Báo cáo dịch sách: Chính sách bảo mật thông tin – góc nhìn của chuyên viên

Chia sẻ: | Ngày: | Loại File: DOCX | Số trang:38

Thêm vào BST

Báo xấu

69
lượt xem 11
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Báo cáo dịch sách: Chính sách bảo mật thông tin – góc nhìn của chuyên viên giới thiệu đến các bạn về Chính sách là nền tảng; các yếu tố then chốt của chính sách; định dạng chính sách; chính sách bảo mật thông tin: góc nhìn của chuyên viên. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Báo cáo dịch sách: Chính sách bảo mật thông tin – góc nhìn của chuyên viên

TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HỒ CHÍ MINH BÁO CÁO DỊCH SÁCH CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH CHƯƠNG 14: CHÍNH SÁCH BẢO MẬT THÔNG TIN – GÓC NHÌN CỦA CHUYÊN VIÊN GVHD : Đặng Hoàng Huy Môn học : Mạng máy tính và truyền thông Lớp : ITS709_211_D06 Nhóm thực hiện : Nhóm 4 Thành viên : Nguyễn Thị Phương Trần Thảo Quyên Nguyễn Sinh Tài Ngô Thành Phát Lê Thanh Sơn
TP. Hồ Chí Minh, tháng 12 năm 2021 MỤC LỤC CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH
CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH I. CHÍNH SÁCH LÀ NỀN TẢNG Nền tảng của một cấu trúc bảo mật thông tin hiệu quả là một tuyên bố chính sách được biên soạn kỹ lưỡng. Đây là nguồn mà từ đó tất cả các chỉ thị, tiêu chuẩn, thủ tục, hướng dẫn và các tài liệu hỗ trợ khác sẽ có hiệu lực. Đối với bất kỳ cơ sở nào, điều quan trọng là phải thiết lập một nền tảng vững chắc. Như điều sẽ được thảo luận sau đây, một chính sách thực hiện hai vai trò: bên trong và bên ngoài. Những dữ liệu nội bộ cho nhân viên biết họ mong đợi điều gì và hành động của họ sẽ được đánh giá như thế nào. Còn phần thông tin bên ngoài cho thế giới biết doanh nghiệp thấy trách nhiệm của mình như thế nào. Mọi tổ chức phải có các chính sách hỗ trợ các phương thức kinh doanh hợp lý và họ sẽ chứng minh cho thế giới thấy rằng việc bảo vệ tài sản là điều cần thiết để thực hiện thành công sứ mệnh của mình. Trong bất kỳ cuộc thảo luận nào liên quan đến các yêu cầu bằng văn bản, chính sách thuật ngữ mang rất nhiều ý nghĩa khác nhau. Đối với một số người, chính sách là chỉ thị của quản lý cấp cao về cách một chương trình nhất định sẽ được chạy, tính khách quan và mục tiêu của nó là gì, trách nhiệm sẽ được giao cho ai. Thuật ngữ chính sách có thể đề cập đến các quy tắc bảo mật cụ thể cho một hệ thống cụ thể như bộ quy t ắc Cơ sở kiểm soát truy cập 2 (ACF2), giấy phép Cơ sở kiểm soát truy cập tài
nguyên (RACF) hoặc chính sách hệ thống phát hiện xâm nhập. Ngoài ra, chính sách có thể đề cập đến các vấn đề hoàn toàn khác nhau, chẳng hạn như các quyết định quản lý cụ thể thiết lập chính sách bảo mật email của tổ chức hoặc chính sách sử dụng Internet hay mạng xã hội. II. ĐỊNH NGHĨA 1. Chính sách Chính sách là một tuyên bố cấp cao về niềm tin, mục tiêu và tính khách quan của doanh nghiệp, và là phương tiện chung để họ đạt được một lĩnh vực hay chủ đề cụ thể. Khi chúng tôi nghe các cuộc thảo luận về hệ thống phát hiện xâm nhập giám sát việc tuân thủ các chính sách của công ty, điều này không phải là các chính sách mà chúng tôi đang thảo luận ở đây. Hệ thống phát hiện xâm nhập thực sự là các tiêu chuẩn giám sát (điều này chúng ta sẽ thảo luận chi tiết hơn ở phần sau), các bộ quy tắc hoặc proxy. Chúng tôi sẽ tạo các chính sách giống như chính sách về bảo mật thông tin được trình bày trong Hình 1.1. Phần sau của chương này, chúng ta sẽ xem xét một số chính sách bảo mật thông tin và phê bình chúng dựa trên một mẫu chính sách đã được thiết lập. 2. Những tiêu chuẩn Tiêu chuẩn là các yêu cầu bắt buộc hỗ trợ các chính sách riêng lẻ. Các tiêu chuẩn có thể bao gồm từ phần mềm hoặc phần cứng nào có thể được sử dụng, giao thức truy cập từ xa sẽ được triển khai đến người chịu trách nhiệm phê duyệt nội dung. Khi xây dựng chính sách an toàn thông tin, thiết lập một bộ tiêu chuẩn hỗ trợ là điều vô cùng cần thiết. Hình 1.2 là
một ví dụ về những tiêu chuẩn cho một chủ đề cụ thể có thể trông như thế nào. Hình 1.1 Mẫu chính sách bảo mật thông tin. Chính sách bảo mật thông tin Thông tin kinh doanh là tài sản thiết yếu của công ty. Điều này đúng với tất cả các thông tin kinh doanh trong công ty bất kể thông tin đó được tạo ra, phân phối hoặc lưu trữ như thế nào và liệu nó được đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay nói. Tất cả nhân viên có trách nhiệm bảo vệ thông tin công ty khỏi bị truy cập, sửa đổi, sao chép, phá hủy hoặc tiết lộ trái phép, dù là vô tình hay cố ý. Trách nhiệm này là cần thiết đối với hoạt động kinh doanh của công ty. Khi thông tin không được bảo vệ tốt, công ty có thể bị tổn hại theo nhiều cách khác nhau như mất thị phần đáng kể và danh tiếng bị tổn hại. Chi tiết về trách nhiệm của mỗi nhân viên trong việc bảo vệ thông tin công ty được ghi lại trong Sổ tay Tiêu chuẩn và Chính sách Bảo vệ Thông tin. Ban Giám đốc có trách nhiệm đảm bảo rằng tất cả nhân viên đều hiểu và tuân thủ các chính sách và tiêu chuẩn này. Ban Giám đốc cũng có trách nhiệm lưu ý những điểm khác biệt so với các thực tiễn bảo mật đã thiết lập và bắt đầu các hành động khắc phục. Kiểm toán viên nội bộ sẽ thực hiện đánh giá định kỳ để đảm bảo việc tuân thủ liên tục chính sách bảo vệ thông tin của Công ty. Các trường hợp vi phạm chính sách này sẽ được giải quyết theo quy định trong Hướng dẫn Chính sách Nguồn nhân lực dành cho quản lý. Quản lý/Trưởng nhóm hệ thống thông tin Người quản lý chịu trách nhiệm về Hệ thống thông tin phải thực hiện tất cả các bổn phận phù hợp với tư cách là người quản lý cho khu vực mà họ chịu trách nhiệm. Ngoài ra, họ sẽ đóng vai trò là người giám sát của thông tin được sử dụng bởi các hệ thống đó nhưng thuộc quyền sở hữu của những người quản lý khác. Người quản lý chịu trách nhiệm về Hệ thống thông tin phải thực hiện tất cả các bổn phận phù hợp với tư cách là người quản lý cho khu vực mà họ chịu trách nhiệm. Tất cả các nhà quản lý, giám sát, giám đốc, những người ở cấp quản lý khác cũng có vai trò cố vấn và hỗ trợ cho các nhà quản lý IS và những người không quản lý IS về mặt: ◾ Xác định và đánh giá các mối đe dọa ◾ Xác định và thực hiện các biện pháp bảo vệ (bao gồm cả việc tuân thủ các thông lệ này) ◾ Duy trì mức độ nhận thức an ninh thỏa đáng ◾ Giám sát hoạt động thích hợp của các biện pháp an ninh trong đơn vị ◾ Điều tra điểm yếu và các sự cố
◾ Đưa ra bất kỳ vấn đề hoặc tình huống mới nào mà họ nhận thức được thông qua vai trò chuyên gia của mình ◾ Phối hợp với kiểm toán nội bộ và bên ngoài Hình 1.2 Ví dụ về các tiêu chuẩn. 3. Thủ tục Thủ tục là những hành động bắt buộc, theo từng bước, chi tiết về các hoạt động cần thiết để hoàn thành xuất sắc nhiệm vụ. Thủ tục có thể rất chi tiết. Gần đây, tôi đang xem xét thay đổi các quy trình quản lý và nhận thấy một quy trình bao gồm 42 trang thông tin chính xác. Chúng được biên soạn rất kỹ lưỡng và là những gì cần thiết để đảm bảo rằng quy trình có thể được tuân thủ (Hình 1.3). 4. Hướng dẫn Hướng dẫn là những tài liệu tham khảo được lập thành văn bản để thực hiện thường xuyên và nhất quán các hoạt động đã được chấp nhận. Chúng thường có ít quyền thực thi hơn. Một ví dụ thường ngày về sự khác biệt giữa tiêu chuẩn và hướng dẫn sẽ là biển báo “Dừng lại” và biển báo “Vui lòng không giẫm lên cỏ”. Thủ tục Quản lý Thay đổi Ứng dụng Tổng quan Hệ thống Yêu cầu Dịch vụ (SSR) được sử dụng để bắt đầu và ghi lại tất cả các hoạt động
lập trình. Nó được sử dụng để thông báo nhu cầu của khách hàng với nhân viên Phát triển Ứng dụng (AD). Một SSR có thể được khởi xướng và chuẩn bị bởi khách hàng, thành viên của nhân viên AD, hoặc bất kỳ cá nhân nào khác đã xác định được nhu cầu hoặc yêu cầu, vấn đề hoặc cải tiến của ứng dụng. Không có nhiệm vụ nào có thể hoàn thành mà không có SSR. Hệ thống Yêu cầu Dịch vụ Tổng quan Biểu mẫu này nêu rõ các kết quả mong muốn đạt được, được khách hàng hoàn thành và gửi cùng với tài liệu hỗ trợ tới AD. Yêu cầu có thể bao gồm việc xác định một vấn đề hoặc tài liệu của một yêu cầu mới. Khách hàng được khuyến khích gửi yêu cầu của họ một cách đầy đủ chi tiết để dễ dàng cho trưởng dự án AD ước tính chính xác nỗ lực cần thiết để đáp ứng yêu cầu, nhưng có thể cần thiết để trưởng dự án liên hệ với khách hàng và có được thông tin bổ sung. Thông tin này phải được đính kèm với một bản sao của SSR. Sau khi các chương trình yêu cầu đã được hoàn thành, các cuộc kiểm tra nghiệm thu đã thỏa thuận sẽ được tiến hành. Sau khi khách hàng xác nhận rằng yêu cầu đã được đáp ứng, họ sẽ phê duyệt trên SSR. Biểu mẫu này cũng sẽ được sử dụng để ghi lại rằng dự án hoàn thành đã được đưa vào trạng thái sản xuất. Quá trình Phần này mô tả việc xử lý một SSR: 1. Khách hàng bắt đầu quá trình bằng cách hoàn thành SSR và chuyển tiếp nó đến Người quản lý dự án (PM) hoặc Giám đốc phát triển ứng dụng (AD) thích hợp. 2. SSR được nhận trong bộ phận AD. Bất kể ai trong AD thực sự nhận được SSR, nó phải được chuyển đến PM thích hợp. 3. Nếu PM thấy mô tả các yêu cầu trên SSR không đầy đủ hoặc không rõ ràng, PM sẽ liên hệ trực tiếp với khách hàng để làm rõ. Khi PM hiểu đầy đủ các yêu cầu, họ sẽ chuẩn bị một bản phân tích và ước tính về nỗ lực cần thiết để đáp ứng yêu cầu. Trong một số trường hợp, PM có thể cảm thấy rằng việc đáp ứng yêu cầu là không thể hoặc phi thực tế. Vì thế trong trường hợp này, họ sẽ thảo luận với khách hàng lý do tại sao yêu cầu không được thực hiện. Và nếu khách hàng xác nhận lại yêu cầu, PM và Giám đốc của AD sẽ cùng xác định xem có nên khiếu nại quyết định của khách hàng lên Ban chỉ đạo Hệ thống Thông tin để đưa ra phán quyết cuối cùng về SSR hay không. 4. Nếu ước tính của dự án là bốn mươi giờ hoặc ít hơn, những chi tiết của thiết kế cần được xem xét với khách hàng. Sau khi xem xét sự đồng tình về kế hoạch, PM sẽ dự kiến thời hạn mục tiêu (TTD) để hoàn thành SSR. Trong việc thiết lập TTD, PM cũng sẽ cân nhắc các nguồn lực sẵn có và các cam kết khác của dự án. TTD sẽ nhanh chóng thông báo tới những khách hàng đã yêu cầu. 5. Nếu ước tính dự án vượt quá bốn mươi giờ, SSR và bất kỳ tài liệu bổ sung nào của dự án sẽ được chuyển đến ISSC để xem xét, xác định mức độ ưu tiên và ủy quyền tiến hành. Hội đồng sẽ xác định liệu các sự thay đổi được yêu cầu sẽ được lên lịch thực hiện ngay lập tức, được lên kế hoạch thực hiện trong tương lai hay bị từ chối. Nếu yêu cầu bị từ chối, yêu cầu sẽ ngay lập tức được trả lại cho khách hàng, cùng với lời giải thích về (các) lý do từ chối. Nếu nó được chấp thuận để triển khai, một chỉ định ưu
tiên sẽ được thực hiện và SSR được trả lại cho AD để biết lịch trình thực hiện. Sau khi nhận được ủy quyền triển khai, thiết kế chi tiết nên được khách hàng xem xét lại. Sau khi nhận được sự nhất trí về thiết kế, Thủ tướng sẽ chiếu một TTD để hoàn thành dự án. Trong việc thiết lập một TTD, PM sẽ xem xét các nguồn lực sẵn có và các cam kết khác của dự án. Bộ phận TTD sẽ nhanh chóng thông tin cho khách hàng. 6. PM sẽ phối hợp với nhân viên AD, nhân viên quản lý và nhân viên CNTT khác (chẳng hạn như Quản trị cơ sở dữ liệu, Dịch vụ hỗ trợ người dùng, Quản trị mạng, v.v.) các nguồn lực của họ sẽ được yêu cầu để đáp ứng đề nghị này, hoặc liệu sẽ có một tác động về mặt vận hành hoặc quy trình trong các lĩnh vực khác . 7. PM sẽ liên hệ với khách hàng để thảo luận chi tiết về (các) bài kiểm tra sẽ được tiến hành. 8. Khi Kiểm tra nghiệm thu (AT) đã được hoàn thành và khách hàng đã xác minh tính chính xác của kết quả thu được, khách hàng sẽ cho biết sự chấp thuận của họ để đưa dự án vào sản xuất bằng cách ký SSR. 9. Nhóm Kiểm soát Sản xuất (PCG) sẽ đưa dự án vào trạng thái hoạt động. PM sẽ hoàn thành phần dưới cùng của SSR, ghi lại rằng dự án đã được đưa vào sản xuất. PM sẽ ghi lại trạng thái của yêu cầu là “đã hoàn thành” và gửi một bản sao của SSR. PM sẽ nhanh chóng thông báo cho khách hàng rằng dự án đã hoàn thành và đi vào sản xuất. Lưu giữ Biểu mẫu và Tài liệu Tất cả tài liệu liên quan đến việc xử lý mỗi SSR sẽ được lưu giữ trong ít nhất mười hai tháng. Hình 1.3 Mẫu thủ tục quản lý thay đổi ứng dụng. III. CÁC YẾU TỐ THEN CHỐT CỦA CHÍNH SÁCH Để đáp ứng được nhu cầu của tổ chức, một chính sách tốt nên: ◾Dễ dàng để có thể hiểu được. Điều quan trọng là các tài liệu được trình bày phải đáp ứng được những yêu cầu của đối tượng dự kiến. Thông thường, những chính sách, tiêu chuẩn và thủ tục được biên soạn bởi những chuyên gia về chủ đề và gửi đến một đối tượng chung để sử dụng. Tài liệu thường được viết ở trình độ cao đẳng hoặc kỹ thuật trong khi trình độ đọc hiểu trung bình của các đối tượng ở nơi làm việc nằm trong phạm vi một học sinh lớp sáu (12 tuổi).
◾Được áp dụng. Khi tạo chính sách, người viết có thể nghiên cứu thêm ở các tổ chức khác và sao chép nguyên văn tài liệu. Điều này có vẻ thiết thực; tuy nhiên, Điều quan trọng là phải đảm bảo rằng dù thế nào đi chăng nữa thì người viết vẫn có thể đáp ứng được nhu cầu cụ thể của tổ chức bạn. ◾Được triển khai. Liệu tổ chức và những nhân viên của họ vẫn có thể đạt được các mục tiêu kinh doanh nếu chính sách này được thực thi? Thông thường, các tổ chức thực thi các chính sách nhằm trả lời những ý kiến đánh giá. Vấn đề khi thực hiện điều này chính là chính sách có thể quá hạn chế đến mức cản trở khả năng thực hiện công việc kinh doanh hoặc sứ mệnh của tổ chức. ◾Được thực thi. Tránh việc viết nên một chính sách tự huỷ hoại chính mình. “Chỉ sử dụng điện thoại di động do công ty cung cấp dành cho các cuộc gọi về công việc”. Đối với hầu hết các tổ chức, trên thực tế đây có thể là chính sách, tuy nhiên hầu hết mọi điện thoại trong cơ sở đều được sử dụng hằng ngày cho các cuộc gọi cá nhân. Một chính sách tốt hơn sẽ là một chính sách có dạng, “Điện thoại do công ty cung cấp chỉ được sử dụng khi có sự phê duyệt của ban quản lý”. ◾Được thực hiện tuần tự. Điều này rất cần thiết để tổ chức có thể xem xét và sắp xếp chính sách trước khi nó có hiệu lực. Nhiều tổ chức công bố một chính sách và sau đó yêu cầu các đơn vị kinh doanh cung cấp bản tuân thủ kế hoạch trong một khoảng thời gian cụ thể sau khi công bố. Điều này giúp các nhà quản lý đơn vị kinh doanh có một khoảng thời gian để xem xét chính sách, tìm ra các điểm thiếu hụt của tổ chức, sau đó trình
bày một thời gian biểu để tuân thủ. Các thư tuân thủ này thường được lưu trữ trong hồ sơ và được cung cấp cho các nhân viên kiểm toán. ◾Được chủ động. Hãy nêu rõ những việc phải làm, đừng quá sa đà vào việc đưa ra những tuyên bố rằng: “Không được làm điều này!” cố gắng nêu rõ những gì có thể làm được và đâu là những mong đợi từ nhân viên. ◾Tránh tuyệt đối. Có khả năng ngoại giao và hiểu cách nói đúng đắn về mặt chính trị. Khi thảo luận về các biện pháp trừng phạt đối với hành vi không tuân thủ, một số tổ chức đã tuyên bố, “Nhân viên vi phạm chính sách này sẽ phải chịu các hình thức kỷ luật và bao gồm cả việc sa thải mà không cần cảnh cáo”. Đối với những chính sách có nội dung như “Nhân viên không tuân thủ với chính sách này sẽ bị coi là vi phạm Tiêu chuẩn Ứng xử của nhân viên”. Các tiêu chuẩn ứng xử quy định rằng nhân viên sẽ phải chịu các hình thức kỷ luật bao gồm cả sa thải. Nếu có thể, hãy sử dụng cách tiếp cận tử tế hơn, nhẹ nhàng hơn. ◾Đáp ứng các mục tiêu kinh doanh. Các chuyên viên về bảo mật phải nhận thức rằng các biện pháp kiểm soát phải giúp tổ chức đạt được mức rủi ro có thể chấp nhận được. 100% bảo mật là 0% năng suất. Bất cứ khi nào các biện pháp kiểm soát hoặc chính sách làm ảnh hưởng đến các mục tiêu và sứ mệnh kinh doanh hoặc ảnh hưởng đến tổ chức, khi đó các biện pháp kiểm soát và chính sách sẽ mất đi. Phải hiểu rằng chính sách tồn tại để hỗ trợ doanh nghiệp chứ không phải ngược lại. IV. ĐỊNH DẠNG CHÍNH SÁCH
Định dạng (bố cục) thực tế của chính sách sẽ phụ thuộc vào hình thức của chính sách như trong tổ chức của bạn. Điều quan trọng là bất kỳ chính sách nào được phát triển phải giống với các chính sách được công bố từ tổ chức để thành công. Hãy tìm ra ai là người chịu trách nhiệm về các chính sách trong tổ chức của bạn và xem liệu họ có biểu mẫu sẵn hay không. Những thành viên của hội đồng đánh giá sẽ không thể chấp nhận việc đọc và đánh giá những chính sách mới nếu như nó không giống như một chính sách thực sự. Những chính sách nhìn chung ngắn gọn hơn so với những thủ tục và thường bao gồm chữ trong một tờ văn bản sử dụng hai mặt của tờ giấy. Trong các lớp học của mình, tôi nhấn mạnh khái niệm về sự ngắn gọn. Tuy nhiên, điều quan trọng khi tạo nên một chính sách là phải cân bằng giữa sự ngắn gọn và rõ ràng. Lấy tất cả các từ bạn cần để hoàn thành suy nghĩ, nhưng hãy chống lại sự thôi thúc muốn bổ sung thêm thông tin. Nhiều năm trước, có một linh mục trẻ đến thăm giáo xứ của chúng tôi và bài giảng của ông là một cuộc thảo luận về khái niệm in chìm. Khái niệm này thường được đề cập trong lớp Tâm lý học cơ bản 101 và nó là
một hành vi xã hội ban đầu giữa những con chim, là một quá trình làm cho những con chim mới nở trở nên gắn bó một cách nhanh chóng và mạnh mẽ với các đối tượng xã hội như cha mẹ hoặc người thay thế cha mẹ của chúng. Mặc dù một số giáo dân hiểu ông đang nói về điều gì, nhưng phần lớn chỉ ngây người nhìn ông ấy. Vì vậy, người linh mục tiếp tục giải thích rồi lại giải thích cho đến khi bài giảng của ông ấy kéo dài khoảng 45 phút. Khi viết một chính sách, hãy cân bằng giữa khoảng thời gian giới hạn với những gì cần được giải quyết. Giữ cho nó ngắn gọn, nhưng vẫn có thể hiểu được. Có ba loại chính sách mà bạn sẽ sử dụng mỗi loại vào những thời điểm khác nhau trong chương trình bảo mật thông tin của bạn và trong toàn bộ tổ chức để hỗ trợ quá trình kinh doanh hay sứ mệnh. Ba loại chính sách đó là: 1. Chính sách Toàn cầu (cấp 1) chúng được sử dụng để tạo ra tầm nhìn tổng quát và định hướng chung của tổ chức 2. Chủ đề cụ thể (cấp 2) chúng đề cập đến các chủ đề cụ thể cần quan tâm. Trong trường hợp chính sách đặc trưng cấp 1 có thể đề cập đến
“Truyền thông doanh nghiệp”, thì các chính sách hỗ trợ cấp 2 có thể giải quyết các yêu cầu liên lạc khi sử dụng email, mạng xã hội, thư thoại và các phương thức khác. 3. Ứng dụng cụ thể (bậc 3) tập trung vào các quyết định do ban quản lý đưa ra để kiểm soát các ứng dụng cụ thể (báo cáo tài chính, bảng lương,...) hoặc hệ thống (hệ thống lập ngân sách) 1. Chính sách Toàn cầu (cấp 1) Theo Tiêu chuẩn “chăm sóc thích đáng”, và chịu trách nhiệm cuối cùng trong việc đáp ứng các mục tiêu kinh doanh hoặc yêu cầu của nhiệm vụ, nhà quản lý cấp cao phải đảm bảo rằng các nguồn lực cần thiết được sử dụng hiệu quả để phát triển khả năng đáp ứng các yêu cầu nhiệm vụ. Họ phải kết hợp các kết quả của quá trình phân tích rủi ro vào quá trình ra quyết định. Nhà quản lý cấp cao cũng chịu trách nhiệm ban hành các chính sách toàn cầu để thiết lập định hướng của tổ chức trong việc bảo vệ tài sản thông tin. Một chính sách bảo mật thông tin sẽ xác định được mục đích của ban quản lý và cơ quan tài trợ của nó đối với việc bảo vệ tài sản thông tin của tổ chức. Nó sẽ bao gồm phạm vi của chương trình, nghĩa là nơi mà nó sẽ tiếp cận ở đâu và những thông tin nào được đưa vào chính sách này. Cuối cùng, chính sách sẽ xác định ai là người chịu trách nhiệm và chịu trách nhiệm về những gì. Các thành phần của Chính sách toàn cầu (Cấp 1) thường bao gồm bốn đặc điểm sau. Chủ đề
Phần chủ đề của chính sách xác định cụ thể những gì mà chính sách sẽ giải quyết. Bởi vì khả năng chú ý của người đọc bị hạn chế, chủ đề phải xuất hiện nhanh chóng, có thể trong phần mở đầu hoặc câu chủ đề. Tôi thường đề nghị (lưu ý rằng đó là một hướng dẫn, không phải là một tiêu chuẩn) rằng câu chủ đề cũng bao gồm một “điểm níu chân độc giả”, đó là lý do tôi với tư cách là một độc giả, nên tiếp tục đọc chính sách này. Vì vậy, trong câu mở đầu, chúng tôi muốn truyền tải hai yếu tố quan trọng: (1) chủ đề (nó nên liên quan gì đến tiêu đề của chính sách), và (2) câu kết (tại sao người đọc nên tiếp tục đọc chính sách). Một câu mở đầu chủ đề có thể được đọc như sau: “Thông tin cái mà được tạo ra khi làm việc cho công ty, chính là tài sản của công ty và tất cả nhân viên phải bảo vệ nó đúng cách.” Phạm vi Phạm vi có thể được sử dụng để mở rộng hoặc thu hẹp chủ đề hay đối tượng, hoặc cả hai. Trong một tuyên bố về chính sách bảo mật thông tin, chúng tôi có thể nói “thông tin là tài sản và là thuộc sở hữu của Công ty, tất cả nhân viên có trách nhiệm bảo vệ tài sản đó”. Trong câu này, chúng tôi đã mở rộng đối tượng để bao gồm tất cả nhân viên. Chúng ta cũng có thể nói “Thông tin kinh doanh là tài sản thiết yếu của Công ty. Điều này đúng với tất cả thông tin kinh doanh trong Công ty bất kể thông tin đó được tạo ra, phân phối hoặc lưu trữ như thế nào và bất kể nó được đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay giọng nói. ” Ở đây, người viết đã mở rộng chủ đề để bao gồm tất cả các loại tài sản thông tin.
Một ví dụ khác về việc mở rộng phạm vi như sau: “Thông tin của Công ty, các công ty con và chi nhánh của Công ty ở dạng điện tử, dù được truyền đi hay lưu trữ, đều là tài sản quan trọng của Công ty và phải được bảo vệ theo độ nhạy cảm, quan trọng, và giá trị. ” Ở đây, chủ đề “chủ đề” được thu hẹp thành “hình thức điện tử”. Tuy nhiên, đối tượng được mở rộng bao gồm “các công ty con và chi nhánh”. Chúng ta cũng có thể sử dụng khái niệm phạm vi để thu hẹp chủ đề hoặc đối tượng. Trong chính sách Thỏa thuận việc làm, đối tượng được giới hạn trong một nhóm cụ thể như sau: ❖ Các bên tham gia ký thỏa thuận ngày (đặc tả) là (tên công ty), một (chỉ định nhà nước và loại công ty) (“công ty”) và (tên nhân viên) (“điều hành”). ❖ Công ty muốn tuyển dụng Người điều hành, và Người điều hành chấp nhận làm việc với Công ty, theo các điều khoản và điều kiện được quy định trong Thỏa thuận này. Do đó, nó được thống nhất như sau: Ở đây, chính sách chỉ được giới hạn cho các Giám đốc điều hành và sau đó sẽ tiếp tục thảo luận về những gì có thể và không thể thực hiện bởi các Giám đốc điều hành. Trách nhiệm Thông thường, phần này của chính sách sẽ xác định ai là người chịu trách nhiệm và chịu trách nhiệm về những gì. Khi viết, tốt hơn nên xác định “ai” theo chức danh chứ không phải tên. “Hướng dẫn Tham khảo của Quản trị viên Văn phòng” có thể hỗ trợ đắc lực bằng cách xác định cách
các cấp quản lý nhất định được đề cập đến trong giao tiếp. Chính sách muốn xác định những gì được mong đợi từ mỗi bên liên quan. Tuân thủ hay Hậu quả Khi các đơn vị kinh doanh hoặc nhân viên bị phát hiện ở trong tình trạng không tuân thủ, chính sách phải nêu rõ hậu quả của những hành động này. Đối với các đơn vị hoặc bộ phận kinh doanh, nếu bị phát hiện là không tuân thủ, họ thường là đối tượng của một hạng mục đánh giá và sẽ phải chuẩn bị một sự phản ứng tuân thủ chính thức. Đối với một nhân viên, việc bị phát hiện không tuân thủ chính sách của công ty có nghĩa là họ đang vi phạm “Tiêu chuẩn Ứng xử của Nhân viên” của tổ chức và sẽ phải chịu những hậu quả được mô tả trong “Chính sách Kỷ luật Nhân viên”. 2. Chính sách theo chủ đề cụ thể (Cấp 2) Trong trường hợp Chính sách toàn cầu (cấp 1) giải quyết các vấn đề rộng lớn của toàn tổ chức, thì Chính sách theo chủ đề cụ thể được phát triển để tập trung vào các lĩnh vực hiện tại có liên quan và mối quan tâm đối với tổ chức. Để hỗ trợ “Chính sách truyền thông của công ty” cấp 1, ban quản trị có thể thấy thích hợp khi ban hành chính sách về cách một tổ chức tiếp cận việc sử dụng phương tiện truyền thông xã hội hoặc sử dụng hệ thống email do công ty cung cấp. Các chính sách cụ thể theo chủ đề cũng có thể phù hợp khi các vấn đề mới phát sinh, chẳng hạn như việc thực hiện luật mới được ban hành gần đây yêu cầu bảo vệ thông tin cụ thể (GLBA, HIPAA,...). Chính sách toàn cầu (cấp 1) thường đủ rộng để không phải sửa đổi theo thời gian, trong khi Chính sách theo chủ đề cụ thể
(cấp 2) có khả năng cần phải sửa đổi thường xuyên hơn khi những thay đổi trong công nghệ và các yếu tố khác quyết định. Các chính sách theo chủ đề cụ thể sẽ được một tổ chức tạo ra một cách thường xuyên nhất. Chúng ta sẽ xem xét các yếu tố chính của chính sách theo chủ đề cụ thể. Khi tạo tài liệu "Tiêu chuẩn và Chính sách Bảo mật thông tin", thông thường mỗi phần trong tài liệu sẽ bắt đầu bằng một chính sách dành riêng cho chủ đề. Chính sách dành riêng cho chủ đề sẽ thu hẹp trọng tâm vào một vấn đề tại một thời điểm. Điều này sẽ cho phép người viết tập trung vào một lĩnh vực và sau đó phát triển một bộ tiêu chuẩn để hỗ trợ chủ đề cụ thể này. Trong trường hợp các chính sách cấp 1 được Ban chỉ đạo An toàn thông tin phê duyệt, các chính sách cấp 2 (chủ đề cụ thể) có thể được ban hành bởi một nhà quản lý cấp cao hoặc giám đốc. Cũng như các chính sách cấp 1, các chính sách cấp 2 sẽ giải quyết quan điểm của ban quản lý trong các vấn đề liên quan. Cần phải phỏng vấn ban giám đốc để xác định mối quan tâm của họ là gì và họ mong muốn điều gì. Người viết sẽ lấy thông tin này và kết hợp thành cấu trúc sau. Tuyên bố luận văn Điều này tương tự như phần “Chủ đề” được thảo luận trong các chính sách cấp 1, nhưng nó cũng bổ sung thêm thông tin để hỗ trợ các nhiệm vụ, mục tiêu của chính sách và chỉ thị của ban quản lý. Phần này sẽ được sử dụng để thảo luận về vấn đề trong các điều khoản có liên quan và những điều kiện nào bao gồm những gì. Nếu thích hợp, có thể có ích khi chỉ định mục tiêu hoặc biện hộ cho chính sách. Điều này có thể hữu ích khi đạt được lợi ích cùng sự tuân thủ chính sách.
Khi phát triển tài liệu “Tiêu chuẩn làm làm việc”, một chính sách theo chủ đề cụ thể về phần mềm thích hợp, với các tiêu chuẩn hỗ trợ, có thể bao gồm thảo luận về phần mềm “Được công ty phê duyệt”. Chính sách này sẽ xác định ý nghĩa của phần mềm được công ty phê duyệt, có thể là “bất kỳ phần mềm nào được tổ chức phê duyệt, mua, sàng lọc, quản lý và sở hữu”. Chính sách cũng sẽ thảo luận về các điều kiện cần thiết để phần mềm được phê duyệt. Sau khi các điều khoản và điều kiện đã được thảo luận, phần còn lại của phần này sẽ được sử dụng cho quan điểm của quản lý nhà nước trong vấn đề này. Sự liên quan Chính sách cấp 2 cũng cần xác định đối tượng áp dụng chính sách. Ngoài đối tượng, chính sách sẽ muốn làm rõ nó được áp dụng ở đâu, như thế nào và khi nào. Có phải chính sách chỉ được thực thi khi nhân viên ở trong phạm vi cơ sở làm việc hay sẽ mở rộng sang các hoạt động bên ngoài cơ sở? Cần phải xác định càng nhiều điều kiện và điều khoản càng tốt. Trách nhiệm Việc phân công vai trò và trách nhiệm cũng được bao gồm trong các chính sách cấp 2. Ví dụ, chính sách về phần mềm được công ty phê duyệt sẽ phải xác định quy trình để phần mềm được chấp thuận. Điều này sẽ bao gồm cơ quan (theo chức danh) được ủy quyền cấp phê duyệt và tham chiếu đến nơi quy trình này được lập thành văn bản.
Đây là thời điểm tốt để thảo luận về những sai lệch từ các yêu cầu chính sách. Tôi đã thiết lập một tiêu chuẩn cá nhân, trong đó tôi không bao giờ thảo luận về cách một thực thể có thể được miễn khỏi các điều khoản từ chính sách. Tôi không muốn tuyên bố rằng “đây là chính sách và tất cả nhân viên phải tuân thủ” ngoại trừ người nào đó trong số các bạn có thể tìm cách giải quyết chính sách. Hầu hết các tổ chức đều có một quy trình để đạt được sự sai lệch được chấp nhận từ chính sách hoặc tiêu chuẩn. Điều này thường yêu cầu người khởi kiện đệ trình một trường hợp kinh doanh sai lệch cùng với các biện pháp kiểm soát thay thế đủ đáp ứng tinh thần của chính sách. Nếu một tổ chức hoặc cá nhân nào đó muốn có sự sai lệch từ chính sách, hãy để họ tìm hiểu quy trình là gì. Sự tuân thủ Đối với chính sách cấp 2, có thể thích hợp để mô tả chi tiết một số hành vi vi phạm không thể chấp nhận được và hậu quả của nó. Các hình phạt có thể được nêu rõ ràng và phải phù hợp với Chính sách Kỷ luật Nhân viên cấp 1. Hãy nhớ rằng, khi một nhân viên bị phát hiện trong tình huống không tuân thủ, chính Ban Quản lý và Nhân sự phải chịu trách nhiệm kỷ luật cá nhân đó. Thông tin bổ sung Đối với bất kỳ chính sách cấp 2 nào, cần chỉ ra các cá nhân thích hợp trong tổ chức cần liên hệ để có thêm thông tin, sự hướng dẫn và tuân thủ. Thông thường, thông tin liên hệ sẽ được chỉ định theo chức danh công việc, không theo tên cá nhân. Cũng phải thận trọng khi xác định ai là chủ sở hữu của chính sách này. Thông tin này sẽ cung cấp cho người đọc thông tin thích hợp nếu họ có đề xuất về cách cải thiện chính sách.
Để có hiệu quả, một chính sách đòi hỏi khả năng hiển thị. Khả năng hiển thị hỗ trợ việc thực hiện chính sách bằng cách giúp đảm bảo rằng nó được truyền đạt đầy đủ trong toàn bộ tổ chức. Các bài thuyết trình, video, thảo luận của ban quản lý, diễn giả khách mời, diễn đàn hỏi và đáp và bản tin sẽ tăng khả năng hiển thị. Chương trình nâng cao nhận thức về bảo mật thông tin của tổ chức có thể thông báo một cách hiệu quả cho người dùng về các chính sách mới thông qua blog bảo mật hoặc tài khoản mạng xã hội. Chương trình Định hướng Nhân viên Mới cũng có thể được sử dụng để giúp nhân viên mới làm quen với các chính sách của tổ chức. Khi đưa ra các chính sách, điều quan trọng là phải đảm bảo sự hỗ trợ rõ ràng của cấp quản, đặc biệt là trong các lĩnh vực mà nhân viên cảm thấy “bị ngập” trong các chỉ thị, quy định hoặc các yêu cầu khác. Các chính sách của tổ chức là phương tiện được sử dụng để nhấn mạnh cam kết của ban quản lý đối với các biện pháp kiểm soát nội bộ hiệu quả và những kỳ vọng của họ đối với sự hỗ trợ và tuân thủ của nhân viên. 3. Chính sách ứng dụng cụ thể (Bậc 3) Các chính sách cấp toàn cầu (cấp 1) và theo chủ đề cụ thể (cấp 2) đề cập đến chính sách ở cấp độ rộng, chúng thường bao gồm toàn bộ doanh nghiệp. Chính sách ứng dụng cụ thể (bậc 3) tập trung vào một hệ thống hoặc ứng dụng cụ thể. Khi việc xây dựng cấu trúc an toàn thông tin của tổ chức hình thành, yếu tố cuối cùng sẽ là bản dịch các chính sách cấp 1 và cấp 2 xuống cấp ứng dụng và hệ thống (cấp 3). Nhiều quyết định về vấn đề bảo mật chỉ áp dụng ở cấp ứng dụng hoặc hệ thống. Một số ví dụ về những vấn đề này bao gồm ◾ Ai có quyền đọc hoặc sửa đổi dữ liệu?