ĐẦU 4

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TẠI VIỆT NAM 6

1 An toàn thông tin là gì? 6

2 Thực trạng vấn đề an toàn thông tin tại Việt Nam 8

3 Các dạng tội phạm, hành vi xâm phạm an toàn thông tin hiện nay 10

3.1 Lừa đảo mạng ATM 11

3.2 Tiếp tục các tấn công dạng Phishing 11

3.3 Tấn công từ chối SQL 12

3.4 Drive-By Attacks Deliver 12

3.5 Mạng xã hội không còn là mục tiêu mới 13

3.6 Smartphones: trò chơi mới của tin tặc 14

4 Cách đối phó 14

5 Xây dựng hệ thống bảo đảm an toàn thông tin 16

6 Chính sách, quy định đảm bảo an toàn thông tin 20

CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TOÀN THÔNG TIN ISO/IEC 27002:2005 22

1 Phạm vi 22

2 Điều khoản và định nghĩa 22

3 Cấu trúc của tiêu chuẩn 23

3.1 Điều khoản 23

3.2 Các hạng mục bảo mật chính 24

4 Đánh giá và xử lý rủi ro bảo mật 24

4.1 Đánh giá rủi ro 24

4.2 Xử lý rủi ro 25

5 Chính sách an toàn 27

5.1 Chính sách an toàn thông tin 27

6 Tổ chức của an toàn thông tin 29

6.1 Tổ chức nội bộ 29

6.2 Tổ chức bên ngoài 33

7 Quản lý tài sản 35

7.1 Trách nhiệm đối với tài sản 35

7.2 Phân loại thông tin 37

8 Bảo mật nguồn nhân lực 38

8.1 Ưu tiên làm việc 38

8.2 Trong quá trình làm việc 40

8.3 Chấm dứt và thay đổi việc làm 42

9 Bảo mật vật lý và môi trường 44

9.1 Khu vực an toàn 44

9.2 Bảo mật thiết bị 47

10 Quản lý hoạt động và truyền thông 49

10.1 Thủ tục và trách nhiệm hoạt động 49

10.2 Quản lý giao hàng dịch vụ bên thứ ba 50

10.3 Sao lưu 53

10.4 Quản lý an ninh mạng 53

10.5 Giám sát 55

11 Kiểm soát truy cập 56

11.1 Quản lý truy cập người dùng 56

11.2 Trách nhiệm của người dùng 59

11.3 Kiểm soát truy cập mạng 60

11.4 Ứng dụng và kiểm soát truy cập thông tin 63

12 Phát triển và bảo trì hệ thống thông tin 64

12.1 Yêu cầu bảo mật của hệ thống thông tin 64

12.2 Bảo mật các file hệ thống 65

12.3 Bảo mật trong quá trình phát triển và hỗ trợ 68

13 Quản lý sự cố về an toàn thông tin 70

13.1 Báo cáo các sự kiện và điểm yếu về bảo mật thông tin 70

13.2 Quản lý sự cố và cải thiện an toàn thông tin 72

14 Tuân thủ 74

14.1 Tuân thủ các chính sách và tiêu chuẩn bảo mật 74

14.2 Kiểm tra tuân thủ kỹ thuật 75

KẾT LUẬN 76

về kinh tế, uy tín của cá nhân, tổ chức và thậm chí ảnh hưởng tới an ninh quốc gia.

Theo báo cáo của nhiều tổ chức quốc tế về an toàn thông tin, Việt Nam là một trong các mục tiêu hàng đầu trong khu vực của tấn công gián điệp có tổ chức, mà mục tiêu của các cuộc tấn công này là các cơ quan, tổ chức quan trọng thuộc chính phủ và các tổ chức có sở hữu các hạ tầng thông tin trọng yếu

Bên cạnh những rủi ro về an toàn thông tin do bị tấn công phá hoại có chủđích, đáng chú ý là nhiều đơn vị không biết những sự cố liên quan đến an toàn thông tin đang nằm trọng hệ thống mạng của mình Các nguyên nhân chủ yếu là:các quy trình quản lý, vận hành không đảm bảo, việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ, nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ, năng lực của các cán bộ kỹ thuật còn yếu, thiếu cán bộ chuyên môn và thiếu trang bị kỹ thuật tối thiểu…

Xuất phát từ thực trạng đó, em chọn hướng “nghiên cứu, tìm hiểu cácchính sách, quy định đảm bảo an toàn thông tin tại Việt nam Phân tích các nội

dung trong Bộ luật thực thi về quản lý an toàn thông tin ISO/IEC 27002:2005”

để hiểu rõ hơn về an toàn thông tin tại Việt Nam và Bộ luật thực thi về quản lý

an toàn thông tin ISO/IEC 27002:2005

Nội dụng của bài tiểu luận được trình bày theo 2 chương: Tổ chức cấu trúc như sau:

Chương I: Tổng quan về an toàn thông tin, chính sách, quy định đảm bảo an toàn thông tin tại Việt Nam

Chương II: Bộ luật thực thi về quản lý an toàn thông tin ISO/IEC 27002:2005

Mặc dù có nhiều cố gắng nhưng vốn kiến thức chưa sâu nên không tránh khỏi những thiếu sót Rất mong được sự góp ý của thầy cô và các bạn để được hoàn thiện hơn

Em xin chân thành cảm ơn !

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN, CHÍNH SÁCH, QUY ĐỊNH ĐẢM BẢO AN TOÀN THÔNG TIN TẠI VIỆT NAM

1 An toàn thông tin là gì?

An toàn thông tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ vàyếu tố con người

 Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ máy trạm

 Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với thông tin và sử dụng máy tính trong công việc của mình

Hai yếu tố trên được liên kết lại thông qua các chính sách về An toàn thông tin

Theo ISO 17799, An toàn thông tin là khả năng bảo vệ đối với môi trườngthông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia Thông qua các chính sách về an toàn thông tin, lãnh đạo thể hiện ý chí và năng lực của mình trong việc quản lý hệ thống thông tin An toàn thông tin được xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàn cầu Như vậy, với vị trí quan trọng của mình, có thể khẳng định vấn đề an toàn thông tin phải bắt đầu từ các chính sách, trong đó con người là mắt xích quan trọng nhất

An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ cókhả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất Hệ thống có một trong cácđặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ) Các

thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của

hệ thống đảm bảo hoạt động đúng đắn Mục tiêu của an toàn bảo mật trong côngnghệ thông tin là đưa ra một số tiêu chuẩn an toàn Ứng dụng các tiêu chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi

ro Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm trachất lượng

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ

an toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách và phương pháp đề phòng cần thiết Mục đích cuối cùng của an toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:

 Tính tin cậy (Confidentiality): Thông tin không thể bị truy nhập trái phép bởi những người không có thẩm quyền

 Tính nguyên vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi những người không có thẩm quyền

 Tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền

 Tính không thể từ chối (Non-repudiation): Thông tin được cam kết về mặtpháp luật của người cung cấp

Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần

để kiểm tra việc triển khai các biện pháp an ninh cơ bản của một hệ thống như sau:

 Tài liệu về chính sách an ninh thông tin

 Việc phân bổ các trách nhiệm về an ninh hệ thống

 Các chương trình giáo dục và huấn luyện về sự an ninh thông tin.

 Các báo cáo về các biến cố liên quan đến an ninh thông tin

 Các biện pháp kiểm soát Virus

 Tiến trình liên tục lập kế hoạch về kinh doanh

 Các hình thức kiểm soát việc sao chép các thông tin thuộc sở hữu của tổ chức

 Việc bảo vệ các hồ sơ về tổ chức

 Việc tuân thủ pháp luật về bảo vệ dữ liệu

 Việc tuân thủ chính sách về an ninh hệ thống của tổ chức

2 Thực trạng vấn đề an toàn thông tin tại Việt Nam

Tính tới thời điểm này, đã có nhiều lỗ hổng an ninh đã được phát hiện như

lỗ hổng DNS bị coi là siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng dữ liệu qua lại trên toàn mạng World Wire Web, lỗ hổng trình duyệt web Google Chrome… Hình thức tấn công cũng đã có sự thay đổi Hacker đã thay đổi từ hình thức tấn công hệ thống thông qua dịch vụ thư điện tử sang tấn công hệ thống dựa vào dịch vụ web Hacker đã mở một chiến dịch “tổng tấn công” nhằmvào mạng Internet với số lượng hơn 1 triệu website Trong đó có các website nổitiếng thế giới như USA Today.com, Walman.com… Số lượng và tầm quan trọngcủa các website bị tấn công đang tăng lên từng ngày Virus và phần mềm độc hại tiếp tục tăng trưởng

Trải qua 35 năm đổi mới, hệ thống thông tin của Việt Nam có sự phát triển mạnh mẽ, phục vụ đắc lực sự lãnh đạo, quản lý, điều hành của Đảng, Nhà nước, đáp ứng nhu cầu thông tin của xã hội, góp phần đảm bảo quốc phòng, an ninh của đất nước Lĩnh vực viễn thông, Internet, tần số vô tuyến điện có sự pháttriển mạnh mẽ, đạt được mục tiêu số hóa hoàn toàn mạng lưới, phát triển nhiều dịch vụ mới, phạm vi phục vụ được mở rộng, bước đầu hình thành những doanh nghiệp mạnh, có khả năng vươn tầm khu vực, quốc tế Hệ thống bưu chính chuyển phát, báo chí, xuất bản phát triển nhanh cả về số lượng, chất lượng và kỹthuật nghiệp vụ, có đóng góp quan trọng cho sự phát triển kinh tế - xã hội; đảm bảo quốc phòng, an ninh, đối ngoại của đất nước

Tuy nhiên, tình hình an ninh thông tin ở Việt Nam đã và đang có những diễn biến phức tạp Các cơ quan đặc biệt nước ngoài, các thế lực thù địch, phản động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống thông tin; tán phát thông tin xấu, độc hại nhằm tác động chính trị nội bộ, can thiệp, hướng lái chính sách, pháp luật của Việt Nam Gia tăng hoạt động tấn công mạng nhằm vào hệ thống thông tin quan trọng quốc gia, hệ thống thông tinquan trọng về an ninh quốc gia Theo thống kê, trung bình mỗi năm, qua kiểm tra, kiểm soát các cơ quan chức năng đã phát hiện trên 850.000 tài liệu chiến tranh tâm lý, phản động, ân xá quốc tế, tài liệu tuyên truyền tà đạo trái phép; gần750.000 tài liệu tuyên truyền chống Đảng, Nhà nước được tán phát vào Việt Nam qua đường bưu chính Từ 2010 đến 2019 đã có 53.744 lượt cổng thông tin, trang tin điện tử có tên miền vn bị tấn công, trong đó có 2.393 lượt cổng thông tin, trang tin điện tử của các cơ quan Đảng, Nhà nước “.gov.vn”, xuất hiện nhiềucuộc tấn công mang màu sắc chính trị, gây ra những hậu quả nghiêm trọng.

Tội phạm và vi phạm pháp luật trong lĩnh vực thông tin diễn biến phức tạp, gia tăng về số vụ, thủ đoạn tinh vi, gây thiệt hại nghiêm trọng về nhiều mặt Các hành vi phá hoại cơ sở hạ tầng thông tin; gây mất an toàn, hoạt động bình thường, vững mạnh của mạng máy tính, mạng viễn thông, phương tiện điện tử của các cơ quan, tổ chức, cá nhân và hệ thống thông tin vô tuyến điện,… đã và đang gây ra những thiệt hại lớn về kinh tế, xâm hại trực tiếp đến quyền, lợi ích hợp pháp của các cơ quan, tổ chức và cá nhân Theo kết quả đánh giá an ninh mạng do Tập đoàn công nghệ Bkav thực hiện, trong năm 2019, chỉ tính riêng thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 20.892

tỷ đồng (tương đương 902 triệu USD), hơn 1,8 triệu máy tính bị mất dữ liệu do

sự lan tràn của các loại mã độc mã hóa dữ liệu tống tiền (ransomware), trong đó

có nhiều máy chủ chứa dữ liệu của các cơ quan, gây đình trệ hoạt động của nhiều cơ quan, doanh nghiệp

Hệ thống thông tin của Việt Nam còn tồn tại nhiều điểm yếu, lỗ hổng bảo mật dễ bị khai thác, tấn công, xâm nhập; tình trạng lộ, mất bí mật nhà nước qua

hệ thống thông tin gia tăng đột biến; hiện tượng khai thác, sử dụng trái phép cơ

sở dữ liệu, tài nguyên thông tin quốc gia, dữ liệu cá nhân người dùng diễn biến phức tạp; xuất hiện nhiều dịch vụ mới, hiện đại gây khó khăn cho công tác quản

lý, kiểm soát của các cơ quan chức năng Từ 2001 đến 2019, các cơ quan chức năng đã phát hiện hơn 1.100 vụ lộ, mất bí mật nhà nước, trong đó lộ, mất bí mật nhà nước qua hệ thống thông tin chiếm tỷ lệ lớn với trên 80% số vụ Tháng 3/2018, Facebook cũng đã để lộ dữ liệu cá nhân để một nhà phát triển bán lại cho Công ty Cambridge Analityca, dẫn tới 87 triệu dữ liệu thông tin người dùng

bị lộ, trong đó có 427.466 tài khoản của người dùng Việt Nam

Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thôngtin Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệ thống thông tin và đa phần các điểm yếu đó rất tiếc lại

do con người tạo ra Việc nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình trạng trên Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong các chính sách về ATTT song việc tuân thủ các quy định lại không được thực hiện chặt chẽ Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công

3 Các dạng tội phạm, hành vi xâm phạm an toàn thông tin hiện nay.

Những thủ đoạn phạm tội công nghệ cao có thể liệt kê như: lừa đảo trên mạng, trộm cắp địa chỉ thư điện tử, thông tin thẻ tín dụng và thông tin cá nhân; đưa thông tin thẻ tín dụng đã ăn cắp được lên mạng để mua bán, trao đổi, cho tặng; thực hiện rửa tiền bằng cách chuyển tiền từ tài khoản trộm cắp được sang tài khoản tiền ảo như e-gold, e-passport…; lừa đảo trong hoạt động thương mại điện tử, trong quảng cáo, bán hàng trực tuyến qua mạng, mua bán ngoại tệ, mua bán cổ phiếu qua mạng; đánh bạc, cá độ bóng đá qua mạng; sử dụng máy tính đểthực hiện hành vi trốn thuế, tham ô; buôn bán ma tuý qua mạng; tổ chức hoạt động mại dâm qua mạng; truyền bá văn hoá phẩm đồi truỵ qua mạng; thực hiện các hoạt động khủng bố, gây rối qua mạng; xâm phạm an toàn của hệ thống hạ tầng an ninh quốc gia; lập trạm thu phát tín hiệu trái phép, sử dụng mạng

Internet để chuyển cuộc gọi quốc tế thành cuộc gọi nội hạt…

Đặc điểm nổi bật của loại tội phạm công nghệ cao là tính quốc tế Từ phương thức, thủ đoạn, phạm vi gây án, đối tượng bị xâm hại tới mục tiêu gây

án hầu như về cơ bản đều giống nhau trên toàn thế giới Thủ phạm gây án có thểngồi một chỗ tấn công vào bất kỳ nơi nào trên thế giới mà không cần xuất đầu lộdiện, chỉ để lại rất ít dấu vết là những dấu vết điện tử và thời gian gây án thường rất ngắn khiến cơ quan điều tra khó phát hiện, thu thập nhưng lại dễ dàng tiêu huỷ

Tội phạm công nghệ cao được chia làm hai nhóm: nhóm tội phạm với mục tiêu tấn công là các loại thiết bị kỹ thuật số, mạng máy tính và nhóm thứ hai là tội phạm sử dụng máy tính làm công cụ phạm tội

3.1 Lừa đảo mạng ATM

“ Một khi bọn tội phạm lấy được dữ liệu trên các dải từ tính cùng với số PIN, chúng hoàn toàn có thể tạo ra các thẻ giả , và chính những thẻ này sẽ là được dùng để rút tiền” Vấn đề khác đối với các tổ chức là khả năng thực hiện quản lý rủi ro của họ ít hơn nhiều so với các giao dịch trực tuyến trên ATM “

Đó là vì máy ATM cung ứng hàng hóa cho khách hàng của mình ngay lập tức, chính xác như ý muốn của bọn lừa đảo – đó là tiền mặt chứ không phải là một loại vé, giấy có giá mà sau đó phải cất trữ hoặc bán lại

3.2 Tiếp tục các tấn công dạng Phishing

Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin nhạy cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quý giá khác

Phương thức tấn công này thường được tin tặc thực hiện thông qua email

và tin nhắn Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu đăng nhập Nếu “mắc câu”, tin tặc sẽ có được thông tin ngay tức khắc.Phương thức phishing được biết đến lần đầu tiên vào năm 1987 Nguồn gốc của

từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông tin) và phreaking (trò lừa đảo sử dụng điện thoại của người khác không trả phí) Do sự

giống nhau giữa việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ Phishing ra đời.

3.3 Tấn công từ chối SQL

Nghiên cứu của Sophos cho hay, số lượng các cuộc tấn công SQL vào cáctrang web “vô tội” trong năm qua tăng lên rõ rệt, và năm tới, xu hướng này sẽ vẫn tiếp diễn Độ bảo mật kém của các trang web, đặc biệt là không có khả năngphòng chống các cuộc tấn công tự động từ xa như tấn công từ chối SQL, sẽ tiếp tục trở thành nơi đầu tiên để phát tán mã độc

Báo cáo mới đây của Trung tâm thu nhận tố cáo tội phạm internet cũng chỉ ra số lượng các cuộc tấn công SQL trong năm qua tăng lên đáng kể, đặc biệt

là liên quan đến các dịch vụ tài chính và ngành công nghiệp bán lẻ trực tuyến

3.4 Drive-By Attacks Deliver

Các tổ chức cần phải hướng dẫn và cảnh báo khách hàng và nhân viên khionline phải cẩn trọng với những trang Web giả mạo (look-alikes) và bị nhiễm độc, Tom Wills, Javelin Strategy Research's Senior Analyst for Security & Fraud nói “Các tấn công Drive-by lén lút phân phối Trojans trộm bàn phím (keylogger) vào các máy tính của khách hàng và trở thành vũ khí trộm danh tính

tự nguyện.” Các máy sẽ bị nhiễm khi người dùng viếng các trang web giả mạo

do bị chuyển tới thông qua phishing emails hoặc như xu hướng đang gia tăng hiện nay là thông qua các trang web hợp lệ nhưng đã bị hack, ông nhận xét Javelin's Wills cũng tiên đoán sẽ có sự gia tăng về số lượng các hackers và tội phạm “nghiệp dư"(amateur), tìm cách ăn trộm tiền hay thông tin cá nhân khách hàng của các tổ chức, chủ yếu do kinh tế suy thoái “ Các tổ chức cần nhận thấy

có sự tăng cường lừa đảo không chyên Những „tội phạm có cơ hội‟ sẽ xuất hiệngiữa các khách hàng và nhân viên do ngày càng nhiều người bị tress về tài chínhbởi hậu quả kinh tế suy thoái.” Will nhận xét

3.5 Mạng xã hội không còn là mục tiêu mới

Facebook, zalo, tiktok đây là những mạng xã hội đang được rất nhiều người dùng sử dụng Với những ứng dụng như nhắn tin, gọi điện miện phí,

mạng xã hội dường như đang thay đế nhiều nhà mạng, trong việc liên lạc và traođổi thông tin hàng ngày của đông đảo người dùng.

Dù khi sử dụng những ứng dụng này người dùng phải cung cấp những thông tin cơ bản từ tên tuổi, địa chỉ, số điện thoại và các mối quan hệ Thế

nhưng hầu như rất ít người quan tâm tới việc sẽ ra sao nếu những thông tin riêng

tư của mình bị lộ, hay bị kẻ xấu lợi dụng Dù những nguy cơ này là có thưc và

có thể đến với bất cứ ai

Đưa tất cả những thông tin cơ bản về bạn bè, người thân, các điểm đến, hay sở thích lên mạng xã hội là thói quen của rất nhiều người Nhưng có thể đâycũng là con dao hai lưỡi đối với người dùng Trong khi đó nhiều người dùng cònrất chủ quan hoặc cả tin ngay trên thế giới ảo

Năm 2018 có tới 87 triệu người dùng facebook bị rò rỉ thông tin cá nhân Theo giám đốc Giám đốc Công nghệ của Facebook, Việt Nam nằm trong Top

10 quốc gia bị lộ thông tin trên mạng xã hội này nhiều nhất

Rõ ràng khi sử dụng những ứng dụng này người dùng đã ngay lập tức phải đối mặt với nguy cơ thông tin riêng tư của cá nhân bị tấn công Đầu tháng 7vừa qua vụ lộ tin nhắn các nhân trên mạng xã hội của 1 cầu thủ bóng đá nổi tiếng đã khiến không ít người bất ngờ Sẽ là quá muộn nếu chúng ta chỉ quan tâm tới vấn đề này khi có những điều đáng tiếc xảy ra trong đời sống thực

Tội phạm mạng ngày càng tinh vi và thủ đoạn, qua việc tấn công các tài khoản cá nhân chúng có thể chiểm đoạt tài sản hoặc cũng có thể tổ chức đe dọa người dùng, xúi giục tự sát, ảnh hưởng đến tính mạng như ứng dụng Mo mo, nhân vật Garlindo, trò chơi nguy hiểm cá voi xanh

Nhận thức rõ những nguy cơ từ việc mất an toàn trong bảo mật thông tin

cá nhân trên mạng xã hội, nhiều quốc gia trên thế giới đã cấm sử dụng các ứng dụng quen thuộc như tại Ân Độ cấm sử dụng mạng xã hội tik tok, Nhận Bản hạnchế facebook, Trung Quốc cấm sử dụng face book

Tại Việt Nam, dù chưa có những quyết định cấm hoàn toàn mạng xã hội tuy nhiên để đảm bảo an toàn người dùng nên chủ động, hạn chế cung cấp

những thông tin riêng tư và liên lạc qua những ứng dụng mạng xã hội

3.6 Smartphones: trò chơi mới của tin tặc

Trong khi đa số phần mềm hiểm độc và thư rác được phát tán nhằm mục đích kiếm tiền thì theo phân tích của Sophos, với smartphone, tin tặc chủ yếu viết phần mềm hiểm độc với mục đích nổi danh

Apple iPhone theo Sohpos, có 3 lí do khiến người dùng iPhone dễ bị tấn công phishing hơn so với những ai sử dụng máy tính

 Người dùng iPhone thường muốn nhấp vào địa chỉ được giới thiệu vì việcnhập URL trên màn hình cảm ứng thường khó khăn hơn

 Phiên bản Safari trên iPhone không hiển thị địa chỉ URLs nhúng trong emails trước khi chúng được nhấp vào, khiến người dùng khó nhận diện được liệu chúng có dẫn tới các trang lừa đảo hay không

 Trình duyệt trên iPhone không hiển thị đầy đủ địa chỉ URL giúp kẻ xấu cóthể lợi dụng để lừa đảo người

Google Android mặc dù Android trên Google G1 mới ra mắt gần đây và hiện chưa mắc phải những cuộc tấn công từ tin tặc, nhưng sau chỉ một ngày G1 được bán ra thị trường, giới an ninh đã phát hiện ra một lỗ hổng nghiêm trọng Theo dự đoán của Sophos, càng có nhiều người sở hữu smartphone thì dòng thiết bị này sẽ trở nên hấp dẫn hơn với tin tặc

4 Cách đối phó

Hiện thế giới coi Việt Nam như một thị trường an toàn, có tiềm năng về thương mại điện tử và đầu tư Điều này phụ thuộc rất nhiều vào bức tranh an ninh mạng Việt Nam Nếu vấn đề an ninh mạng không được giải quyết kịp thời, hợp lý, lĩnh vực thương mại điện tử vốn đã non trẻ của Việt Nam có thể sẽ rơi vào tình trạng trì trệ, trở thành “một rào cản đối với Việt Nam hậu WTO”

Việc đảm bảo an ninh trật tự trong “thế giới ảo” hiện là một trọng trách nặng nề của lực lượng công an nói chung và cảnh sát phòng chống tội phạm công nghệ cao nói riêng trong tình hình mới Với kinh nghiệm điều tra, lần theo dấu vết, đã “điểm mặt, chỉ tên” được nhiều vụ án cụ thể, theo Tiễn sĩ Trần Văn Hoà, việc phát hiện kịp thời, truy tìm dấu vết đối tượng của những vụ án công

nghệ cao thường đòi hỏi phải có sự phối hợp đồng bộ giữa các cơ quan điều tra trong và ngoài nước tránh bị ngắt quãng, mất dấu vết.

Nhìn về xu hướng bảo mật, Việt Nam đã từng có thời điểm được xếp vào danh sách 1 trong 10 quốc gia có lượng spam email lớn nhất thế giới Song, trong số các spam mail được gửi đi từ Việt Nam lại có rất ít các email nội dung tiếng Việt Điều này chứng tỏ spam email chủ yếu do các đối tượng, hacker nước ngoài gửi về Việt Nam

Tuy nhiên, trong khi hệ thống pháp luật của Việt Nam còn thiếu và nhiều

kẽ hở, hình thức quảng cáo bằng spam email hay tin nhắn spam vẫn đang là một giải pháp tiết kiệm chi phí được nhiều doanh nghiệp sử dụng Đây lại rất có thể

là cơ hội để các hacker nội kiếm tiền bằng cách gửi spam email thuê với quy môlớn

Nếu điều này xảy ra sẽ gây vô vàn thách thức cho các cơ quan chức năng, các doanh nghiệp cung cấp dịch vụ Internet của Việt Nam và bản thân người dùng Internet trong nước

Vì vậy, việc cần làm đầu tiên vẫn là tăng cường các biện pháp quản lý củanhà nước và công tác phòng chống tội phạm công nghệ cao Xây dựng, hoàn thiện và triển khai có hiệu quả hệ thống văn bản pháp luật đồng bộ có liên quan tới lĩnh vực CNTT như Luật Hình sự, Bộ Luật tốt tụng hình sự, Luật CNTT, Luật giao dịch điện tử…

Bản thân các doanh nghiệp, tổ chức cá nhân cũng phải có ý thức nâng caocảnh giác, tăng cường sử dụng các công cụ kỹ thuật để ngăn chặn, phòng ngừa bảo vệ các server, website, cơ sở dữ liệu như các thiết bị phần cứng, các phần mềm chống virus, spyware, spam… Đặc biệt là phải tăng cường công tác điều tra, truy tố, xét xử các vụ phạm tội công nghệ cao để có thể răn đe, phòng ngừa

5 Xây dựng hệ thống bảo đảm an toàn thông tin

Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn giản gói gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một số giảipháp thuần túy kỹ thuật Một hệ thống thông tin an toàn đúng nghĩa phải gắn kết

và tích hợp chặt chẽ với hoạt động của toàn tổ chức trong đó con người đóng vaitrò quan trọng.

Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin Tuy nhiên, thông thường người ta dựa vào các tiêu chuẩn, trong số đó hai tiêu chuẩn ISO 27001 và ISO/IEC 17799 thường được nhắc đến nhiều nhất, bởi tính hệ thống, tính thông dụng và tính quốc tế của chúng

Khi xây dựng một hệ thống an toàn thông tin, người ta thường tham khảo

cả hai như là một cặp không thể tách rời Khi áp dụng, tiêu chuẩn ISO 27001 mang tính bắt buộc, quy định các yêu cầu của một hệ thống an toàn thông tin, trong khi chuẩn ISO/IEC 17799 cung cấp các kinh nghiệm để có thể thiết kế một

hệ thống cụ thể, mang tính tham khảo và không bắt buộc

Sơ đồ 1

Về cơ bản, một hệ thống an toàn thông tin phải được xây dựng tích hợp chặt chẽ vào hệ thống vận hành của một tổ chức, có cấu trúc chặt chẽ, gồm nhiều tác vụ liên thông và hỗ trợ lẫn nhau Một hệ thống theo chuẩn ISO/IEC

17799 nhất thiết phải bao gồm các nhóm yêu cầu và tác vụ được trình bày ở sơ

đồ 1

Để phát huy hiệu quả tốt, theo kinh nghiệm, việc xây dựng hệ thống an toàn thông tin nên căn cứ vào nhu cầu và đặc điểm của từng tổ chức Một hệ thống an toàn có hiệu quả ở tổ chức này, hoàn toàn không chắc là phù hợp với tổchức khác, thậm chí có hoạt động cùng lĩnh vực.

Việc áp dụng chuẩn và sử dụng chuyên gia tư vấn cũng chỉ nhằm xây dựng các phương pháp bảo đảm an toàn thông tin mang tính hệ thống, tránh thiếu sót, thừa hưởng các kinh nghiệm đã đúc kết, chúng không thể thay thế cho vai trò quyết định của bản thân doanh nghiệp

Sơ đồ 2

Thông thường, quá trình thiết lập, vận hành và chứng nhận hệ thống an toàn thông tin theo tiêu chuẩn ISO 27001 bao gồm các bước cơ bản được trình bày ở bảng 2, trong đó chi tiết các bước sẽ rất khác nhau, tùy theo từng tổ chức

Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời giangiữa các bước trong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống

an toàn thông tin Các bước và khung thời gian chỉ có tính minh họa, thực tế chúng khác biệt và phụ thuộc vào mục tiêu, cách thức và kế hoạch của từng tổ chức

Chính sách Các chính sách ở các cấp độ khác nhau (công ty, phòng, ban)

về an toàn thông, các quy trình, quy định, hướng dẫn thực hiện, báo cáo, xử lý sự cố, kỷ luật…

Tổ chức và

thực hiện

Quy định trách nhiệm của các bộ phận và cách thức thực hiện các công việc về an toàn thông tin của tổ chức

Kiểm soát tài

An toàn về

con người

Chú trọng bảo đảm an toàn thông tin về mặt con người, huấn luyện và quy định vai trò, nghĩa vụ của từng người trong tổ chức về an toàn thông tin

Kiểm soát sự

cố

Bao gồm các phương án bảo đảm các quá trình hoạt động và kinh doanh của tổ chức được tiếp diễn bình thường khi có tìnhhuống (xấu) khẩn cấp xảy ra

Tuân thủ quy

định của pháp

luật

Bảo đảm cho hệ thống an toàn thông tin và các quy định của

tổ chức phù hợp với luật pháp, không mâu thuẫn với các tiêu chuẩn khác trong tổ chức

2 Huấn luyện Huấn luyện về nhận thức và kỹ thuật, bảo đảm cho nhân viên

các cấp có đủ kiến thức và kỹ năng để thiết lập và vận hành

5 Áp dụng

quy trình

Chính thức áp dụng các chính sách, quy trình và phương pháp, công cụ đã được phê duyệt, áp dụng thử hoặc áp dụng đại trà

6 Kiểm soát

việc thực thi

và xem xét

của lãnh đạo

Các chuyên gia kiểm soát nội bộ kiểm soát việc tuân thủ Các

vi phạm và các điểm bất hợp lý được báo cáo với lãnh đạo Lãnh đạo xem xét toàn diện hệ thống an toàn thông tin, khảo sát tính hiệu quả của hệ thống, giải quyết khó khăn, chỉ định các điểm cải tiến

9 Cải tiến các

quy trình

Điều chỉnh các chính sách, thủ tục, phương pháp và công cụ

hỗ trợ cho phù hợp hơn sau khi đánh giá thử, bảo đảm mọi thứ sẵn sàng

Bảng 2

6 Chính sách, quy định đảm bảo an toàn thông tin

Chính sách an toàn thông tin (Information security policy)

Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an toàn thông tin

Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ, các cam kết về an toàn thông tin thông qua việc đưa ra và duy trì các chính sách

về an toàn thông tin đối với một tổ chức

Tài liệu chính sách an toàn thông tin cần được phê chuẩn bởi nhà quản lý

và cung cấp phổ biến cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ chức đối với vấn đề an toàn thông tin.Tối thiểu là bao gồm:

 Định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an toàn khi thiết lập cơ chế cho việc chia sẻ thông tin (tham chiếu phần giới thiệu)

 Đưa ra mục tiêu của sự quản lý, hỗ trợ mục đích và nguyên lý của an toàn thông tin

 Bản tóm tắt về các chính sách an toàn thông tin, các chuẩn cũng như các yêu cầu có tính chất quan trọng cho một tổ chức, ví dụ như:

o đúng theo luật pháp và các yêu cầu hợp đồng

o các yêu cầu về kiến thức an toàn

o ngăn chặn và nhận dạng virus và các phần mềm hiểm độc khác;

o quản lý tính liên tục trong kinh doanh;

o các hậu quả của sự vi phạm các chính sách an toàn thông tin

 Định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an toàn thông tin bao gồm các báo cáo về các vấn đề an toàn nói chung

 Tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách

về an toàn thông tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc các quy tắc an toàn cho người dùng

Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng

o Những nguy cơ trong nội bộ mạng

 Xác định nguy cơ đối với hệ thống

o Tính đúng đắn

o Tính thân thiện

o Tính hiệu quả

 Xác định phương án thực thi chính sách bảo mật

 Triển khai chính sách bảo mật bằng cách đào tạo người sử dụng và xây dựng thiết bị

Các mục tiêu kiểm soát và các biện pháp kiểm soát của tiêu chuẩn này nhằm thực hiện đáp ứng các yêu cầu được xác định bởi đánh giá rủi ro Tiêu chuẩn này có thể đóng vai trò là hướng dẫn thực tế để phát triển các tiêu chuẩn an ninh

tổ chức và quản lý an ninh hiệu quả thực hành và giúp xây dựng lòng tin trong các hoạt động liên tổ chức

2 Điều khoản và định nghĩa

Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa sau được áp dụng:

 Tài sản: bất cứ thứ gì có giá trị đối với tổ chức

 Điều khiển: các phương tiện quản lý rủi ro, bao gồm các chính sách, thủ tục, hướng dẫn, thực hành hoặc tổ chức cấu trúc, có thể mang tính chất hành chính, kỹ thuật, quản lý hoặc pháp lý

 Hướng dẫn: mô tả làm rõ những gì nên làm và làm thế nào, để đạt được các mục tiêu đề ra trong các chính sách

 Cơ sở xử lý thông tin: bất kỳ hệ thống xử lý thông tin, dịch vụ hoặc cơ sở

hạ tầng hoặc các vị trí thực tế chứa chúng

 An toàn thông tin: bảo toàn tính bí mật, tính toàn vẹn và tính sẵn có của thông tin; ngoài ra, các tài sản khác, chẳng hạn như tính xác thực, trách nhiệm giải trình, không từ chối và độ tin cậy cũng có thể liên quan

 Sự kiện: một sự kiện an toàn thông tin là một sự kiện đã được xác định của một hệ thống, dịch vụ hoặc trạng thái mạng cho thấy có thể vi phạm chính sách an toàn thông tin hoặc không thực hiện các biện pháp bảo vệ, hoặc trước đó tình huống không xác định có thể liên quan đến an ninh

 Sự cố: một sự cố an toàn thông tin được chỉ ra bởi một hoặc một loạt các

sự cố không mong muốn hoặc không mong muốn các sự kiện an toàn thông tin có khả năng ảnh hưởng đáng kể đến hoạt động kinh doanh và đedọa an ninh thông tin

 Chính sách: ý định và phương hướng tổng thể được ban lãnh đạo thể hiện chính thức

 Rủi ro: sự kết hợp giữa suất xác định của một sự kiện và kết quả của nó

 Bên thứ 3: cá nhân hoặc cơ quan được công nhận là độc lập với các bên liên quan

 Mối đe dọa: nguyên nhân tiềm ẩn của sự cố không mong muốn, có thể dẫn đến tổn hại cho hệ thống hoặc tổ chức

 Lỗ hổng: điểm yếu của một tài sản hoặc một nhóm tài sản có thể bị khai thác bởi một hoặc nhiều mối đe dọa

3 Cấu trúc của tiêu chuẩn

Tiêu chuẩn này bao gồm 11 điều khoản kiểm soát an ninh chung chứa tổng cộng

39 hạng mục bảo mật chính và một điều khoản mở đầu giới thiệu việc đánh giá

 Bảo mật nguồn nhân sự (3);

 Bảo mật Vật lý và Môi trường (2);

 Quản lý Hoạt động và Truyền thông (10);

 Kiểm soát truy cập (7);

 Phát triển và Bảo trì Hệ thống Thông tin (6);

 Quản lý Sự cố An toàn Thông tin (2);

 Quản lý liên tục kinh doanh (1);

 Tuân thủ (3)

3.2 Các hạng mục bảo mật chính

Mỗi danh mục bảo mật chính bao gồm:

 Mục tiêu kiểm soát nêu rõ những gì cần đạt được; và

 Một hoặc nhiều biện pháp kiểm soát có thể được áp dụng để đạt được mục tiêu kiểm soát

Mô tả kiểm soát được cấu trúc như sau:

Kiểm soát:

Xác định tuyên bố kiểm soát cụ thể để đáp ứng mục tiêu kiểm soát

Hướng dẫn thực hiện:

Cung cấp thông tin chi tiết hơn để hỗ trợ việc thực hiện kiểm soát và đáp ứng mục tiêu kiểm soát Một số hướng dẫn này có thể không phù hợp trong mọi trường hợp và do đó các cách thực hiện kiểm soát khác có thể phù hợp hơn.Thông tin khác:

Cung cấp thêm thông tin có thể cần được xem xét, ví dụ như cân nhắc pháp lý và tham chiếu đến các tiêu chuẩn khác

4 Đánh giá và xử lý rủi ro bảo mật

4.1 Đánh giá rủi ro

Đánh giá rủi ro cần xác định, định lượng và ưu tiên các rủi ro dựa trên cáctiêu chí để chấp nhận rủi ro và các mục tiêu liên quan đến tổ chức Kết quả phải hướng dẫn và xác định hành động quản lý thích hợp và các ưu tiên để quản lý rủi ro an toàn thông tin và thực hiện các biện pháp kiểm soát được lựa chọn để bảo vệ khỏi những rủi ro này Quá trình đánh giá rủi ro và lựa chọn các biện pháp kiểm soát có thể cần được thực hiện nhiều lần để bao gồm các bộ phận khác nhau của hệ thống thông tin của tổ chức hoặc cá nhân

Đánh giá rủi ro cần bao gồm cách tiếp cận có hệ thống để ước tính mức độrủi ro (phân tích rủi ro) và quá trình so sánh rủi ro ước tính với các tiêu chí rủi ro

để xác định mức độ quan trọng của rủi ro (đánh giá rủi ro)

Đánh giá rủi ro cũng nên được thực hiện định kỳ để giải quyết những thayđổi trong các yêu cầu bảo mật và trong tình huống rủi ro, ví dụ: về tài sản, các mối đe dọa, lỗ hổng, tác động, đánh giá rủi ro và khi những thay đổi quan trọng xảy ra Các đánh giá rủi ro này cần được thực hiện một cách có phương pháp có khả năng tạo ra các kết quả có thể so sánh và tái lập được

Đánh giá rủi ro an toàn thông tin cần có phạm vi được xác định rõ ràng để

có hiệu quả và phải bao gồm các mối quan hệ với các đánh giá rủi ro trong các lĩnh vực khác, nếu thích hợp

Phạm vi đánh giá rủi ro có thể là toàn bộ tổ chức, các bộ phận của tổ chức, một hệ thống thông tin riêng lẻ, các thành phần hệ thống cụ thể hoặc các dịch vụ khi điều này là khả thi, thực tế và hữu ích

Ví dụ về các phương pháp luận đánh giá rủi ro được thảo luận trong ISO / IEC

TR 13335-3

4.2 Xử lý rủi ro

Trước khi xem xét việc xử lý rủi ro, tổ chức cần quyết định các tiêu chí đểxác định xem rủi ro có thể được chấp nhận hay không Rủi ro có thể được chấp nhận nếu, ví dụ, người ta đánh giá rằng rủi ro thấp hoặc chi phí điều trị không hiệu quả đối với sự sắp xếp Các quyết định như vậy cần được ghi lại

Đối với mỗi rủi ro được xác định sau khi đánh giá rủi ro, cần phải đưa ra quyết định xử lý rủi ro Các lựa chọn có thể có để xử lý rủi ro bao gồm:

 Áp dụng các biện pháp kiểm soát thích hợp để giảm rủi ro

 Chấp nhận rủi ro một cách có chủ ý và khách quan, với điều kiện chúng đáp ứng rõ ràng chính sách và tiêu chí chấp nhận rủi ro của tổ chức

 Tránh rủi ro bằng cách không cho phép các hành động có thể khiến rủi ro xảy ra

 Chuyển các rủi ro liên quan cho các bên khác, ví dụ: nhà bảo hiểm hoặc nhà cung cấp

Đối với những rủi ro mà quyết định xử lý rủi ro đã được áp dụng các biện pháp kiểm soát thích hợp, các biện pháp kiểm soát này cần được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi đánh giá rủi ro Các biện pháp kiểm soát phải đảm bảo rằng rủi ro được giảm thiểu đến mức có thể chấp nhận được có tính đến:

 Các yêu cầu và ràng buộc của luật pháp và quy định quốc gia và quốc tế

 Mục tiêu của tổ chức

 Các yêu cầu và ràng buộc hoạt động

 Chi phí thực hiện và vận hành liên quan đến việc giảm thiểu rủi ro và vẫn tương ứng với các yêu cầu và ràng buộc của tổ chức

 Nhu cầu cân bằng giữa đầu tư vào việc thực hiện và vận hành các biện pháp kiểm soát chống lại tác hại có thể xảy ra do các lỗi bảo mật

Các biện pháp kiểm soát có thể được chọn từ tiêu chuẩn này hoặc từ các

bộ kiểm soát khác, hoặc các biện pháp kiểm soát mới có thể được thiết kế để đápứng các nhu cầu cụ thể của tổ chức Cần phải thừa nhận rằng một số biện pháp kiểm soát có thể không áp dụng được cho mọi hệ thống thông tin hoặc môi trường và có thể không khả thi đối với mọi tổ chức Ví dụ, 10.1.3 mô tả cách thức các nhiệm vụ có thể được tách biệt để ngăn ngừa gian lận và sai sót Các tổ chức nhỏ hơn có thể không tách biệt tất cả các nhiệm vụ và các cách khác để đạtđược cùng một mục tiêu kiểm soát có thể là cần thiết Như một ví dụ khác, 10.10

mô tả cách thức sử dụng hệ thống có thể được giám sát và thu thập bằng chứng Các điều khiển được mô tả, ví dụ: ghi nhật ký sự kiện, có thể xung đột với luật hiện hành, chẳng hạn như bảo vệ quyền riêng tư cho khách hàng hoặc tại nơi làm việc

Các biện pháp kiểm soát an toàn thông tin cần được xem xét ở giai đoạn thiết kế và đặc tả các yêu cầu của hệ thống và dự án Nếu không làm như vậy có thể dẫn đến chi phí bổ sung và các giải pháp kém hiệu quả hơn, và có thể, trong trường hợp xấu nhất, không thể đạt được bảo mật đầy đủ

Cần lưu ý rằng không có bộ kiểm soát nào có thể đạt được an ninh hoàn toàn và hành động quản lý bổ sung cần được thực hiện để giám sát, đánh giá và cải thiện hiệu quả và hiệu lực của các biện pháp kiểm soát an ninh để hỗ trợ mụctiêu của tổ chức

5 Chính sách an toàn

5.1 Chính sách an toàn thông tin

Mục tiêu: Đưa ra định hướng quản lý và hỗ trợ về bảo mật thông tin phù hợp với yêu cầu của doanh nghiệp và các quy định pháp luật có liên quan

Ban lãnh đạo cần đặt ra định hướng chính sách rõ ràng phù hợp với các mục tiêukinh doanh và thể hiện sự ủng hộ và cam kết đối với an toàn thông tin thông quaviệc ban hành và duy trì chính sách an toàn thông tin trong toàn tổ chức

5.1.1 Tài liệu chính sách an toàn thông tin

Kiểm soát:

Một tài liệu về chính sách an toàn thông tin phải được ban lãnh đạo phê duyệt, đồng thời được xuất bản và truyền đạt cho tất cả nhân viên và các bên liên quan bên ngoài.

Hướng dẫn thực hiện:

Tài liệu về chính sách an toàn thông tin phải nêu rõ cam kết của ban quản

lý và đưa ra cách tiếp cận của tổ chức để quản lý an toàn thông tin Tài liệu chính sách phải chứa các tuyên bố liên quan đến:

 Định nghĩa về an toàn thông tin, các mục tiêu và phạm vi tổng thể của nó

và tầm quan trọng của bảo mật như một cơ chế cho phép chia sẻ thông tin

 Tuyên bố về ý định của quản lý, hỗ trợ các mục tiêu và nguyên tắc an toànthông tin phù hợp với chiến lược và mục tiêu kinh doanh

 Một khuôn khổ để thiết lập các mục tiêu và kiểm soát kiểm soát, bao gồm cấu trúc đánh giá rủi ro và quản lý rủi ro

 Giải thích ngắn gọn về các chính sách, nguyên tắc, tiêu chuẩn và các yêu cầu tuân thủ có tầm quan trọng đặc biệt đối với tổ chức, bao gồm:

o Tuân thủ các yêu cầu lập pháp, quy định và hợp đồng

o Các yêu cầu về giáo dục, đào tạo và nâng cao nhận thức về bảo mật

o Quản lý kinh doanh liên tục

o Hậu quả của vi phạm chính sách an toàn thông tin

 Định nghĩa về các trách nhiệm chung và cụ thể đối với quản lý an toàn thông tin, bao gồm báo cáo các sự cố an toàn thông tin

 Tham chiếu đến tài liệu có thể hỗ trợ chính sách, ví dụ: các chính sách và thủ tục bảo mật chi tiết hơn cho các hệ thống thông tin cụ thể hoặc các quy tắc bảo mật mà người dùng nên tuân thủ

Chính sách an toàn thông tin này cần được thông báo trong toàn tổ chức cho người dùng dưới hình thức phù hợp, dễ tiếp cận và dễ hiểu đối với người đọc dự định

Thông tin khác:

Chính sách an toàn thông tin có thể là một phần của tài liệu chính sách chung Nếu chính sách an toàn thông tin được phân phối bên ngoài tổ chức, cần cẩn thận để không tiết lộ thông tin nhạy cảm.

5.1.2 Xem xét chính sách an toàn thông tin

Kiểm soát:

Chính sách an toàn thông tin cần được xem xét lại theo định kỳ hoặc nếu

có những thay đổi quan trọng xảy ra để đảm bảo tính phù hợp, đầy đủ và hiệu quả liên tục của chính sách

Hướng dẫn thực hiện:

Chính sách an toàn thông tin phải có chủ sở hữu đã phê duyệt trách nhiệmquản lý đối với việc phát triển, xem xét và đánh giá chính sách bảo mật Việc xem xét phải bao gồm việc đánh giá các cơ hội để cải thiện chính sách an toàn thông tin của tổ chức và cách tiếp cận để quản lý an toàn thông tin nhằm đáp ứng với những thay đổi của môi trường tổ chức, hoàn cảnh kinh doanh, điều kiện pháp lý hoặc môi trường kỹ thuật

Việc xem xét chính sách an toàn thông tin cần tính đến kết quả xem xét của ban quản lý Cần có các thủ tục xem xét của lãnh đạo được xác định, bao gồm lịch trình hoặc thời gian của việc xem xét

Đầu vào cho việc xem xét của lãnh đạo phải bao gồm thông tin về:

 Phản hồi từ các bên quan tâm

 Kết quả của các đánh giá độc lập

 Tình trạng của các hành động phòng ngừa và khắc phục

 Kết quả đánh giá của quản lý trước

 Thực hiện quy trình và tuân thủ chính sách an toàn thông tin

 Những thay đổi có thể ảnh hưởng đến cách tiếp cận của tổ chức để quản

lý an toàn thông tin, bao gồm những thay đổi đối với môi trường tổ chức, hoàn cảnh kinh doanh, nguồn lực sẵn có, điều kiện hợp đồng, quy định và pháp lý hoặc môi trường kỹ thuật

 Xu hướng liên quan đến các mối đe dọa và lỗ hổng bảo mật

 Báo cáo sự cố an toàn thông tin

 Khuyến nghị của các cơ quan hữu quan

Đầu ra từ việc xem xét của lãnh đạo phải bao gồm mọi quyết định và hành động liên quan đến:

 Cải tiến cách tiếp cận của tổ chức để quản lý an ninh thông tin và các quy trình của tổ chức

 Cải tiến các mục tiêu kiểm soát và các biện pháp kiểm soát

 Cải tiến trong việc phân bổ nguồn lực và / hoặc trách nhiệm

Cần lưu giữ hồ sơ xem xét của lãnh đạo

Sự chấp thuận của lãnh đạo đối với chính sách sửa đổi cần được thực hiện

6 Tổ chức của an toàn thông tin

6.1 Tổ chức nội bộ

Mục tiêu: Quản lý an toàn thông tin trong tổ chức

Một khuôn khổ quản lý cần được thiết lập để bắt đầu và kiểm soát việc thực hiện an toàn thông tin trong tổ chức

Ban quản lý nên phê duyệt chính sách bảo mật thông tin, phân công vai trò bảo mật và điều phối và xem xét việc thực hiện bảo mật trong toàn tổ chức.Nếu cần, một nguồn tư vấn chuyên môn về an toàn thông tin nên được thiết lập

và cung cấp sẵn trong tổ chức Cần xây dựng liên hệ với các chuyên gia hoặc nhóm bảo mật bên ngoài, bao gồm cả các cơ quan chức năng có liên quan, để bắt kịp xu hướng công nghiệp, giám sát các tiêu chuẩn và phương pháp đánh giá

và cung cấp các điểm liên lạc phù hợp khi xử lý các sự cố an toàn thông tin.Cần khuyến khích một cách tiếp cận đa ngành để bảo mật thông tin

6.1.1 Cam kết của ban quản lý đối với an toàn thông tin

Ban lãnh đạo cần tích cực hỗ trợ bảo mật trong tổ chức thông qua định hướng rõ ràng, cam kết được chứng minh, phân công rõ ràng và thừa nhận trách nhiệm bảo mật thông tin

Ban quản lý nên:

 Đảm bảo rằng các mục tiêu an toàn thông tin được xác định, đáp ứng các yêu cầu của tổ chức và được tích hợp trong các quá trình liên quan;

 Xây dựng, xem xét và phê duyệt chính sách an toàn thông tin;

 Xem xét tính hiệu quả của việc thực hiện chính sách an toàn thông tin;

 Cung cấp định hướng rõ ràng và hỗ trợ quản lý rõ ràng cho các sáng kiến

an ninh;

 Cung cấp các nguồn lực cần thiết để bảo mật thông tin;

 Phê duyệt việc phân công các vai trò và trách nhiệm cụ thể về an toàn thông tin trong toàn tổ chức;

 Khởi xướng các kế hoạch và chương trình để duy trì nhận thức về an toàn thông tin;

 Đảm bảo rằng việc thực hiện các biện pháp kiểm soát an toàn thông tin được phối hợp trong toàn tổ chức

Ban Giám đốc cần xác định các nhu cầu về tư vấn an toàn thông tin của chuyên gia nội bộ hoặc bên ngoài, đồng thời xem xét và phối hợp các kết quả tư vấn trong toàn tổ chức

Tùy thuộc vào quy mô của tổ chức, những trách nhiệm đó có thể được xử

lý bởi một diễn đàn quản lý chuyên dụng hoặc bởi một cơ quan quản lý hiện tại, chẳng hạn như hội đồng quản trị

6.1.2 Phối hợp bảo mật thông tin

Các hoạt động an toàn thông tin cần được điều phối bởi các đại diện từ các bộ phận khác nhau của tổ chức với các vai trò và chức năng công việc liên

quan.

Thông thường, phối hợp bảo mật thông tin cần có sự đồng hành và hợp tác của các nhà quản lý, người dùng, quản trị viên, nhà thiết kế ứng dụng, kiểm toán viên và nhân viên bảo mật, và các kỹ năng chuyên môn trong các lĩnh vực như bảo hiểm, các vấn đề pháp lý, nguồn nhân lực, CNTT hoặc quản lý rủi ro

Nếu tổ chức không sử dụng một nhóm chức năng chéo riêng biệt, ví dụ: bởi vì một nhóm như vậy không phù hợp với quy mô của tổ chức, các hành động

được mô tả ở trên phải được thực hiện bởi một cơ quan quản lý phù hợp khác hoặc người quản lý cá nhân.

6.1.3 Phân bổ trách nhiệm bảo mật thông tin

Tất cả các trách nhiệm bảo mật thông tin cần được xác định rõ ràng

Việc phân bổ trách nhiệm bảo mật thông tin cần được thực hiện theo chính sách an toàn thông tin Trách nhiệm bảo vệ tài sản cá nhân và mang theocác quy trình bảo mật cụ thể cần được xác định rõ ràng Trách nhiệm này cần được bổ sung, khi cần thiết, với hướng dẫn chi tiết hơn cho các địa điểm cụ thể

và các phương tiện xử lý thông tin Cần xác định rõ trách nhiệm của địa phương đối với việc bảo vệ tài sản và thực hiện các quy trình an ninh cụ thể, chẳng hạn như lập kế hoạch kinh doanh liên tục

Các cá nhân được phân bổ trách nhiệm bảo mật có thể ủy quyền nhiệm vụbảo mật cho người khác Tuy nhiên, họ vẫn chịu trách nhiệm và phải xác định rằng mọi nhiệm vụ được giao đã được thực hiện một cách chính xác

6.1.4 Quy trình cấp phép cho các cơ sở xử lý thông tin

Cần xác định và thực hiện quy trình ủy quyền quản lý cho các phương tiện xử lý thông tin mới

Các nguyên tắc sau đây cần được xem xét đối với quy trình ủy quyền:

 Các cơ sở mới phải có ủy quyền quản lý người dùng thích hợp, cho phép mục đích và việc sử dụng của chúng Cũng cần có sự ủy quyền từ người quản lý chịu trách nhiệm duy trì môi trường an ninh hệ thống thông tin cục bộ để đảm bảo rằng tất cả các chính sách và yêu cầu bảo mật liên quan được đáp ứng;

 Khi cần thiết, phần cứng và phần mềm cần được kiểm tra để đảm bảo rằng chúng tương thích với các thành phần hệ thống khác;

 Việc sử dụng các phương tiện xử lý thông tin thuộc sở hữu cá nhân hoặc

tư nhân, ví dụ: máy tính xách tay, máy tính gia đình hoặc thiết bị cầm tay,

để xử lý thông tin kinh doanh, có thể tạo ra các lỗ hổng bảo mật mới và các biện pháp kiểm soát cần thiết phải được xác định và thực hiện

6.1.5 Đánh giá độc lập về an toàn thông tin

Phương pháp tiếp cận của tổ chức để quản lý an toàn thông tin và việc thực hiện nó (nghĩa là các mục tiêu kiểm soát, các biện pháp kiểm soát, chính sách, quy trình và thủ tục về an toàn thông tin) cần được xem xét một cách độc lập vào các khoảng thời gian đã lên kế hoạch hoặc khi có những thay đổi quan trọng đối với việc triển khai bảo mật

Việc xem xét độc lập phải do ban giám đốc bắt đầu Việc xem xét độc lập như vậy là cần thiết để đảm bảo tính phù hợp, đầy đủ và hiệu quả liên tục của phương pháp tiếp cận của tổ chức đối với quản lý bảo mật thông tin Việc xem xét phải bao gồm đánh giá các cơ hội cải tiến và nhu cầu thay đổi cách tiếp cận đối với an ninh, bao gồm cả chính sách và mục tiêu kiểm soát

Việc đánh giá như vậy nên được thực hiện bởi các cá nhân độc lập với khu vực được xem xét, ví dụ: chức năng kiểm toán nội bộ, một người quản lý độc lập hoặc một tổ chức bên thứ ba chuyên về các cuộc đánh giá đó Các cá nhân thực hiện các đánh giá này phải có kỹ năng và kinh nghiệm thích hợp

Kết quả của cuộc đánh giá độc lập phải được ghi lại và báo cáo cho ngườiquản lý đã khởi xướng cuộc đánh giá Những hồ sơ này nên được duy trì

Nếu quá trình đánh giá độc lập xác định rằng cách tiếp cận và thực hiện của tổ chức để quản lý an toàn thông tin là không đầy đủ hoặc không tuân thủ hướng dẫn về an toàn thông tin được nêu trong tài liệu chính sách an toàn thông tin , thìban lãnh đạo cần xem xét các hành động khắc phục

6.2 Tổ chức bên ngoài

Mục tiêu: Để duy trì tính bảo mật của thông tin của tổ chức và các

phương tiện xử lý thông tin được các bên bên ngoài truy cập, xử lý, truyền đạt hoặc quản lý

Không nên làm giảm tính bảo mật của thông tin và phương tiện xử lý thông tin của tổ chức khi giới thiệu các sản phẩm hoặc dịch vụ của bên ngoài

Mọi quyền truy cập vào các phương tiện xử lý thông tin của tổ chức cũng như việc xử lý và truyền đạt thông tin của các bên bên ngoài phải được kiểm soát

Khi có nhu cầu kinh doanh làm việc với các bên bên ngoài có thể yêu cầu quyền truy cập vào thông tin của tổ chức và các phương tiện xử lý thông tin, hoặc trong việc lấy hoặc cung cấp sản phẩm và dịch vụ từ hoặc cho một bên bênngoài, cần thực hiện đánh giá rủi ro để xác định tính bảo mật hàm ý và các yêu cầu kiểm soát Các biện pháp kiểm soát cần được thỏa thuận và xác định trong một thỏa thuận với bên ngoài.

6.2.1 Xác định rủi ro liên quan đến các bên bên ngoài

Cần xác định các rủi ro đối với thông tin của tổ chức và các phương tiện

xử lý thông tin từ các quá trình kinh doanh liên quan đến các bên bên ngoài và thực hiện các biện pháp kiểm soát thích hợp trước khi cấp quyền truy cập

Khi cần cho phép một bên bên ngoài truy cập vào các phương tiện xử lý thông tin hoặc thông tin của một tổ chức, cần thực hiện đánh giá rủi ro để xác định bất kỳ yêu cầu nào đối với các biện pháp kiểm soát cụ thể

Các biện pháp kiểm soát thích hợp đã được thực hiện và, nếu khả thi, một hợp đồng đã được ký kết xác định các điều khoản và điều kiện cho kết nối hoặc truy cập và sắp xếp làm việc Nói chung, tất cả các yêu cầu bảo mật do làm việc với các bên bên ngoài hoặc kiểm soát nội bộ phải được phản ánh theo thỏa thuậnvới bên bên ngoài

Cần đảm bảo rằng bên bên ngoài nhận thức được các nghĩa vụ của họ và chấp nhận các trách nhiệm và nghĩa vụ liên quan đến việc truy cập, xử lý, giao tiếp hoặc quản lý thông tin và các phương tiện xử lý thông tin của tổ chức

6.2.2 Giải quyết vấn đề bảo mật khi giao dịch với khách hàng

Tất cả các yêu cầu bảo mật đã xác định phải được giải quyết trước khi cấpcho khách hàng quyền truy cập vào thông tin hoặc tài sản của tổ chức

Các yêu cầu bảo mật liên quan đến việc khách hàng truy cập tài sản của tổchức có thể thay đổi đáng kể tùy thuộc vào các phương tiện xử lý thông tin và thông tin được truy cập Các yêu cầu bảo mật này có thể được giải quyết bằng cách sử dụng các thỏa thuận của khách hàng, trong đó có tất cả các rủi ro đã xác định và các yêu cầu bảo mật

Các thỏa thuận với các bên bên ngoài cũng có thể liên quan đến các bên khác Các thỏa thuận cho phép bên ngoài tiếp cận phải bao gồm sự cho phép chỉ định các bên đủ điều kiện khác và các điều kiện để họ tiếp cận và tham gia

6.2.3 Giải quyết vấn đề bảo mật trong các thỏa thuận của bên thứ ba

Các thỏa thuận với bên thứ ba liên quan đến việc truy cập, xử lý, giao tiếphoặc quản lý thông tin của tổ chức hoặc các phương tiện xử lý thông tin, hoặc thêm các sản phẩm hoặc dịch vụ vào các phương tiện xử lý thông tin phải đáp ứng tất cả các yêu cầu bảo mật liên quan

Thỏa thuận phải đảm bảo rằng không có sự hiểu lầm giữa tổ chức và bên thứ ba Các tổ chức phải tự thỏa mãn trách nhiệm của bên thứ ba

Các thỏa thuận có thể khác nhau đáng kể đối với các tổ chức khác nhau vàgiữa các loại bên thứ ba khác nhau Do đó, cần thận trọng đưa tất cả các rủi ro

đã xác định và các yêu cầu bảo mật vào các thỏa thuận Khi cần thiết, các kiểm soát và thủ tục bắt buộc có thể được mở rộng trong kế hoạch quản lý an ninh

Nếu việc quản lý an ninh thông tin được thuê bên ngoài, các thỏa thuận phải đề cập đến cách thức bên thứ ba đảm bảo duy trì mức độ an toàn đầy đủ, như được xác định bởi đánh giá rủi ro, và cách thức bảo mật sẽ được điều chỉnh

để xác định và đối phó với các thay đổi đối với rủi ro

Một số khác biệt giữa thuê ngoài và các hình thức cung cấp dịch vụ của bên thứ ba khác bao gồm câu hỏi về trách nhiệm pháp lý, lập kế hoạch cho giai đoạn chuyển tiếp và khả năng gián đoạn hoạt động trong giai đoạn này, sắp xếp

kế hoạch dự phòng và đánh giá thẩm định, thu thập và quản lý thông tin về bảo mật sự cố Do đó, điều quan trọng là tổ chức phải lập kế hoạch và quản lý quá trình chuyển đổi sang hình thức thuê ngoài và có các quy trình phù hợp để quản

lý các thay đổi và đàm phán lại / chấm dứt các thỏa thuận

Các thủ tục để tiếp tục xử lý trong trường hợp bên thứ ba không thể cung cấp dịch vụ của mình cần được xem xét trong thỏa thuận để tránh bất kỳ sự chậm trễ nào trong việc sắp xếp các dịch vụ thay thế

7 Quản lý tài sản

7.1 Trách nhiệm đối với tài sản

Mục tiêu: Để đạt được và duy trì sự bảo vệ thích hợp đối với tài sản của tổchức

Tất cả tài sản phải được hạch toán và có một chủ sở hữu được chỉ định.Các chủ sở hữu cần được xác định đối với tất cả các tài sản và phải giao trách nhiệm duy trì các biện pháp kiểm soát thích hợp Việc thực hiện các biện pháp kiểm soát cụ thể có thể được chủ sở hữu ủy quyền khi thích hợp nhưng chủ

sở hữu vẫn chịu trách nhiệm bảo vệ tài sản một cách thích hợp

7.1.1 Kiểm kê tài sản

Tất cả các tài sản cần được xác định rõ ràng và kiểm kê tất cả các tài sản quan trọng được lập và duy trì

Một tổ chức nên xác định tất cả các tài sản và ghi lại tầm quan trọng của các tài sản này Bản kiểm kê tài sản phải bao gồm tất cả thông tin cần thiết để khôi phục sau thảm họa, bao gồm loại tài sản, định dạng, vị trí, thông tin dự phòng, thông tin giấy phép và giá trị doanh nghiệp…

Kiểm kê tài không được trùng lặp với các kiểm kê khác một cách không cần thiết, nhưng cần đảm bảo rằng nội dung được căn chỉnh

Ngoài ra, quyền sở hữu và phân loại thông tin phải được thống nhất và lậpthành văn bản cho từng tài sản Dựa trên tầm quan trọng của tài sản, giá trị kinh doanh và phân loại bảo mật của nó, cần xác định các cấp độ bảo vệ tương xứng với tầm quan trọng của tài sản

Việc kiểm kê tài sản giúp đảm bảo rằng việc bảo vệ tài sản có hiệu quả diễn ra và cũng có thể được yêu cầu cho các mục đích kinh doanh khác, chẳng hạn như lý do sức khỏe và an toàn, bảo hiểm hoặc tài chính (quản lý tài sản) Quá trình lập bảng kiểm kê tài sản là điều kiện tiên quyết quan trọng của quản lýrủi ro

7.1.2 Quyền sở hữu tài sản

Tất cả thông tin và tài sản liên quan đến các phương tiện xử lý thông tin phải thuộc sở hữu của một bộ phận được chỉ định của tổ chức

Chủ sở hữu tài sản phải có trách nhiệm:

 Đảm bảo rằng thông tin và tài sản gắn liền với các phương tiện xử lý thông tin được phân loại thích hợp

 Xác định và xem xét định kỳ các hạn chế và phân loại truy cập, có tính đến các chính sách kiểm soát truy cập hiện hành

Quyền sở hữu có thể được phân bổ cho:

 Quy trình kinh doanh

7.1.3 Sử dụng tài sản được chấp nhận

Các quy tắc cho việc sử dụng thông tin và tài sản được chấp nhận gắn liềnvới các phương tiện xử lý thông tin cần được xác định, lập thành văn bản và thực hiện

Tất cả nhân viên, nhà thầu và người dùng bên thứ ba phải tuân theo các quy tắc về việc sử dụng thông tin và tài sản được chấp nhận có liên quan đến cácphương tiện xử lý thông tin, bao gồm:

 Quy tắc sử dụng thư điện tử và Internet

 Hướng dẫn sử dụng các thiết bị di động, đặc biệt là sử dụng bên ngoài trụ

sở của tổ chức

Ban quản lý liên quan phải cung cấp các quy tắc hoặc hướng dẫn cụ thể Nhân viên, nhà thầu và người dùng bên thứ ba sử dụng hoặc có quyền truy cập vào tài sản của tổ chức nên biết các giới hạn hiện có đối với việc họ sử dụng thông tin của tổ chức và tài sản liên quan đến các phương tiện và tài nguyên xử

lý thông tin Họ phải chịu trách nhiệm về việc sử dụng bất kỳ tài nguyên xử lý thông tin nào và bất kỳ việc sử dụng nào như vậy được thực hiện theo trách nhiệm của họ.

7.2 Phân loại thông tin

Mục tiêu: Để đảm bảo rằng thông tin nhận được mức độ bảo vệ thích hợp.Thông tin cần được phân loại để chỉ ra sự cần thiết, ưu tiên và mức độ bảo

vệ dự kiến khi xử lý thông tin

Thông tin có mức độ nhạy cảm và quan trọng khác nhau Một số mặt hàng

có thể yêu cầu một mức độ bảo vệ bổ sung hoặc xử lý đặc biệt Một sơ đồ phân loại thông tin nên được sử dụng để xác định một tập hợp các mức bảo vệ thích hợp và thông báo nhu cầu về các biện pháp xử lý đặc biệt

Ghi nhãn và xử lý thông tin:

Một bộ thủ tục thích hợp để ghi nhãn và xử lý thông tin cần được phát triển và thực hiện theo sơ đồ phân loại đã được tổ chức thông qua

Thủ tục dán nhãn thông tin cần bao hàm các tài sản thông tin ở dạng vật

lý và điện tử

Đầu ra từ các hệ thống chứa thông tin được phân loại là nhạy cảm hoặc quan trọng phải mang nhãn phân loại thích hợp (trong đầu ra) Việc ghi nhãn phải phản ánh sự phân loại theo các quy tắc được thiết lập trong 7.2.1 Các mục cần xem xét bao gồm báo cáo in, màn hình hiển thị, phương tiện được ghi (ví dụ: băng, đĩa, CD), tin nhắn điện tử và truyền tệp

Đối với mỗi cấp độ phân loại, các quy trình xử lý bao gồm xử lý an toàn, lưu trữ, truyền, giải mật và tiêu hủy phải được xác định Điều này cũng nên bao gồm các thủ tục về chuỗi hành trình và ghi nhật ký bất kỳ sự kiện liên quan đến bảo mật nào

Các thỏa thuận với các tổ chức khác bao gồm chia sẻ thông tin nên bao gồm các thủ tục để xác định việc phân loại thông tin đó và giải thích nhãn phân loại từ các tổ chức khác

8 Bảo mật nguồn nhân lực