ữ ố ấ ủ c u thành h th ng ch tiêu đánh giá m c đ an toàn c a ứ ộ ỉ

Nh ng nhân t thông tin trong tài li u l u tr đi n t ệ ố ữ ệ ử ệ ư

ưở ầ ứ ệ ố ộ ệ ư ầ ữ ệ ử ề ả

ạ ề ự ng t ừ ỗ ẫ

ả ẩ ạ ấ

ứ ộ ệ ư

ủ ứ ộ ầ ướ ố

ộ ệ ố ự ữ ệ ử ệ ư ủ

, qu n lý m ng và các nhân t trong và ngoài n đi n t ữ ệ ử ả ệ ử ệ

ưở

đi n t ữ ệ ử ỉ ủ ộ ệ ố ả ệ ư ồ ẩ

ứ là m t quy trình h th ng ph c H th ng thông tin trong tài li u l u tr đi n t ộ ệ ố tác đ ng c bên t p, v a có ph n c ng, v a có ph n m m, ch u nh h ừ ị ả ừ ạ i có s ràng bu c t trong l n bên ngoài, nhi u khi l ầ ng h l n nhau. Do đó c n ộ ươ ẫ ệ ph i có m t tiêu chu n mang tính quy ph m, th ng nh t và khách quan. Vi c ố ữ xây d ng h th ng đánh giá m c đ an toàn c a thông tin trong tài li u l u tr ự đi n t c n d a trên tiêu chu n đánh giá m c đ an toàn c a thông tin trong tài ủ ệ ử ầ ố ớ c, yêu c u c b n c a qu c gia đ i v i li u l u tr đi n t ơ ả ủ ệ ư và tính an toàn c a h th ng thông tin m ng, thông tin tài li u l u tr ạ ệ ố ố k t h p v i kinh nghi m qu n lý tài li u đi n t ớ ế ợ ạ ệ . Trung ng đ n s an toàn c a thông tin trong tài li u l u tr nh h ế ự ả Qu c đã xây d ng đ c m t h th ng quy chu n bao g m 5 nhóm ch tiêu đánh ượ ự ố giá l n, trong đó có 20 ch tiêu nh . C th là: ỏ ụ ể ớ ỉ

1. Ch tiêu đánh giá m c đ an toàn v t lý ứ ộ ậ ỉ

thông tin, thi ỉ ộ ậ ư

ườ ứ ệ ơ

ộ ự ố ả ệ ụ ả

ầ ầ ự ứ ả ả ấ ổ ị

ng, an toàn thi ề t b máy tính, đi u M c đ an toàn v t lý là ch kho tàng l u tr ế ị ữ ng trong và ngoài n i làm vi c c a cán b qu n lý tài li u ph i ả ki n môi tr ệ ủ ả t. Khi có tai n n, s c x y ra, ph i áp d ng đ y đáp ng đ ầ c yêu c u c n thi ế ạ ượ ứ ầ ng h p x y ra tai n n, s c b t kh kháng c n đ các bi n pháp d phòng, tr ạ ự ố ấ ườ ệ ủ ph i có bi n pháp ng trí k p th i, làm gi m t n th t xu ng m c th p nh t. An ấ ứ ố ờ ệ ả toàn v t lý bao g m an toàn môi tr t b và an toàn v t mang tin. ế ị ồ ả ấ ậ ườ ậ

ng: ườ ủ ế ườ ư ữ

Ch y u là ch kho tàng l u tr thông tin, môi tr ầ ợ

ở ơ ượ ự

ỉ ớ ụ ng t c, môi tr ườ ồ

ướ ệ ự ả ụ ạ

ng xung An toàn môi tr quanh phòng máy tính có phù h p v i yêu c u qu n lý hay không, có kh năng ả ả i thiên tai hay không. Ví d kho tàng có đ ch ng l ủ n i có đ c xây d ng ố ạ ệ nhiên trong lành, giao thông thu n ti n ngu n đi n, ngu n n ậ ệ ồ hay không; có các bi n pháp phòng ho ho n, l ệ ố t bão hay không; có h th ng ki m soát hay không; có bi n pháp tránh sét hay không v.v... ệ ể

ế ị Ch y u là ch vi c b o v an toàn đ i v i các thi ệ

ố ồ ồ

ố ớ ỉ ệ ả đi n t ệ ả ữ ệ ử t b , phòng tránh rò r thông tin, tránh nhi u đi n t ắ ộ ỷ ế ị ủ ệ t b c a h , bao g m b o v ngu n đi n, phòng ệ ệ ừ ễ ỉ ế ị

An toàn thi t b : ủ ế th ng thông tin tài li u l u tr ệ ư tránh tr m c p, hu ho i thi ạ v.v...

Đ ng th i v i vi c b o đ m an ninh thi ả ả ồ

ế ả ả ầ ậ

ầ t b , cũng c n An toàn v t mang tin: ế ị ệ ậ chú ý đ n b o đ m an toàn cho v t mang tin, c n áp d ng các bi n pháp v t lý ệ đ i v i v t mang tin đ tránh b l y c p, b hu ho i, b m c. ố ớ ậ ờ ớ ậ ị ấ ắ ụ ị ố ể ạ ỷ ị

2. Ch tiêu đánh giá m c đ an toàn trong qu n lý ứ ộ ả ỉ

ả ả ả

ữ ệ ử ặ ả ượ ự ộ ề ả

ả ố ộ

ắ ể ể ả ứ c th bao g m: Qu n lý an toàn là ch vai trò mang tính quy ph m và b t bu c khi b o đ m an ạ ỉ ọ , quan đi m v qu n lý khoa h c toàn cho thông tin trong tài li u l u tr đi n t ệ ư c ng thêm c ch qu n lý nghiêm ng t m i có th đ m b o đ c s an toàn ế ớ ả ơ ộ cho thông tin t đ u đ n cu i. Ch tiêu đánh giá m c đ an toàn khi qu n lý ỉ ừ ầ thông tin trong tài li u l u tr đi n t ữ ệ ử ụ ể ế ệ ư ồ

ơ ữ

ủ ơ ự ứ ữ ổ

ậ và nhi m v c a nhân viên qu n lý an ninh thông tin l u tr ch c an ninh thông tin l u tr chuyên ngành và nhân viên qu n lý an ả ch c an ninh ữ ư ư ệ

c quy đ nh b ng văn b n chính th c c a các đ n v có liên quan. C quan t ư s thành l p c a c quan, t ninh thông tin l u tr chuyên trách: thông tin l u tr ả c n đ ầ ượ ổ ứ ư ữ ị ụ ủ ả ứ ủ ằ ơ ị

ị ữ

ệ ệ ư ả ế ề ả

ữ ệ ả ơ

ữ ế

ộ ế ị ự ơ ệ ư ạ ư

ủ ộ

hay không. Bao g m vi c có hay không có nh ng quy đ nh v qu n lý an toàn Quy đ nh: ồ ề ị ộ thông tin trong tài li u l u tr đi n t ; c ch qu n lý vi c s p x p, đi u đ ng ệ ắ ế ữ ệ ử ơ cán b ph trách an ninh cho thông tin l u tr có nghiêm ng t hay không; trang ữ ặ ư t b và c ch qu n lý d li u có hoàn thi n hay không; có c ch đăng ký, thi ế ơ ệ ạ xây d ng danh m c tài li u l u tr hay không; có k ho ch b i d ng, đào t o ồ ưỡ ạ và c ch b i d hay không; đi n t ng đào t o v an ninh thông tin l u tr ữ ệ ử ề ch c trách b o đ m an ninh c a các cán b , nhân viên có rõ ràng hay không; có th b o đ m qu n lý an toàn thông tin l u tr đi n t ư ế ụ ế ồ ưỡ ả ả ả ứ ể ả ữ ệ ử ả

ự ự ố ẩ ấ ể ả ể

ng án d phòng x lý s c kh n c p hay không: ng c a các s c , nhanh chóng khôi ph c l ươ ưở ụ ạ ệ ố ả

ử ự ố ứ ớ ự ố ụ

ự ể ạ

Có ph ữ Đ gi m thi u nh ng i h th ng, c n ph i xây nh h ả ầ d ng các bi n pháp ng phó v i s c , quy trình khôi ph c h th ng và các ệ ố ự ng án ng trí d phòng khi có thiên tai x y ra, biên so n thành s tay đ áp ph ổ ươ d ng k p th i nh m nhanh chóng khôi ph c h th ng. ụ ả ụ ệ ố ủ ệ ứ ờ ằ ị

3. Ch tiêu đánh giá m c đ an toàn m ng ứ ộ ạ ỉ

đ ề ề

ạ ệ ư ự đi n t ữ ệ ử ượ ộ ượ

ả ậ ả

ở ộ ấ ễ ị ấ ỹ ươ ở

ệ ư

c s an toàn c a tài li u l u tr ủ ỉ

ạ c truy n d n qua m ng Càng ngày càng có nhi u tài li u l u tr ẫ c xây internet, nh ng m ng internet th c ch t là m t kênh d n thông tin đ ẫ ấ ư d ng trên c s tho thu n k thu t mang tính m r ng, kh năng phòng v và ệ ậ ơ ở ự ng đ i y u, r t d b t n công b i vi- rút, hacker. kh năng đ i kháng c a nó t ố ả ố ế c n ph i b o đ m đi n t Đ b o đ m đ ả ả ả ữ ệ ử ầ ả ể ả ồ c trung gian truy n d n nó. Ch tiêu đánh giá m c đ an toàn m ng bao g m đ ạ ứ ộ ượ nh ng khía c nh d ữ ủ ượ ự ẫ ề i đây: ướ ạ

Có bi n pháp phòng ch ng vi- rút máy tính hay không. ệ ố

ủ ế ệ

ng l a ho c ki m soát vi c đăng xu t. ch y u là các bi n pháp Có bi n pháp phòng v hacker t n công hay không: ệ nh thi ấ ặ ư ế ậ t t l p ệ ử ấ ể ườ ệ

ế ậ ậ ố

ố i s d ng h th ng thông tin m ng, khi gi a nh ng ng ườ ử ụ ệ ố ườ ữ ữ

ể ế ặ

ị ừ ậ ậ

i. ỉ ệ : kh ng ch đăng nh p là ch vi c Có bi n pháp kh ng ch đăng nh p hay không ế ệ i dùng ki m soát ng ạ ể t l p m i liên k t, đ tránh nh ng liên k t b t h p pháp ho c tránh b l a thì thi ữ ố ế ậ ế ấ ợ ợ i dùng có thân ph n h p c n ph i ch ng minh thân ph n, b o đ m nh ng ng ả ứ ả ầ i còn l t l p m i quan h v i nh ng ng pháp m i có th thi ớ ả ệ ớ ườ ườ ế ậ ữ ữ ể ạ ố

ể ể

ể ể ế ặ ậ

ỉ ệ ử ụ ể ấ ườ ả

ế ị t b : Ki m tra, giám sát là ch vi c s d ng thi t b ki m soát đăng nh p đ ti n hành ki m tra, giám ng th y khi đăng ạ đó ngăn ch n các hành vi t n công và xâm ph m ờ ố ớ ặ ậ

Có ki m tra, giám sát hay không ki m soát m ng ho c thi ế ị ể ạ sát, c nh báo và can thi p k p th i đ i v i các thao tác th ệ ị nh p- đăng xu t trên m ng, t ấ ừ ạ ấ qua m ng.ạ

4. Ch tiêu đánh giá m c đ an ninh thông tin ứ ộ ỉ

ơ ở ậ ườ

đ ầ c truy n d n, l u tr ẫ

Trên c s v n hành thông th ng c a m ng internet, chúng ta c n ph i b o ả ả ủ đ m nh ng thông tin trong tài li u l u tr ữ ệ ư ả ư trong h th ng là an toàn, không b ăn tr m, s a ch a và dùng tr m. ị ạ đi n t ữ ệ ử ượ ữ ử ữ ệ ố ề ộ ộ

ả ườ ả ộ

ụ ệ ư

ủ ặ

c b o đ m, h n n a có m t s thông tin l ng b o m t hay không: ậ ỷ ủ ế ơ ữ ệ ử ộ ố ượ ữ ả

ạ khó đ ể ả ẫ ữ ề

ở ậ c tăng c ạ c truy n d n trên m ng đòi h i ph i đ ả ượ ườ ượ ề ạ ả ỏ

Thu c tính b n ch t c a Có áp d ng bi n pháp tăng c ấ ủ ệ ấ ổ ủ tài li u l u tr là tính ghi chép nguyên thu c a nó, trong khi đó tính b t n c a ữ h th ng máy tính và m ng internet đã khi n cho đ c tính này c a thông tin tài ệ ố ạ ị ạ li u l u tr đi n t i b h n ệ ư ch công khai, không th truy n d n trên m ng, b i v y, khi nh ng thông tin ế này đ ậ ể ả ng b o m t đ b o ẫ ệ ố đ m an toàn tuy t đ i. ả

ậ ậ ỉ

ạ ứ ề ụ ẫ ề

ủ ế ề ế ệ ư ữ ệ ử ự ấ

ể ể ỉ ể ệ ề

Vi cệ t v tính hoàn ch nh c a s li u hay không: Có ng d ng k thu t nh n bi ủ ố ệ ỹ c v tính hoàn truy n d n qua m ng internet khi n chúng ta khó đ m b o đ ượ ả ả , s t n công c a các hacker có ch nh c a nh ng thông tin tài li u l u tr đi n t ủ ộ th làm s a đ i n i dung bên trong c a thông tin, vì th c n ph i áp d ng m t ả ủ bi n pháp h u hi u đ ki m soát v tính hoàn ch nh c a nó, đi u này th c s ự ự ề quan tr ng đ i v i thông tin trong tài li u l u tr đi n t ữ ử ổ ộ ữ ệ ố ớ ế ầ ủ ỉ . ữ ệ ử ệ ư ọ

ả ả ủ ơ ở ữ ệ

c l u tr ộ ơ ữ ổ

ng đ ườ ượ ư ự ả ứ ủ

c s an toàn c a c s d li u thông tin hay không: ứ ộ ơ ở ữ ệ ọ ch c thông th ệ ả ồ ố ớ

Có đ m b o đ Thông tin ượ ự quan tr ng nh t c a m t c quan, t ử và s ọ ấ ủ ơ ở d ng d i hình th c c a m t c s d li u, vi c b o đ m s an toàn cho c s ướ ụ d li u có vai trò vô cùng quan tr ng đ i v i ngu n thông tin trong tài li u l u ệ ư ữ ệ . tr đi n t ữ ệ ử

ụ ự

ạ ỉ ự ệ ồ ệ ố ể ệ

ể ệ ố ộ ậ ủ ệ ố ể ệ

ể ế ậ ộ

ượ ặ ể ạ ấ ặ

ể ứ ể ả ấ

ồ ờ ị

Phòng tránh rò rỉ Có áp d ng bi n pháp phòng tránh s rò r thông tin hay không: thông tin bao g m hai khía c nh là xây d ng h th ng ki m duy t thông tin và h th ng ki m soát đ m t c a thông tin. H th ng ki m duy t thông tin cho ặ c đăng nh p ho c phép chúng ta có th ti n hành ki m tra n i dung thông tin đ ể đăng xu t trên m ng n i b b t c lúc nào, đ ngăn ch n ho c ki m soát nh ng ữ ộ ộ ấ ứ ứ ộ hành vi có kh năng làm th t thoát thông tin; ngoài ra, có th căn c trên m c đ b o m t c a thông tin đ xác đ nh ph m vi công khai, đ ng th i ra các quy đ nh ị ạ ể ả quy n h n tra c u c a ng i s d ng, th c hi n qu n lý phân nhóm. ậ ủ ạ ườ ử ụ ứ ủ ự ệ ề ả

ụ ự ứ

ả ậ ắ ủ ể

i dùng không th ch i b , ph nh n t ệ ứ ằ ồ ờ

Có áp d ng k thu t ch ng th c hành vi hay không: ự ứ ỹ b o đ m ch c ch n ng ậ ấ ả ườ ắ ả hành vi mà mình đã th c hi n, đ ng th i cung c p b ng ch ng đ gi ự ể ả nh ng tranh ch p có th x y ra, cách làm thông th ữ ể ả ằ Ch ng th c hành vi nh m t c nh ng ữ i quy t ế ng là ng d ng ch ký s . ố ụ ố ỏ ấ ườ ứ ữ ấ

5. Ch tiêu đánh giá m c đ an toàn h th ng ứ ộ ệ ố ỉ

ở ỉ ự ậ

ử ứ ề

ể ị

ệ ố ế ự ố ể ầ ệ ữ ữ ạ ổ

ệ ắ ạ

ự ả ả ỉ

đây là ch s an toàn c a c h th ng v n hành máy tính An toàn h th ng ủ ả ệ ố . Khi ti n hành x lý thông tin trên máy tính, ph n c ng, ph n m m có đi n t ầ ệ ử ấ t th x y ra s c , ho c có th b thao tác sai, ho c đ t nhiên m t đi n v.v... t ấ ộ ặ ặ ể ả ấ c x lý, t o ra nh ng t n th t ấ nh ng thông tin đang đ c đ u có th làm m t ượ ử ả ề ằ c. Do đó, c n ph i áp d ng m t lo t các bi n pháp nh m không th bù đ p đ ả ộ ụ ầ ượ ể b o đ m s n đ nh c a h th ng, b o đ m s an toàn cho thông tin. Ch tiêu ả ủ ị ả đánh giá m c đ an toàn c a h th ng máy tính đi n t bao g m: ệ ố ủ ệ ố ự ổ ứ ộ ệ ử ồ

ậ ệ ố ậ

ệ ố ề ậ

c b o đ m đ Nh t ký thao tác h th ng đã ghi chép ng t n v tình hình thao tác c a h th ng, đ sau này phân tích và ủ ệ ố ượ c ườ ề ữ ư ạ ệ ố ướ ả ừ ả

Có nh t ký thao tác h th ng hay không: m t cách t ộ ể ki m tra v nh ng nguyên nhân làm h h i h th ng, t ng b ể s an toàn cho nó. ự

S d ng công c ế ể ề ự ủ

ể ử ụ ể ị

ữ ặ

ệ ố ườ i trong h th ng c a mình, t c an toàn hi u qu , nh m đ t đ ụ ng, k p th i phát hi n ra nh ng rò ữ đó áp ừ ủ ạ ượ c ữ ả ằ

ng tính an toàn chung c a m ng l ờ ệ ố ệ i. Có ti n hành ki m tra v s an toàn c a h th ng hay không: ki m tra an toàn h th ng đ ki m tra, đo l ể ể ệ ố r ho c nh ng t n công có ch ý đang t n t ấ ồ ạ ủ ỉ d ng nh ng bi n pháp h tr và sách l ượ ệ ụ ỗ ợ m c đích tăng c ủ ườ ụ ướ ạ

ụ ạ ệ ố ỷ

ủ ệ ố

ự ậ

c m t s tiêu chu n th m đ nh t ồ ả c v n hành bình th ườ ng đ n s an toàn c a c h th ng máy tính đi n t ệ ử ệ ố ủ ả ệ ố ng đ i, b o v ng ả ươ ộ ố ế ự ự ệ ẩ ố ị

Có áp d ng các bi n pháp phòng tránh hu ho i h th ng thao tác hay không: ệ ơ ở ể H th ng thao tác t p trung qu n lý ngu n thông tin c a h th ng, là c s đ ệ ố ậ ng, s an toàn c a nó tr c ti p nh h th ng máy tính đ ế ả ệ ố ự ủ ượ ầ . H th ng thao tác c n h ưở ph i xây d ng đ ườ ử i s ẩ ượ ả ạ d ng, ngăn ch n s v n hành gây h i. ặ ự ậ ụ

ệ ệ ố

C chơ ươ ủ ậ ị

ế Có th c hi n sao l u d phòng đ i v i thông tin h th ng hay không: ự ố ớ ư ự t c b n c a ph ng nh t là m t quy đ nh chi ti sao l u d phòng th ng án ư ế ơ ả ộ ự sao l u d phòng h th ng, chúng ta c n th c hi n sao l u d phòng hàng ngày. ư ự ầ ư ự ườ ệ ố ự ệ

ắ ệ ố ạ ệ ố ị

ườ ủ ặ

i các ho t đ ng thông th i ho c các nhân t ụ ạ t ố ự ạ ộ Khi h th ng b hu ho i ạ nhiên khác, chúng ta c n b o ả ế ườ ỷ ầ ng, kh ng ch ố

Có h th ng kh c ph c tai n n, thiên tai hay không: ụ b i hành vi c a con ng ở đ m có th nhanh chóng khôi ph c l ể ả t n th t trong ph m vi nh nh t. ạ ổ ấ ấ ỏ