Đối với một sốngười, chính sách là chỉ thị của quản lý cấp cao về cách một chương trìnhnhất định sẽ được chạy, tính khách quan và mục tiêu của nó là gì, trách nhiệm sẽ được giao cho ai..
Trang 1TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HỒ CHÍ MINH
-BÁO CÁO DỊCH SÁCH
CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH CHƯƠNG 14: CHÍNH SÁCH BẢO MẬT THÔNG TIN – GÓC NHÌN
CỦA CHUYÊN VIÊN
Trang 2MỤC LỤC
CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH
I CHÍNH SÁCH LÀ NỀN TẢNG 1
II ĐỊNH NGHĨA 2
1 Chính sách 2
2 Những tiêu chuẩn 2
3 Thủ tục 4
4 Hướng dẫn 4
III CÁC YẾU TỐ THEN CHỐT CỦA CHÍNH SÁCH 6
IV ĐỊNH DẠNG CHÍNH SÁCH 8
1 Chính sách Toàn cầu (Cấp 1) 10
2 Chính sách theo chủ đề cụ thể (Cấp 2) 13
3 Chính sách ứng dụng cụ thể (Cấp 3) 16
V TÓM TẮT 17
CHƯƠNG 14 : CHÍNH SÁCH BẢO MẬT THÔNG TIN: GÓC NHÌN CỦA CHUYÊN VIÊN I CÁC ĐỊNH NGHĨA 23
1 Thu thập yêu cầu 24
2 Tiến hành đánh giá rủi ro 24
3 Sử dụng ISO 27002 làm khung 25
4 Các vấn đề về định dạng chính sách 26
5 Phân loại đối tượng của bạn 28
6 Lựa chọn các chủ đề 29
II TÓM TẮT 31
Trang 3Những dữ liệu nội bộ cho nhân viên biết họ mong đợi điều gì và hànhđộng của họ sẽ được đánh giá như thế nào Còn phần thông tin bên ngoài chothế giới biết doanh nghiệp thấy trách nhiệm của mình như thế nào Mọi tổchức phải có các chính sách hỗ trợ các phương thức kinh doanh hợp lý và họ
sẽ chứng minh cho thế giới thấy rằng việc bảo vệ tài sản là điều cần thiết đểthực hiện thành công sứ mệnh của mình
Trong bất kỳ cuộc thảo luận nào liên quan đến các yêu cầu bằng vănbản, chính sách thuật ngữ mang rất nhiều ý nghĩa khác nhau Đối với một sốngười, chính sách là chỉ thị của quản lý cấp cao về cách một chương trìnhnhất định sẽ được chạy, tính khách quan và mục tiêu của nó là gì, trách nhiệm
sẽ được giao cho ai Thuật ngữ chính sách có thể đề cập đến các quy tắc bảomật cụ thể cho một hệ thống cụ thể như bộ quy tắc Cơ sở kiểm soát truy cập
2 (ACF2), giấy phép Cơ sở kiểm soát truy cập tài nguyên (RACF) hoặc chínhsách hệ thống phát hiện xâm nhập Ngoài ra, chính sách có thể đề cập đến cácvấn đề hoàn toàn khác nhau, chẳng hạn như các quyết định quản lý cụ thể
Trang 4thiết lập chính sách bảo mật e-mail của tổ chức hoặc chính sách sử dụngInternet hay mạng xã hội.
II ĐỊNH NGHĨA
1 Chính sách
Chính sách là một tuyên bố cấp cao về niềm tin, mục tiêu và tính kháchquan của doanh nghiệp, và là phương tiện chung để họ đạt được một lĩnh vựchay chủ đề cụ thể Khi chúng tôi nghe các cuộc thảo luận về hệ thống pháthiện xâm nhập giám sát việc tuân thủ các chính sách của công ty, điều nàykhông phải là các chính sách mà chúng tôi đang thảo luận ở đây Hệ thốngphát hiện xâm nhập thực sự là các tiêu chuẩn giám sát (điều này chúng ta sẽthảo luận chi tiết hơn ở phần sau), các bộ quy tắc hoặc proxy Chúng tôi sẽtạo các chính sách giống như chính sách về bảo mật thông tin được trình bàytrong Hình 1.1 Phần sau của chương này, chúng ta sẽ xem xét một số chínhsách bảo mật thông tin và phê bình chúng dựa trên một mẫu chính sách đãđược thiết lập
2 Những tiêu chuẩn
Tiêu chuẩn là các yêu cầu bắt buộc hỗ trợ các chính sách riêng lẻ Cáctiêu chuẩn có thể bao gồm từ phần mềm hoặc phần cứng nào có thể được sửdụng, giao thức truy cập từ xa sẽ được triển khai đến người chịu trách nhiệmphê duyệt nội dung Khi xây dựng chính sách an toàn thông tin, thiết lập một
bộ tiêu chuẩn hỗ trợ là điều vô cùng cần thiết Hình 1.2 là một ví dụ về nhữngtiêu chuẩn cho một chủ đề cụ thể có thể trông như thế nào
Hình 1.1 Mẫu chính sách bảo mật thông tin.
Trang 5Chính sách bảo mật thông tin
Thông tin kinh doanh là tài sản thiết yếu của công ty Điều này đúng với tất cả các thông tin kinh doanh trong công ty bất kể thông tin đó được tạo ra, phân phối hoặc lưu trữ như thế nào
và liệu nó được đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay nói.
Tất cả nhân viên có trách nhiệm bảo vệ thông tin công ty khỏi bị truy cập, sửa đổi, sao chép, phá hủy hoặc tiết lộ trái phép, dù là vô tình hay cố ý Trách nhiệm này là cần thiết đối với hoạt động kinh doanh của công ty Khi thông tin không được bảo vệ tốt, công ty có thể bị tổn hại theo nhiều cách khác nhau như mất thị phần đáng kể và danh tiếng bị tổn hại.
Chi tiết về trách nhiệm của mỗi nhân viên trong việc bảo vệ thông tin công ty được ghi lại
trong Sổ tay Tiêu chuẩn và Chính sách Bảo vệ Thông tin Ban Giám đốc có trách nhiệm đảm
bảo rằng tất cả nhân viên đều hiểu và tuân thủ các chính sách và tiêu chuẩn này Ban Giám đốc cũng có trách nhiệm lưu ý những điểm khác biệt so với các thực tiễn bảo mật đã thiết lập và bắt đầu các hành động khắc phục.
Kiểm toán viên nội bộ sẽ thực hiện đánh giá định kỳ để đảm bảo việc tuân thủ liên tục chính sách bảo vệ thông tin của Công ty Các trường hợp vi phạm chính sách này sẽ được giải quyết
theo quy định trong Hướng dẫn Chính sách Nguồn nhân lực dành cho quản lý.
Quản lý/Trưởng nhóm hệ thống thông tin
Người quản lý chịu trách nhiệm về Hệ thống thông tin phải thực hiện tất cả các bổn phận phù hợp với tư cách là người quản lý cho khu vực mà họ chịu trách nhiệm Ngoài ra, họ sẽ đóng vai trò là người giám sát của thông tin được sử dụng bởi các hệ thống đó nhưng thuộc quyền
sở hữu của những người quản lý khác Người quản lý chịu trách nhiệm về Hệ thống thông tin phải thực hiện tất cả các bổn phận phù hợp với tư cách là người quản lý cho khu vực mà họ chịu trách nhiệm.
Tất cả các nhà quản lý, giám sát, giám đốc, những người ở cấp quản lý khác cũng có vai trò cố vấn và hỗ trợ cho các nhà quản lý IS và những người không quản lý IS về mặt:
Xác định và đánh giá các mối đe dọa
◾ Xác định và đánh giá các mối đe dọa
Xác định và thực hiện các biện pháp bảo vệ (bao gồm cả việc tuân thủ các
◾ Xác định và đánh giá các mối đe dọa thông lệ này) Duy trì mức độ nhận thức an ninh thỏa đáng
◾ Xác định và đánh giá các mối đe dọa
Giám sát hoạt động thích hợp của các biện pháp an ninh trong đơn vị
◾ Xác định và đánh giá các mối đe dọa
Điều tra điểm yếu và
◾ Xác định và đánh giá các mối đe dọa các sự cố
◾ Xác định và đánh giá các mối đe dọa Đưa ra bất kỳ vấn đề hoặc tình huống mới nào mà họ nhận thức được thông qua vai trò chuyên gia của mình
◾ Xác định và đánh giá các mối đe dọa Phối hợp với kiểm toán nội bộ và bên ngoài
Hình 1.2 Ví dụ về các tiêu chuẩn.
3 Thủ tục
Trang 6Thủ tục là những hành động bắt buộc, theo từng bước, chi tiết về cáchoạt động cần thiết để hoàn thành xuất sắc nhiệm vụ Thủ tục có thể rất chitiết Gần đây, tôi đang xem xét thay đổi các quy trình quản lý và nhận thấymột quy trình bao gồm 42 trang thông tin chính xác Chúng được biên soạnrất kỹ lưỡng và là những gì cần thiết để đảm bảo rằng quy trình có thể đượctuân thủ (Hình 1.3).
4 Hướng dẫn
Hướng dẫn là những tài liệu tham khảo được lập thành văn bản để thựchiện thường xuyên và nhất quán các hoạt động đã được chấp nhận Chúngthường có ít quyền thực thi hơn Một ví dụ thường ngày về sự khác biệt giữatiêu chuẩn và hướng dẫn sẽ là biển báo “Dừng lại” và biển báo “Vui lòngkhông giẫm lên cỏ”
Thủ tục Quản lý Thay đổi Ứng dụng
Tổng quan
Hệ thống Yêu cầu Dịch vụ (SSR) được sử dụng để bắt đầu và ghi lại tất cả các hoạt động lập trình Nó được sử dụng để thông báo nhu cầu của khách hàng với nhân viên Phát triển Ứng dụng (AD) Một SSR có thể được khởi xướng và chuẩn bị bởi khách hàng, thành viên của nhân viên AD, hoặc bất kỳ cá nhân nào khác đã xác định được nhu cầu hoặc yêu cầu, vấn đề hoặc cải tiến của ứng dụng Không có nhiệm vụ nào có thể hoàn thành mà không có SSR.
Hệ thống Yêu cầu Dịch vụ
Tổng quan
Biểu mẫu này nêu rõ các kết quả mong muốn đạt được, được khách hàng hoàn thành và gửi cùng với tài liệu hỗ trợ tới AD Yêu cầu có thể bao gồm việc xác định một vấn đề hoặc tài liệu của một yêu cầu mới Khách hàng được khuyến khích gửi yêu cầu của họ một cách đầy đủ chi tiết để dễ dàng cho trưởng dự án AD ước tính chính xác nỗ lực cần thiết để đáp ứng yêu cầu, nhưng có thể cần thiết để trưởng dự án liên hệ với khách hàng và có được thông tin bổ sung Thông tin này phải được đính kèm với một bản sao của SSR.
Sau khi các chương trình yêu cầu đã được hoàn thành, các cuộc kiểm tra nghiệm thu đã thỏa thuận sẽ được tiến hành Sau khi khách hàng xác nhận rằng yêu cầu đã được đáp ứng, họ sẽ phê duyệt trên SSR Biểu mẫu này cũng sẽ được sử dụng để ghi lại rằng dự án hoàn thành đã được đưa vào trạng thái sản xuất.
Trang 7Quá trình
Phần này mô tả việc xử lý một SSR:
1 Khách hàng bắt đầu quá trình bằng cách hoàn thành SSR và chuyển tiếp nó đến Người quản lý dự án (PM) hoặc Giám đốc phát triển ứng dụng (AD) thích hợp.
2 SSR được nhận trong bộ phận AD Bất kể ai trong AD thực sự nhận được SSR, nó phải được chuyển đến PM thích hợp.
3 Nếu PM thấy mô tả các yêu cầu trên SSR không đầy đủ hoặc không rõ ràng, PM sẽ liên hệ trực tiếp với khách hàng để làm rõ.
Khi PM hiểu đầy đủ các yêu cầu, họ sẽ chuẩn bị một bản phân tích và ước tính về nỗ lực cần thiết để đáp ứng yêu cầu Trong một số trường hợp, PM có thể cảm thấy rằng việc đáp ứng yêu cầu là không thể hoặc phi thực tế Vì thế trong trường hợp này, họ sẽ thảo luận với khách hàng
lý do tại sao yêu cầu không được thực hiện Và nếu khách hàng xác nhận lại yêu cầu, PM và Giám đốc của AD sẽ cùng xác định xem có nên khiếu nại quyết định của khách hàng lên Ban chỉ đạo Hệ thống Thông tin để đưa ra phán quyết cuối cùng về SSR hay không.
4 Nếu ước tính của dự án là bốn mươi giờ hoặc ít hơn, những chi tiết của thiết kế cần được xem xét với khách hàng Sau khi xem xét sự đồng tình về kế hoạch, PM sẽ dự kiến thời hạn mục tiêu (TTD) để hoàn thành SSR Trong việc thiết lập TTD, PM cũng sẽ cân nhắc các nguồn lực sẵn có và các cam kết khác của dự án TTD sẽ nhanh chóng thông báo tới những khách hàng đã yêu cầu.
5 Nếu ước tính dự án vượt quá bốn mươi giờ, SSR và bất kỳ tài liệu bổ sung nào của dự án sẽ được chuyển đến ISSC để xem xét, xác định mức độ ưu tiên và ủy quyền tiến hành.
Hội đồng sẽ xác định liệu các sự thay đổi được yêu cầu sẽ được lên lịch thực hiện ngay lập tức, được lên kế hoạch thực hiện trong tương lai hay bị từ chối.
Nếu yêu cầu bị từ chối, yêu cầu sẽ ngay lập tức được trả lại cho khách hàng, cùng với lời giải thích về (các) lý do từ chối Nếu nó được chấp thuận để triển khai, một chỉ định ưu tiên sẽ được thực hiện và SSR được trả lại cho AD để biết lịch trình thực hiện.
Sau khi nhận được ủy quyền triển khai, thiết kế chi tiết nên được khách hàng xem xét lại Sau khi nhận được sự nhất trí về thiết kế, Thủ tướng sẽ chiếu một TTD để hoàn thành dự án Trong việc thiết lập một TTD, PM sẽ xem xét các nguồn lực sẵn có và các cam kết khác của dự án.
Bộ phận TTD sẽ nhanh chóng thông tin cho khách hàng.
6 PM sẽ phối hợp với nhân viên AD, nhân viên quản lý và nhân viên CNTT khác (chẳng hạn như Quản trị cơ sở dữ liệu, Dịch vụ hỗ trợ người dùng, Quản trị mạng, v.v.) các nguồn lực của
họ sẽ được yêu cầu để đáp ứng đề nghị này, hoặc liệu sẽ có một tác động về mặt vận hành hoặc quy trình trong các lĩnh vực khác
7 PM sẽ liên hệ với khách hàng để thảo luận chi tiết về (các) bài kiểm tra sẽ được tiến hành.
8 Khi Kiểm tra nghiệm thu (AT) đã được hoàn thành và khách hàng đã xác minh tính chính xác của kết quả thu được, khách hàng sẽ cho biết sự chấp thuận của họ để đưa dự án vào sản xuất bằng cách ký SSR.
9 Nhóm Kiểm soát Sản xuất (PCG) sẽ đưa dự án vào trạng thái hoạt động PM sẽ hoàn thành phần dưới cùng của SSR, ghi lại rằng dự án đã được đưa vào sản xuất PM sẽ ghi lại trạng thái của yêu cầu là “đã hoàn thành” và gửi một bản sao của SSR PM sẽ nhanh chóng thông báo cho khách hàng rằng dự án đã hoàn thành và đi vào sản xuất.
Lưu giữ Biểu mẫu và Tài liệu
Tất cả tài liệu liên quan đến việc xử lý mỗi SSR sẽ được lưu giữ trong ít nhất mười hai tháng.
Hình 1.3 Mẫu thủ tục quản lý thay đổi ứng dụng.
Trang 8III CÁC YẾU TỐ THEN CHỐT CỦA CHÍNH SÁCH
Để đáp ứng được nhu cầu của tổ chức, một chính sách tốt nên:
◾Dễ dàng để có thể hiểu được Điều quan trọng là các tài liệu được
trình bày phải đáp ứng được những yêu cầu của đối tượng dự kiến Thôngthường, những chính sách, tiêu chuẩn và thủ tục được biên soạn bởi nhữngchuyên gia về chủ đề và gửi đến một đối tượng chung để sử dụng Tài liệuthường được viết ở trình độ cao đẳng hoặc kỹ thuật trong khi trình độ đọchiểu trung bình của các đối tượng ở nơi làm việc nằm trong phạm vi một họcsinh lớp sáu (12 tuổi)
◾Được áp dụng Khi tạo chính sách, người viết có thể nghiên cứu
thêm ở các tổ chức khác và sao chép nguyên văn tài liệu Điều này có vẻ thiếtthực; tuy nhiên, Điều quan trọng là phải đảm bảo rằng dù thế nào đi chăngnữa thì người viết vẫn có thể đáp ứng được nhu cầu cụ thể của tổ chức bạn
◾Được triển khai Liệu tổ chức và những nhân viên của họ vẫn có thể
đạt được các mục tiêu kinh doanh nếu chính sách này được thực thi? Thôngthường, các tổ chức thực thi các chính sách nhằm trả lời những ý kiến đánhgiá Vấn đề khi thực hiện điều này chính là chính sách có thể quá hạn chế đếnmức cản trở khả năng thực hiện công việc kinh doanh hoặc sứ mệnh của tổchức
◾Được thực thi Tránh việc viết nên một chính sách tự huỷ hoại chính
mình “Chỉ sử dụng điện thoại di động do công ty cung cấp dành cho cáccuộc gọi về công việc” Đối với hầu hết các tổ chức, trên thực tế đây có thể làchính sách, tuy nhiên hầu hết mọi điện thoại trong cơ sở đều được sử dụnghằng ngày cho các cuộc gọi cá nhân Một chính sách tốt hơn sẽ là một chính
Trang 9sách có dạng, “Điện thoại do công ty cung cấp chỉ được sử dụng khi có sựphê duyệt của ban quản lý”.
◾Được thực hiện tuần tự Điều này rất cần thiết để tổ chức có thể xem
xét và sắp xếp chính sách trước khi nó có hiệu lực Nhiều tổ chức công bốmột chính sách và sau đó yêu cầu các đơn vị kinh doanh cung cấp bản tuânthủ kế hoạch trong một khoảng thời gian cụ thể sau khi công bố Điều nàygiúp các nhà quản lý đơn vị kinh doanh có một khoảng thời gian để xem xétchính sách, tìm ra các điểm thiếu hụt của tổ chức, sau đó trình bày một thờigian biểu để tuân thủ Các thư tuân thủ này thường được lưu trữ trong hồ sơ
và được cung cấp cho các nhân viên kiểm toán
◾Được chủ động Hãy nêu rõ những việc phải làm, đừng quá sa đà vào
việc đưa ra những tuyên bố rằng: “Không được làm điều này!” cố gắng nêu
rõ những gì có thể làm được và đâu là những mong đợi từ nhân viên
◾Tránh tuyệt đối Có khả năng ngoại giao và hiểu cách nói đúng đắn
về mặt chính trị Khi thảo luận về các biện pháp trừng phạt đối với hành vikhông tuân thủ, một số tổ chức đã tuyên bố, “Nhân viên vi phạm chính sáchnày sẽ phải chịu các hình thức kỷ luật và bao gồm cả việc sa thải mà khôngcần cảnh cáo” Đối với những chính sách có nội dung như “Nhân viên khôngtuân thủ với chính sách này sẽ bị coi là vi phạm Tiêu chuẩn Ứng xử của nhânviên” Các tiêu chuẩn ứng xử quy định rằng nhân viên sẽ phải chịu các hìnhthức kỷ luật bao gồm cả sa thải Nếu có thể, hãy sử dụng cách tiếp cận tử tếhơn, nhẹ nhàng hơn
◾Đáp ứng các mục tiêu kinh doanh Các chuyên viên về bảo mật phải
nhận thức rằng các biện pháp kiểm soát phải giúp tổ chức đạt được mức rủi
ro có thể chấp nhận được 100% bảo mật là 0% năng suất Bất cứ khi nào cácbiện pháp kiểm soát hoặc chính sách làm ảnh hưởng đến các mục tiêu và sứmệnh kinh doanh hoặc ảnh hưởng đến tổ chức, khi đó các biện pháp kiểm
Trang 10soát và chính sách sẽ mất đi Phải hiểu rằng chính sách tồn tại để hỗ trợdoanh nghiệp chứ không phải ngược lại.
IV ĐỊNH DẠNG CHÍNH SÁCH
Định dạng (bố cục) thực tế của chính sách sẽ phụ thuộc vào hình thức
của chính sách như trong tổ chức của bạn Điều quan trọng là bất kỳ chính
sách nào được phát triển phải giống với các chính sách được công bố từ tổ
chức để thành công Hãy tìm ra ai là người chịu trách nhiệm về các chính
sách trong tổ chức của bạn và xem liệu họ có biểu mẫu sẵn hay không
Những thành viên của hội đồng đánh giá sẽ không thể chấp nhận việc đọc và đánh giá những chính sách mới nếu như nó không giống như một chính sách thực sự
Những chính sách nhìn chung ngắn gọn hơn so với những thủ tục và thường bao gồm chữ trong một tờ văn bản sử dụng hai mặt của tờ giấy
Trong các lớp học của mình, tôi nhấn mạnh khái niệm về sự ngắn gọn Tuy
nhiên, điều quan trọng khi tạo nên một chính sách là phải cân bằng giữa sự
ngắn gọn và rõ ràng Lấy tất cả các từ bạn cần để hoàn thành suy nghĩ, nhưng
hãy chống lại sự thôi thúc muốn bổ sung thêm thông tin
Nhiều năm trước, có một linh mục trẻ đến thăm giáo xứ của chúng tôi
và bài giảng của ông là một cuộc thảo luận về khái niệm in chìm Khái niệm
Trang 11này thường được đề cập trong lớp Tâm lý học cơ bản 101 và nó là một hành
vi xã hội ban đầu giữa những con chim, là một quá trình làm cho những con
chim mới nở trở nên gắn bó một cách nhanh chóng và mạnh mẽ với các đối
tượng xã hội như cha mẹ hoặc người thay thế cha mẹ của chúng
Mặc dù một số giáo dân hiểu ông đang nói về điều gì, nhưng phần lớn
chỉ ngây người nhìn ông ấy Vì vậy, người linh mục tiếp tục giải thích rồi lại
giải thích cho đến khi bài giảng của ông ấy kéo dài khoảng 45 phút Khi viết
một chính sách, hãy cân bằng giữa khoảng thời gian giới hạn với những gì
cần được giải quyết Giữ cho nó ngắn gọn, nhưng vẫn có thể hiểu được
Có ba loại chính sách mà bạn sẽ sử dụng mỗi loại vào những thời điểm
khác nhau trong chương trình bảo mật thông tin của bạn và trong toàn bộ tổ
chức để hỗ trợ quá trình kinh doanh hay sứ mệnh Ba loại chính sách đó là:
1 Chính sách Toàn cầu (cấp 1) - chúng được sử dụng để tạo ra tầm
nhìn tổng quát và định hướng chung của tổ chức
2 Chủ đề cụ thể (cấp 2) - chúng đề cập đến các chủ đề cụ thể cần quan tâm Trong trường hợp chính sách đặc trưng cấp 1 có thể đề cập đến “Truyền thông doanh nghiệp”, thì các chính sách hỗ trợ cấp 2 có thể giải quyết các yêu cầu liên lạc khi sử dụng e-mail, mạng xã hội, thư thoại và các phương thức khác
Trang 123 Ứng dụng cụ thể (bậc 3) - tập trung vào các quyết định do ban quản
lý đưa ra để kiểm soát các ứng dụng cụ thể (báo cáo tài chính, bảng lương, ) hoặc hệ thống (hệ thống lập ngân sách)
1 Chính sách Toàn cầu (cấp 1)
Theo Tiêu chuẩn “chăm sóc thích đáng”, và chịu trách nhiệm cuối cùngtrong việc đáp ứng các mục tiêu kinh doanh hoặc yêu cầu của nhiệm vụ, nhà quản lý cấp cao phải đảm bảo rằng các nguồn lực cần thiết được sử dụng hiệuquả để phát triển khả năng đáp ứng các yêu cầu nhiệm vụ Họ phải kết hợp các kết quả của quá trình phân tích rủi ro vào quá trình ra quyết định Nhà quản lý cấp cao cũng chịu trách nhiệm ban hành các chính sách toàn cầu để thiết lập định hướng của tổ chức trong việc bảo vệ tài sản thông tin
Một chính sách bảo mật thông tin sẽ xác định được mục đích của ban quản lý và cơ quan tài trợ của nó đối với việc bảo vệ tài sản thông tin của tổ chức Nó sẽ bao gồm phạm vi của chương trình, nghĩa là nơi mà nó sẽ tiếp cận ở đâu và những thông tin nào được đưa vào chính sách này Cuối cùng, chính sách sẽ xác định ai là người chịu trách nhiệm và chịu trách nhiệm về những gì
Các thành phần của Chính sách toàn cầu (Cấp 1) thường bao gồm bốn đặc điểm sau
Chủ đề
Phần chủ đề của chính sách xác định cụ thể những gì mà chính sách sẽ giải quyết Bởi vì khả năng chú ý của người đọc bị hạn chế, chủ đề phải xuất hiện nhanh chóng, có thể trong phần mở đầu hoặc câu chủ đề Tôi thường đề nghị (lưu ý rằng đó là một hướng dẫn, không phải là một tiêu chuẩn) rằng câuchủ đề cũng bao gồm một “điểm níu chân độc giả”, đó là lý do tôi - với tư cách là một độc giả, nên tiếp tục đọc chính sách này Vì vậy, trong câu mở đầu, chúng tôi muốn truyền tải hai yếu tố quan trọng: (1) chủ đề (nó nên liên
Trang 13quan gì đến tiêu đề của chính sách), và (2) câu kết (tại sao người đọc nên tiếptục đọc chính sách).
Một câu mở đầu chủ đề có thể được đọc như sau: “Thông tin - cái mà được tạo ra khi làm việc cho công ty, chính là tài sản của công ty và tất cả nhân viên phải bảo vệ nó đúng cách.”
Phạm vi
Phạm vi có thể được sử dụng để mở rộng hoặc thu hẹp chủ đề hay đối tượng, hoặc cả hai Trong một tuyên bố về chính sách bảo mật thông tin, chúng tôi có thể nói “thông tin là tài sản và là thuộc sở hữu của Công ty, tất
cả nhân viên có trách nhiệm bảo vệ tài sản đó” Trong câu này, chúng tôi đã
mở rộng đối tượng để bao gồm tất cả nhân viên Chúng ta cũng có thể nói
“Thông tin kinh doanh là tài sản thiết yếu của Công ty Điều này đúng với tất
cả thông tin kinh doanh trong Công ty bất kể thông tin đó được tạo ra, phân phối hoặc lưu trữ như thế nào và bất kể nó được đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay giọng nói ” Ở đây, người viết đã mở rộng chủ
đề để bao gồm tất cả các loại tài sản thông tin
Một ví dụ khác về việc mở rộng phạm vi như sau: “Thông tin của Công
ty, các công ty con và chi nhánh của Công ty ở dạng điện tử, dù được truyền
đi hay lưu trữ, đều là tài sản quan trọng của Công ty và phải được bảo vệ theo
độ nhạy cảm, quan trọng, và giá trị ” Ở đây, chủ đề “chủ đề” được thu hẹp thành “hình thức điện tử” Tuy nhiên, đối tượng được mở rộng bao gồm “các công ty con và chi nhánh”
Chúng ta cũng có thể sử dụng khái niệm phạm vi để thu hẹp chủ đề hoặc đối tượng Trong chính sách Thỏa thuận việc làm, đối tượng được giới hạn trong một nhóm cụ thể như sau:
Trang 14❖ Các bên tham gia ký thỏa thuận ngày (đặc tả) là (tên công ty), một (chỉ định nhà nước và loại công ty) (“công ty”) và (tên nhân viên) (“điều hành”).
❖ Công ty muốn tuyển dụng Người điều hành, và Người điều hành chấp nhận làm việc với Công ty, theo các điều khoản và điều kiện được quy định trong Thỏa thuận này Do đó, nó được thống nhất như sau:
Ở đây, chính sách chỉ được giới hạn cho các Giám đốc điều hành và sau đó sẽ tiếp tục thảo luận về những gì có thể và không thể thực hiện bởi cácGiám đốc điều hành
Tuân thủ hay Hậu quả
Khi các đơn vị kinh doanh hoặc nhân viên bị phát hiện ở trong tình trạng không tuân thủ, chính sách phải nêu rõ hậu quả của những hành động này Đối với các đơn vị hoặc bộ phận kinh doanh, nếu bị phát hiện là không tuân thủ, họ thường là đối tượng của một hạng mục đánh giá và sẽ phải chuẩn
bị một sự phản ứng tuân thủ chính thức
Đối với một nhân viên, việc bị phát hiện không tuân thủ chính sách củacông ty có nghĩa là họ đang vi phạm “Tiêu chuẩn Ứng xử của Nhân viên” của
Trang 15tổ chức và sẽ phải chịu những hậu quả được mô tả trong “Chính sách Kỷ luật Nhân viên”.
sử dụng phương tiện truyền thông xã hội hoặc sử dụng hệ thống e-mail do công ty cung cấp Các chính sách cụ thể theo chủ đề cũng có thể phù hợp khi các vấn đề mới phát sinh, chẳng hạn như việc thực hiện luật mới được ban hành gần đây yêu cầu bảo vệ thông tin cụ thể (GLBA, HIPAA, ) Chính sách toàn cầu (cấp 1) thường đủ rộng để không phải sửa đổi theo thời gian, trong khi Chính sách theo chủ đề cụ thể (cấp 2) có khả năng cần phải sửa đổi thường xuyên hơn khi những thay đổi trong công nghệ và các yếu tố khác quyết định
Các chính sách theo chủ đề cụ thể sẽ được một tổ chức tạo ra một cách thường xuyên nhất Chúng ta sẽ xem xét các yếu tố chính của chính sách theochủ đề cụ thể Khi tạo tài liệu "Tiêu chuẩn và Chính sách Bảo mật thông tin", thông thường mỗi phần trong tài liệu sẽ bắt đầu bằng một chính sách dành riêng cho chủ đề Chính sách dành riêng cho chủ đề sẽ thu hẹp trọng tâm vào một vấn đề tại một thời điểm Điều này sẽ cho phép người viết tập trung vào một lĩnh vực và sau đó phát triển một bộ tiêu chuẩn để hỗ trợ chủ đề cụ thể này
Trong trường hợp các chính sách cấp 1 được Ban chỉ đạo An toàn thông tin phê duyệt, các chính sách cấp 2 (chủ đề cụ thể) có thể được ban hành bởi một nhà quản lý cấp cao hoặc giám đốc
Trang 16Cũng như các chính sách cấp 1, các chính sách cấp 2 sẽ giải quyết quanđiểm của ban quản lý trong các vấn đề liên quan Cần phải phỏng vấn ban giám đốc để xác định mối quan tâm của họ là gì và họ mong muốn điều gì Người viết sẽ lấy thông tin này và kết hợp thành cấu trúc sau.
Tuyên bố luận văn
Điều này tương tự như phần “Chủ đề” được thảo luận trong các chính sách cấp 1, nhưng nó cũng bổ sung thêm thông tin để hỗ trợ các nhiệm vụ, mục tiêu của chính sách và chỉ thị của ban quản lý Phần này sẽ được sử dụng
để thảo luận về vấn đề trong các điều khoản có liên quan và những điều kiện nào bao gồm những gì Nếu thích hợp, có thể có ích khi chỉ định mục tiêu hoặc biện hộ cho chính sách Điều này có thể hữu ích khi đạt được lợi ích cùng sự tuân thủ chính sách
Khi phát triển tài liệu “Tiêu chuẩn làm làm việc”, một chính sách theo chủ đề cụ thể về phần mềm thích hợp, với các tiêu chuẩn hỗ trợ, có thể bao gồm thảo luận về phần mềm “Được công ty phê duyệt” Chính sách này sẽ xác định ý nghĩa của phần mềm được công ty phê duyệt, có thể là “bất kỳ phần mềm nào được tổ chức phê duyệt, mua, sàng lọc, quản lý và sở hữu” Chính sách cũng sẽ thảo luận về các điều kiện cần thiết để phần mềm được phê duyệt
Sau khi các điều khoản và điều kiện đã được thảo luận, phần còn lại của phần này sẽ được sử dụng cho quan điểm của quản lý nhà nước trong vấn
đề này
Sự liên quan
Chính sách cấp 2 cũng cần xác định đối tượng áp dụng chính sách Ngoài đối tượng, chính sách sẽ muốn làm rõ nó được áp dụng ở đâu, như thế nào và khi nào Có phải chính sách chỉ được thực thi khi nhân viên ở trong
Trang 17phạm vi cơ sở làm việc hay sẽ mở rộng sang các hoạt động bên ngoài cơ sở? Cần phải xác định càng nhiều điều kiện và điều khoản càng tốt.
Trách nhiệm
Việc phân công vai trò và trách nhiệm cũng được bao gồm trong các chính sách cấp 2 Ví dụ, chính sách về phần mềm được công ty phê duyệt sẽ phải xác định quy trình để phần mềm được chấp thuận Điều này sẽ bao gồm
cơ quan (theo chức danh) được ủy quyền cấp phê duyệt và tham chiếu đến nơi quy trình này được lập thành văn bản
Đây là thời điểm tốt để thảo luận về những sai lệch từ các yêu cầu chính sách Tôi đã thiết lập một tiêu chuẩn cá nhân, trong đó tôi không bao giờ thảo luận về cách một thực thể có thể được miễn khỏi các điều khoản từ chính sách Tôi không muốn tuyên bố rằng “đây là chính sách và tất cả nhân viên phải tuân thủ” ngoại trừ người nào đó trong số các bạn có thể tìm cách giải quyết chính sách Hầu hết các tổ chức đều có một quy trình để đạt được
sự sai lệch được chấp nhận từ chính sách hoặc tiêu chuẩn Điều này thường yêu cầu người khởi kiện đệ trình một trường hợp kinh doanh sai lệch cùng với các biện pháp kiểm soát thay thế đủ đáp ứng tinh thần của chính sách Nếu một tổ chức hoặc cá nhân nào đó muốn có sự sai lệch từ chính sách, hãy
để họ tìm hiểu quy trình là gì
Sự tuân thủ
Đối với chính sách cấp 2, có thể thích hợp để mô tả chi tiết một số hành
vi vi phạm không thể chấp nhận được và hậu quả của nó Các hình phạt có thể được nêu rõ ràng và phải phù hợp với Chính sách Kỷ luật Nhân viên cấp
1 Hãy nhớ rằng, khi một nhân viên bị phát hiện trong tình huống không tuân thủ, chính Ban Quản lý và Nhân sự phải chịu trách nhiệm kỷ luật cá nhân đó
Thông tin bổ sung