intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Báo cáo dịch sách: Chính sách bảo mật thông tin – góc nhìn của chuyên viên

Chia sẻ: | Ngày: | Loại File: DOCX | Số trang:38

71
lượt xem
11
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Báo cáo dịch sách: Chính sách bảo mật thông tin – góc nhìn của chuyên viên giới thiệu đến các bạn về Chính sách là nền tảng; các yếu tố then chốt của chính sách; định dạng chính sách; chính sách bảo mật thông tin: góc nhìn của chuyên viên. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Báo cáo dịch sách: Chính sách bảo mật thông tin – góc nhìn của chuyên viên

  1. TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HỒ CHÍ MINH ­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­­ BÁO CÁO DỊCH SÁCH CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH CHƯƠNG 14: CHÍNH SÁCH BẢO MẬT THÔNG TIN – GÓC NHÌN  CỦA CHUYÊN VIÊN GVHD               : Đặng Hoàng Huy Môn học            : Mạng máy tính và truyền thông Lớp                    : ITS709_211_D06 Nhóm thực hiện : Nhóm 4 Thành viên         : Nguyễn Thị Phương                      Trần Thảo Quyên                       Nguyễn Sinh Tài                       Ngô Thành Phát                       Lê Thanh Sơn
  2. TP. Hồ Chí Minh, tháng 12 năm 2021 MỤC LỤC CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH
  3. CHƯƠNG 1: PHÁT TRIỂN CHÍNH SÁCH I. CHÍNH SÁCH LÀ NỀN TẢNG Nền tảng của một cấu trúc bảo mật thông tin hiệu quả là một tuyên  bố chính sách được biên soạn kỹ lưỡng. Đây là nguồn mà từ đó tất cả các  chỉ  thị, tiêu chuẩn, thủ  tục, hướng dẫn và các tài liệu hỗ  trợ  khác sẽ  có   hiệu lực. Đối với bất kỳ cơ sở nào, điều quan trọng là phải thiết lập một   nền tảng vững chắc. Như điều sẽ được thảo luận sau đây, một chính sách  thực hiện hai vai trò: bên trong và bên ngoài. Những dữ  liệu nội bộ  cho nhân viên biết họ  mong đợi điều gì và   hành động của họ  sẽ  được đánh giá như  thế  nào. Còn phần thông tin bên  ngoài cho thế  giới biết doanh nghiệp thấy trách nhiệm của mình như  thế  nào. Mọi tổ  chức phải có các chính sách hỗ  trợ  các phương thức kinh  doanh hợp lý và họ sẽ chứng minh cho thế giới thấy rằng việc bảo vệ tài  sản là điều cần thiết để thực hiện thành công sứ mệnh của mình. Trong bất kỳ cuộc thảo luận nào liên quan đến các yêu cầu bằng văn  bản, chính sách thuật ngữ mang rất nhiều ý nghĩa khác nhau. Đối với một  số  người, chính sách là chỉ  thị  của quản lý cấp cao về  cách một chương  trình nhất định sẽ  được chạy, tính khách quan và mục tiêu của nó là gì,  trách nhiệm sẽ được giao cho ai. Thuật ngữ chính sách có thể đề  cập đến  các quy tắc bảo mật cụ thể cho một hệ thống cụ thể như bộ quy t ắc Cơ  sở  kiểm soát truy cập 2 (ACF2), giấy phép Cơ  sở  kiểm soát truy cập tài 
  4. nguyên (RACF) hoặc chính sách hệ  thống phát hiện xâm nhập. Ngoài ra,   chính sách có thể đề cập đến các vấn đề  hoàn toàn khác nhau, chẳng hạn   như các quyết định quản lý cụ thể thiết lập chính sách bảo mật e­mail của   tổ chức hoặc chính sách sử dụng Internet hay mạng xã hội. II. ĐỊNH NGHĨA 1. Chính sách Chính sách là một tuyên bố  cấp cao về  niềm tin, mục tiêu và tính   khách quan của doanh nghiệp, và là phương tiện chung để  họ  đạt được  một lĩnh vực hay chủ đề cụ thể. Khi chúng tôi nghe các cuộc thảo luận về  hệ  thống phát hiện xâm nhập giám sát việc tuân thủ  các chính sách của  công ty, điều này không phải là các chính sách mà chúng tôi đang thảo luận   ở  đây. Hệ  thống phát hiện xâm nhập thực sự  là các tiêu chuẩn giám sát  (điều này chúng ta sẽ  thảo luận chi tiết hơn  ở phần sau), các bộ  quy tắc   hoặc proxy. Chúng tôi sẽ tạo các chính sách giống như  chính sách về bảo  mật thông tin được trình bày trong Hình 1.1. Phần sau của chương này,   chúng ta sẽ xem xét một số chính sách bảo mật thông tin và phê bình chúng  dựa trên một mẫu chính sách đã được thiết lập. 2. Những tiêu chuẩn Tiêu chuẩn là các yêu cầu bắt buộc hỗ  trợ  các chính sách riêng lẻ.   Các tiêu chuẩn có thể bao gồm từ phần mềm hoặc phần cứng nào có thể  được sử dụng, giao thức truy cập từ xa sẽ được triển khai đến người chịu  trách nhiệm phê duyệt nội dung. Khi xây dựng chính sách an toàn thông tin,   thiết lập một bộ  tiêu chuẩn hỗ  trợ  là điều vô cùng cần thiết. Hình 1.2 là 
  5. một ví dụ  về  những tiêu chuẩn cho một chủ  đề  cụ  thể  có thể  trông như  thế nào. Hình 1.1 Mẫu chính sách bảo mật thông tin.                                     Chính sách bảo mật thông tin Thông tin kinh doanh là tài sản thiết yếu của công ty. Điều này đúng với tất cả các thông tin   kinh doanh trong công ty bất kể thông tin đó được tạo ra, phân phối hoặc lưu trữ như thế  nào và liệu nó được đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay nói. Tất cả  nhân viên có trách nhiệm bảo vệ  thông tin công ty khỏi bị  truy cập, sửa đổi, sao  chép, phá hủy hoặc tiết lộ trái phép, dù là vô tình hay cố ý. Trách nhiệm này là cần thiết đối   với hoạt động kinh doanh của công ty. Khi thông tin không được bảo vệ tốt, công ty có thể  bị tổn hại theo nhiều cách khác nhau như mất thị phần đáng kể và danh tiếng bị tổn hại. Chi tiết về trách nhiệm của mỗi nhân viên trong việc bảo vệ thông tin công ty được ghi lại   trong  Sổ  tay Tiêu chuẩn  và  Chính sách Bảo vệ  Thông tin. Ban Giám đốc có trách nhiệm  đảm bảo rằng tất cả nhân viên đều hiểu và tuân thủ các chính sách và tiêu chuẩn này. Ban  Giám đốc cũng có trách nhiệm lưu ý những điểm khác biệt so với các thực tiễn bảo mật đã  thiết lập và bắt đầu các hành động khắc phục. Kiểm toán viên nội bộ  sẽ  thực hiện đánh giá định kỳ  để  đảm bảo việc tuân thủ  liên tục   chính sách bảo vệ thông tin của Công ty. Các trường hợp vi phạm chính sách này sẽ được   giải quyết theo quy định trong Hướng dẫn Chính sách Nguồn nhân lực dành cho quản lý.                                    Quản lý/Trưởng nhóm hệ thống thông tin Người quản lý chịu trách nhiệm về Hệ thống thông tin phải thực hiện tất cả các bổn phận   phù hợp với tư cách là người quản lý cho khu vực mà họ chịu trách nhiệm.  Ngoài ra, họ sẽ  đóng vai trò là người giám sát của thông tin được sử dụng bởi các hệ thống đó  nhưng thuộc  quyền sở  hữu của những người quản lý khác.  Người quản lý chịu trách nhiệm về  Hệ  thống thông tin phải thực hiện tất cả các bổn phận phù hợp với tư  cách là người quản lý  cho khu vực mà họ chịu trách nhiệm. Tất cả các nhà quản lý, giám sát, giám đốc, những người ở cấp quản lý khác cũng có vai trò   cố vấn và hỗ trợ cho các nhà quản lý IS và những người không quản lý IS về mặt: ◾ Xác định và đánh giá các mối đe dọa ◾ Xác định và thực hiện các biện pháp bảo vệ (bao gồm cả việc tuân thủ các thông lệ này) ◾ Duy trì mức độ nhận thức an ninh thỏa đáng ◾ Giám sát hoạt động thích hợp của các biện pháp an ninh trong đơn vị ◾ Điều tra điểm yếu và các sự cố
  6. ◾ Đưa ra bất kỳ vấn đề hoặc tình huống mới nào mà họ nhận thức được thông qua vai trò   chuyên gia của mình ◾ Phối hợp với kiểm toán nội bộ và bên ngoài Hình 1.2 Ví dụ về các tiêu chuẩn.                      3. Thủ tục Thủ  tục là những hành động bắt buộc,   theo từng bước,  chi tiết về  các hoạt động cần thiết để hoàn thành xuất sắc nhiệm vụ. Thủ tục có thể  rất chi tiết. Gần đây, tôi đang xem xét thay đổi các quy trình quản lý và   nhận thấy một quy trình bao gồm 42 trang thông tin chính xác. Chúng được  biên soạn rất kỹ lưỡng và là những gì cần thiết để đảm bảo rằng quy trình   có thể được tuân thủ (Hình 1.3). 4. Hướng dẫn Hướng dẫn là những tài liệu tham khảo được lập thành văn bản để  thực hiện thường xuyên và nhất quán các hoạt động đã được chấp nhận.  Chúng thường có ít quyền thực thi hơn. Một ví dụ thường ngày về sự khác  biệt giữa tiêu chuẩn và hướng dẫn sẽ là biển báo “Dừng lại” và biển báo   “Vui lòng không giẫm lên cỏ”.                                           Thủ tục Quản lý Thay đổi Ứng dụng Tổng quan Hệ thống Yêu cầu Dịch vụ (SSR) được sử dụng để bắt đầu và ghi lại tất cả các hoạt động  
  7. lập trình. Nó được sử dụng để  thông báo nhu cầu của khách hàng với nhân viên Phát triển   Ứng dụng (AD). Một SSR có thể được khởi xướng và chuẩn bị bởi khách hàng, thành viên   của nhân viên AD, hoặc bất kỳ cá nhân nào khác đã xác định được nhu cầu hoặc yêu cầu,  vấn đề  hoặc cải tiến của  ứng dụng. Không có nhiệm vụ nào có thể  hoàn thành mà không  có SSR. Hệ thống Yêu cầu Dịch vụ Tổng quan  Biểu mẫu này nêu rõ các kết quả  mong muốn đạt được, được khách hàng hoàn thành và  gửi cùng với tài liệu hỗ  trợ  tới AD. Yêu cầu có thể  bao gồm việc xác định một vấn đề  hoặc tài liệu của một yêu cầu mới. Khách hàng được khuyến khích gửi yêu cầu của họ  một cách đầy đủ  chi tiết để  dễ  dàng cho trưởng dự án AD ước tính chính xác nỗ  lực cần   thiết để đáp ứng yêu cầu, nhưng có thể  cần thiết để  trưởng dự án liên hệ  với khách hàng  và có được thông tin bổ sung. Thông tin này phải được đính kèm với một bản sao của SSR. Sau khi các chương trình yêu cầu đã được hoàn thành, các cuộc kiểm tra nghiệm thu đã thỏa  thuận sẽ được tiến hành. Sau khi khách hàng xác nhận rằng yêu cầu đã được đáp ứng, họ  sẽ  phê duyệt  trên SSR. Biểu mẫu này cũng sẽ  được sử  dụng để  ghi lại rằng dự  án hoàn   thành đã được đưa vào trạng thái sản xuất. Quá trình  Phần này mô tả việc xử lý một SSR:  1. Khách hàng bắt đầu quá trình bằng cách hoàn thành SSR và chuyển tiếp nó đến Người   quản lý dự án (PM) hoặc Giám đốc phát triển ứng dụng (AD) thích hợp.  2. SSR được nhận trong bộ phận AD. Bất kể ai trong AD thực sự nhận được SSR, nó phải   được chuyển đến PM thích hợp.  3. Nếu PM thấy mô tả các yêu cầu trên SSR không đầy đủ hoặc không rõ ràng, PM sẽ liên   hệ trực tiếp với khách hàng để làm rõ. Khi PM hiểu đầy đủ các yêu cầu, họ sẽ chuẩn bị một bản phân tích và ước tính về nỗ lực   cần thiết để  đáp  ứng yêu cầu. Trong một số  trường hợp, PM có thể  cảm thấy rằng việc   đáp  ứng yêu cầu là không thể  hoặc phi thực tế. Vì thế  trong trường hợp này, họ  sẽ  thảo  luận với khách hàng lý do tại sao yêu cầu không được thực hiện. Và nếu khách hàng xác   nhận lại yêu cầu, PM và Giám đốc của AD sẽ cùng xác định xem có nên khiếu nại quyết   định của khách hàng lên Ban chỉ  đạo Hệ  thống Thông tin để  đưa ra phán quyết cuối cùng   về SSR hay không.  4. Nếu ước tính  của dự án là bốn mươi giờ hoặc ít hơn, những chi tiết của thiết kế cần   được xem xét với khách hàng. Sau khi xem xét sự  đồng tình về kế  hoạch, PM sẽ dự kiến   thời hạn mục tiêu  (TTD) để  hoàn thành SSR. Trong việc thiết lập TTD, PM cũng sẽ  cân   nhắc các nguồn lực sẵn có và các cam kết khác của dự án.  TTD sẽ nhanh chóng thông báo  tới những khách hàng đã yêu cầu.  5. Nếu ước tính dự án vượt quá bốn mươi giờ, SSR và bất kỳ tài liệu bổ sung nào của dự  án sẽ được chuyển đến ISSC để xem xét, xác định mức độ ưu tiên và ủy quyền tiến hành. Hội đồng sẽ  xác định liệu các sự  thay đổi được yêu cầu sẽ  được lên lịch thực hiện ngay   lập tức, được lên kế hoạch thực hiện trong tương lai hay bị từ chối. Nếu yêu cầu bị từ chối, yêu cầu sẽ ngay lập tức được trả lại cho khách hàng, cùng với lời   giải thích về  (các) lý do từ  chối. Nếu nó được chấp thuận để  triển khai, một chỉ  định ưu 
  8. tiên sẽ được thực hiện và SSR được trả lại cho AD để biết lịch trình thực hiện. Sau khi nhận được ủy quyền triển khai, thiết kế chi tiết nên được khách hàng xem xét lại.   Sau khi nhận được sự nhất trí về thiết kế, Thủ tướng sẽ chiếu một TTD để hoàn thành dự  án. Trong việc thiết lập một TTD, PM sẽ xem xét các nguồn lực sẵn có và các cam kết khác  của dự án. Bộ phận TTD sẽ nhanh chóng thông tin cho khách hàng.  6. PM sẽ phối hợp với nhân viên AD, nhân viên quản lý và nhân viên CNTT khác (chẳng  hạn như  Quản trị  cơ  sở  dữ  liệu, Dịch vụ  hỗ  trợ  người dùng, Quản trị  mạng, v.v.) các   nguồn lực của họ sẽ được yêu cầu để đáp ứng đề nghị  này, hoặc liệu sẽ có một tác động   về mặt vận hành hoặc quy trình trong các lĩnh vực khác .  7. PM sẽ liên hệ với khách hàng để thảo luận chi tiết về (các) bài kiểm tra sẽ được tiến  hành.  8. Khi Kiểm tra nghiệm thu (AT) đã được hoàn thành và khách hàng đã xác minh tính chính  xác của kết quả thu được, khách hàng sẽ cho biết sự chấp thuận của họ để đưa dự án vào   sản xuất bằng cách ký SSR.  9. Nhóm Kiểm soát Sản xuất (PCG) sẽ đưa dự  án vào trạng thái hoạt động. PM sẽ  hoàn   thành phần dưới cùng của SSR, ghi lại rằng dự án đã được đưa vào sản xuất. PM sẽ ghi lại  trạng thái của yêu cầu là “đã hoàn thành” và gửi một bản sao của SSR. PM  sẽ nhanh chóng   thông báo cho khách hàng rằng dự án đã hoàn thành và đi vào sản xuất. Lưu giữ Biểu mẫu và Tài liệu Tất cả  tài liệu liên quan đến việc xử  lý mỗi SSR sẽ  được lưu giữ  trong ít nhất mười hai   tháng. Hình 1.3 Mẫu thủ tục quản lý thay đổi ứng dụng. III. CÁC YẾU TỐ THEN CHỐT CỦA CHÍNH SÁCH Để đáp ứng được nhu cầu của tổ chức, một chính sách tốt nên: ◾Dễ dàng để có thể hiểu được. Điều quan trọng là các tài liệu được  trình bày phải đáp ứng được những yêu cầu của đối tượng dự kiến. Thông  thường, những chính sách, tiêu chuẩn và thủ tục được biên soạn bởi những   chuyên gia về  chủ  đề  và gửi đến một đối tượng chung để  sử  dụng. Tài  liệu thường được viết ở trình độ cao đẳng hoặc kỹ thuật trong khi trình độ  đọc hiểu trung bình của các đối tượng ở  nơi làm việc nằm trong phạm vi   một học sinh lớp sáu (12 tuổi). 
  9. ◾Được áp dụng. Khi tạo chính sách, người viết  có thể  nghiên cứu   thêm  ở  các tổ  chức khác và sao chép nguyên văn tài liệu. Điều này có vẻ  thiết thực; tuy nhiên, Điều quan trọng là phải đảm bảo rằng dù thế nào đi   chăng nữa thì người viết vẫn có thể đáp ứng được nhu cầu cụ thể của tổ  chức bạn. ◾Được triển khai. Liệu tổ  chức và những nhân viên của họ  vẫn có  thể  đạt được các mục tiêu kinh doanh nếu chính sách này được thực thi?   Thông thường, các tổ  chức thực thi các chính sách nhằm trả  lời những ý  kiến đánh giá. Vấn đề  khi thực hiện điều này chính là chính sách có thể  quá hạn chế  đến mức cản trở  khả  năng thực hiện công việc kinh doanh  hoặc sứ mệnh của tổ chức. ◾Được thực thi.  Tránh việc viết nên một chính sách tự  huỷ  hoại   chính mình. “Chỉ sử dụng điện thoại di động do công ty cung cấp dành cho  các cuộc gọi về công việc”. Đối với hầu hết các tổ chức, trên thực tế đây   có thể  là chính sách, tuy nhiên hầu hết mọi điện thoại trong cơ  sở  đều  được sử dụng hằng ngày cho các cuộc gọi cá nhân. Một chính sách tốt hơn   sẽ là một chính sách có dạng, “Điện thoại do công ty cung cấp chỉ được sử  dụng khi có sự phê duyệt của ban quản lý”. ◾Được thực hiện tuần tự. Điều này rất cần thiết để tổ  chức có thể  xem xét và sắp xếp chính sách trước khi nó có hiệu lực. Nhiều tổ  chức   công bố một chính sách và sau đó yêu cầu các đơn vị kinh doanh cung cấp   bản tuân thủ kế hoạch trong một khoảng thời gian cụ thể sau khi công bố.  Điều này giúp các nhà quản lý đơn vị kinh doanh có một khoảng thời gian  để xem xét chính sách, tìm ra các điểm thiếu hụt của tổ chức, sau đó trình 
  10. bày một thời gian biểu để tuân thủ. Các thư tuân thủ này thường được lưu  trữ trong hồ sơ và được cung cấp cho các nhân viên kiểm toán. ◾Được chủ  động. Hãy nêu rõ những việc phải làm, đừng quá sa đà  vào việc đưa ra những tuyên bố  rằng: “Không được làm điều này!”   cố  gắng nêu rõ những gì có thể  làm được và đâu là những mong đợi từ  nhân  viên. ◾Tránh tuyệt đối. Có khả năng ngoại giao và hiểu cách nói đúng đắn  về mặt chính trị. Khi thảo luận về các biện pháp trừng phạt đối với hành  vi không tuân thủ, một số tổ chức đã tuyên bố, “Nhân viên vi phạm chính   sách này sẽ phải chịu các hình thức kỷ luật và bao gồm cả việc sa thải mà  không cần cảnh cáo”. Đối với những chính sách có nội dung như  “Nhân  viên không tuân thủ  với chính sách này sẽ  bị  coi là vi phạm Tiêu chuẩn  Ứng xử của nhân viên”. Các tiêu chuẩn ứng xử quy định rằng nhân viên sẽ  phải chịu các hình thức kỷ  luật bao gồm cả  sa thải. Nếu có thể, hãy sử  dụng cách tiếp cận tử tế hơn, nhẹ nhàng hơn. ◾Đáp  ứng các mục tiêu kinh doanh.  Các chuyên viên về  bảo mật  phải nhận thức rằng các biện pháp kiểm soát phải giúp tổ  chức đạt được  mức rủi ro có thể chấp nhận được. 100% bảo mật là 0% năng suất. Bất cứ  khi nào các biện pháp kiểm soát hoặc chính sách làm  ảnh hưởng đến các  mục tiêu và sứ mệnh kinh doanh hoặc  ảnh hưởng đến tổ chức, khi đó các   biện pháp kiểm soát và chính sách sẽ  mất đi. Phải hiểu rằng chính sách  tồn tại để hỗ trợ doanh nghiệp chứ không phải ngược lại. IV. ĐỊNH DẠNG CHÍNH SÁCH
  11. Định dạng (bố cục) thực tế của chính sách sẽ phụ thuộc vào hình  thức của chính sách như trong tổ chức của bạn. Điều quan trọng là bất kỳ  chính sách nào được phát triển phải giống với các chính sách được công bố  từ tổ chức để thành công. Hãy tìm ra ai là người chịu trách nhiệm về các  chính sách trong tổ chức của bạn và xem liệu họ có biểu mẫu sẵn hay  không. Những thành viên của hội đồng đánh giá sẽ không thể chấp nhận  việc đọc và đánh giá những chính sách mới nếu như nó không giống như  một chính sách thực sự. Những chính sách nhìn chung ngắn gọn hơn so với những thủ tục và  thường bao gồm chữ trong một tờ văn bản sử dụng hai mặt của tờ giấy.  Trong các lớp học của mình, tôi nhấn mạnh khái niệm về sự ngắn gọn.  Tuy nhiên, điều quan trọng khi tạo nên một chính sách là phải cân bằng  giữa sự ngắn gọn và rõ ràng. Lấy tất cả các từ bạn cần để hoàn thành suy  nghĩ, nhưng hãy chống lại sự thôi thúc muốn bổ sung thêm thông tin.  Nhiều năm trước, có một linh mục trẻ đến thăm giáo xứ của chúng  tôi và bài giảng của ông là một cuộc thảo luận về khái niệm in chìm. Khái  niệm này thường được đề cập trong lớp Tâm lý học cơ bản 101 và nó là 
  12. một hành vi xã hội ban đầu giữa những con chim, là một quá trình làm cho  những con chim mới nở trở nên gắn bó một cách nhanh chóng và mạnh mẽ  với các đối tượng xã hội như cha mẹ hoặc người thay thế cha mẹ của  chúng.  Mặc dù một số giáo dân hiểu ông đang nói về điều gì, nhưng phần  lớn chỉ ngây người nhìn ông ấy. Vì vậy, người linh mục tiếp tục giải thích  rồi lại giải thích cho đến khi bài giảng của ông ấy kéo dài khoảng 45 phút.  Khi viết một chính sách, hãy cân bằng giữa khoảng thời gian giới hạn với  những gì cần được giải quyết. Giữ cho nó ngắn gọn, nhưng vẫn có thể  hiểu được.  Có ba loại chính sách mà bạn sẽ sử dụng mỗi loại vào những thời  điểm khác nhau trong chương trình bảo mật thông tin của bạn và trong  toàn bộ tổ chức để hỗ trợ quá trình kinh doanh hay sứ mệnh. Ba loại chính  sách đó là: 1. Chính sách Toàn cầu (cấp 1) ­ chúng được sử dụng để tạo ra tầm  nhìn tổng quát và định hướng chung của tổ chức  2. Chủ đề cụ thể (cấp 2) ­ chúng đề cập đến các chủ đề cụ thể cần  quan tâm. Trong trường hợp chính sách đặc trưng cấp 1 có thể đề cập đến 
  13. “Truyền thông doanh nghiệp”, thì các chính sách hỗ trợ cấp 2 có thể giải  quyết các yêu cầu liên lạc khi sử dụng e­mail, mạng xã hội, thư thoại và  các phương thức khác. 3. Ứng dụng cụ thể (bậc 3) ­ tập trung vào các quyết định do ban  quản lý đưa ra để kiểm soát các ứng dụng cụ thể (báo cáo tài chính, bảng  lương,...) hoặc hệ thống (hệ thống lập ngân sách) 1. Chính sách Toàn cầu (cấp 1) Theo Tiêu chuẩn “chăm sóc thích đáng”, và chịu trách nhiệm cuối  cùng trong việc đáp ứng các mục tiêu kinh doanh hoặc yêu cầu của nhiệm  vụ, nhà quản lý cấp cao phải đảm bảo rằng các nguồn lực cần thiết được  sử dụng hiệu quả để phát triển khả năng đáp ứng các yêu cầu nhiệm vụ.  Họ phải kết hợp các kết quả của quá trình phân tích rủi ro vào quá trình ra  quyết định. Nhà quản lý cấp cao cũng chịu trách nhiệm ban hành các chính  sách toàn cầu để thiết lập định hướng của tổ chức trong việc bảo vệ tài  sản thông tin. Một chính sách bảo mật thông tin sẽ xác định được mục đích của  ban quản lý và cơ quan tài trợ của nó đối với việc bảo vệ tài sản thông tin  của tổ chức. Nó sẽ bao gồm phạm vi của chương trình, nghĩa là nơi mà nó  sẽ tiếp cận ở đâu và những thông tin nào được đưa vào chính sách này.  Cuối cùng, chính sách sẽ xác định ai là người chịu trách nhiệm và chịu  trách nhiệm về những gì. Các thành phần của Chính sách toàn cầu (Cấp 1) thường bao gồm  bốn đặc điểm sau. Chủ đề
  14. Phần chủ đề của chính sách xác định cụ thể những gì mà chính sách  sẽ giải quyết. Bởi vì khả năng chú ý của người đọc bị hạn chế, chủ đề  phải xuất hiện nhanh chóng, có thể trong phần mở đầu hoặc câu chủ đề.  Tôi thường đề nghị (lưu ý rằng đó là một hướng dẫn, không phải là một  tiêu chuẩn) rằng câu chủ đề cũng bao gồm một “điểm níu chân độc giả”,  đó là lý do tôi ­ với tư cách là một độc giả, nên tiếp tục đọc chính sách này.  Vì vậy, trong câu mở đầu, chúng tôi muốn truyền tải hai yếu tố quan  trọng: (1) chủ đề (nó nên liên quan gì đến tiêu đề của chính sách), và (2)  câu kết (tại sao người đọc nên tiếp tục đọc chính sách). Một câu mở đầu chủ đề có thể được đọc như sau: “Thông tin ­ cái  mà được tạo ra khi làm việc cho công ty, chính là tài sản của công ty và tất  cả nhân viên phải bảo vệ nó đúng cách.” Phạm vi Phạm vi có thể được sử dụng để mở rộng hoặc thu hẹp chủ đề hay  đối tượng, hoặc cả hai. Trong một tuyên bố về chính sách bảo mật thông  tin, chúng tôi có thể nói “thông tin là tài sản và là thuộc sở hữu của Công  ty, tất cả nhân viên có trách nhiệm bảo vệ tài sản đó”. Trong câu này,  chúng tôi đã mở rộng đối tượng để bao gồm tất cả nhân viên. Chúng ta  cũng có thể nói “Thông tin kinh doanh là tài sản thiết yếu của Công ty.  Điều này đúng với tất cả thông tin kinh doanh trong Công ty bất kể thông  tin đó được tạo ra, phân phối hoặc lưu trữ như thế nào và bất kể nó được  đánh máy, viết tay, in, quay phim, tạo bằng máy tính hay giọng nói. ” Ở  đây, người viết đã mở rộng chủ đề để bao gồm tất cả các loại tài sản  thông tin.
  15. Một ví dụ khác về việc mở rộng phạm vi như sau: “Thông tin của  Công ty, các công ty con và chi nhánh của Công ty ở dạng điện tử, dù được  truyền đi hay lưu trữ, đều là tài sản quan trọng của Công ty và phải được  bảo vệ theo độ nhạy cảm, quan trọng, và giá trị. ” Ở đây, chủ đề “chủ đề”  được thu hẹp thành “hình thức điện tử”. Tuy nhiên, đối tượng được mở  rộng bao gồm “các công ty con và chi nhánh”. Chúng ta cũng có thể sử dụng khái niệm phạm vi để thu hẹp chủ đề  hoặc đối tượng. Trong chính sách Thỏa thuận việc làm, đối tượng được  giới hạn trong một nhóm cụ thể như sau: ❖ Các bên tham gia ký thỏa thuận ngày (đặc tả) là (tên công ty),  một (chỉ định nhà nước và loại công ty) (“công ty”) và (tên nhân viên)  (“điều hành”). ❖ Công ty muốn tuyển dụng Người điều hành, và Người điều  hành chấp nhận làm việc với Công ty, theo các điều khoản và điều kiện  được quy định trong Thỏa thuận này. Do đó, nó được thống nhất như sau: Ở đây, chính sách chỉ được giới hạn cho các Giám đốc điều hành và  sau đó sẽ tiếp tục thảo luận về những gì có thể và không thể thực hiện  bởi các Giám đốc điều hành. Trách nhiệm Thông thường, phần này của chính sách sẽ xác định ai là người chịu  trách nhiệm và chịu trách nhiệm về những gì. Khi viết, tốt hơn nên xác  định “ai” theo chức danh chứ không phải tên. “Hướng dẫn Tham khảo của  Quản trị viên Văn phòng” có thể hỗ trợ đắc lực bằng cách xác định cách 
  16. các cấp quản lý nhất định được đề cập đến trong giao tiếp. Chính sách  muốn xác định những gì được mong đợi từ mỗi bên liên quan. Tuân thủ hay Hậu quả Khi các đơn vị kinh doanh hoặc nhân viên bị phát hiện ở trong tình  trạng không tuân thủ, chính sách phải nêu rõ hậu quả của những hành  động này. Đối với các đơn vị hoặc bộ phận kinh doanh, nếu bị phát hiện là  không tuân thủ, họ thường là đối tượng của một hạng mục đánh giá và sẽ  phải chuẩn bị một sự phản ứng tuân thủ chính thức. Đối với một nhân viên, việc bị phát hiện không tuân thủ chính sách  của công ty có nghĩa là họ đang vi phạm “Tiêu chuẩn Ứng xử của Nhân  viên” của tổ chức và sẽ phải chịu những hậu quả được mô tả trong “Chính  sách Kỷ luật Nhân viên”. 2. Chính sách theo chủ đề cụ thể (Cấp 2) Trong trường hợp Chính sách toàn cầu (cấp 1) giải quyết các vấn đề  rộng lớn của toàn tổ chức, thì Chính sách theo chủ đề cụ thể được phát  triển để tập trung vào các lĩnh vực hiện tại có liên quan và mối quan tâm  đối với tổ chức. Để hỗ trợ “Chính sách truyền thông của công ty” cấp 1,  ban quản trị có thể thấy thích hợp khi ban hành chính sách về cách một tổ  chức tiếp cận việc sử dụng phương tiện truyền thông xã hội hoặc sử  dụng hệ thống e­mail do công ty cung cấp. Các chính sách cụ thể theo chủ  đề cũng có thể phù hợp khi các vấn đề mới phát sinh, chẳng hạn như việc  thực hiện luật mới được ban hành gần đây yêu cầu bảo vệ thông tin cụ  thể (GLBA, HIPAA,...). Chính sách toàn cầu (cấp 1) thường đủ rộng để  không phải sửa đổi theo thời gian, trong khi Chính sách theo chủ đề cụ thể 
  17. (cấp 2) có khả năng cần phải sửa đổi thường xuyên hơn khi những thay  đổi trong công nghệ và các yếu tố khác quyết định. Các chính sách theo chủ đề cụ thể sẽ được một tổ chức tạo ra một  cách thường xuyên nhất. Chúng ta sẽ xem xét các yếu tố chính của chính  sách theo chủ đề cụ thể. Khi tạo tài liệu "Tiêu chuẩn và Chính sách Bảo  mật thông tin", thông thường mỗi phần trong tài liệu sẽ bắt đầu bằng một  chính sách dành riêng cho chủ đề. Chính sách dành riêng cho chủ đề sẽ thu  hẹp trọng tâm vào một vấn đề tại một thời điểm. Điều này sẽ cho phép  người viết tập trung vào một lĩnh vực và sau đó phát triển một bộ tiêu  chuẩn để hỗ trợ chủ đề cụ thể này. Trong trường hợp các chính sách cấp 1 được Ban chỉ đạo An toàn  thông tin phê duyệt, các chính sách cấp 2 (chủ đề cụ thể) có thể được ban  hành bởi một nhà quản lý cấp cao hoặc giám đốc. Cũng như các chính sách cấp 1, các chính sách cấp 2 sẽ giải quyết  quan điểm của ban quản lý trong các vấn đề liên quan. Cần phải phỏng  vấn ban giám đốc để xác định mối quan tâm của họ là gì và họ mong muốn  điều gì. Người viết sẽ lấy thông tin này và kết hợp thành cấu trúc sau. Tuyên bố luận văn Điều này tương tự như phần “Chủ đề” được thảo luận trong các  chính sách cấp 1, nhưng nó cũng bổ sung thêm thông tin để hỗ trợ các  nhiệm vụ, mục tiêu của chính sách và chỉ thị của ban quản lý. Phần này sẽ  được sử dụng để thảo luận về vấn đề trong các điều khoản có liên quan  và những điều kiện nào bao gồm những gì. Nếu thích hợp, có thể có ích  khi chỉ định mục tiêu hoặc biện hộ cho chính sách. Điều này có thể hữu ích  khi đạt được lợi ích cùng sự tuân thủ chính sách.
  18. Khi phát triển tài liệu “Tiêu chuẩn làm làm việc”, một chính sách  theo chủ đề cụ thể về phần mềm thích hợp, với các tiêu chuẩn hỗ trợ, có  thể bao gồm thảo luận về phần mềm “Được công ty phê duyệt”. Chính  sách này sẽ xác định ý nghĩa của phần mềm được công ty phê duyệt, có  thể là “bất kỳ phần mềm nào được tổ chức phê duyệt, mua, sàng lọc,  quản lý và sở hữu”. Chính sách cũng sẽ thảo luận về các điều kiện cần  thiết để phần mềm được phê duyệt. Sau khi các điều khoản và điều kiện đã được thảo luận, phần còn lại  của phần này sẽ được sử dụng cho quan điểm của quản lý nhà nước trong  vấn đề này. Sự liên quan Chính sách cấp 2 cũng cần xác định đối tượng áp dụng chính sách.  Ngoài đối tượng, chính sách sẽ muốn làm rõ nó được áp dụng ở đâu, như  thế nào và khi nào. Có phải chính sách chỉ được thực thi khi nhân viên ở  trong phạm vi cơ sở làm việc hay sẽ mở rộng sang các hoạt động bên  ngoài cơ sở? Cần phải xác định càng nhiều điều kiện và điều khoản càng  tốt. Trách nhiệm Việc phân công vai trò và trách nhiệm cũng được bao gồm trong các  chính sách cấp 2. Ví dụ, chính sách về phần mềm được công ty phê duyệt  sẽ phải xác định quy trình để phần mềm được chấp thuận. Điều này sẽ  bao gồm cơ quan (theo chức danh) được ủy quyền cấp phê duyệt và tham  chiếu đến nơi quy trình này được lập thành văn bản.
  19. Đây là thời điểm tốt để thảo luận về những sai lệch từ các yêu cầu  chính sách. Tôi đã thiết lập một tiêu chuẩn cá nhân, trong đó tôi không bao  giờ thảo luận về cách một thực thể có thể được miễn khỏi các điều  khoản từ chính sách. Tôi không muốn tuyên bố rằng “đây là chính sách và  tất cả nhân viên phải tuân thủ” ngoại trừ người nào đó trong số các bạn có  thể tìm cách giải quyết chính sách. Hầu hết các tổ chức đều có một quy  trình để đạt được sự sai lệch được chấp nhận từ chính sách hoặc tiêu  chuẩn. Điều này thường yêu cầu người khởi kiện đệ trình một trường hợp  kinh doanh sai lệch cùng với các biện pháp kiểm soát thay thế đủ đáp ứng  tinh thần của chính sách. Nếu một tổ chức hoặc cá nhân nào đó muốn có  sự sai lệch từ chính sách, hãy để họ tìm hiểu quy trình là gì. Sự tuân thủ Đối với chính sách cấp 2, có thể thích hợp để mô tả chi tiết một số  hành vi vi phạm không thể chấp nhận được và hậu quả của nó. Các hình  phạt có thể được nêu rõ ràng và phải phù hợp với Chính sách Kỷ luật Nhân  viên cấp 1. Hãy nhớ rằng, khi một nhân viên bị phát hiện trong tình huống  không tuân thủ, chính Ban Quản lý và Nhân sự phải chịu trách nhiệm kỷ  luật cá nhân đó. Thông tin bổ sung Đối với bất kỳ chính sách cấp 2 nào, cần chỉ ra các cá nhân thích hợp  trong tổ chức cần liên hệ để có thêm thông tin, sự hướng dẫn và tuân thủ.  Thông thường, thông tin liên hệ sẽ được chỉ định theo chức danh công  việc, không theo tên cá nhân. Cũng phải thận trọng khi xác định ai là chủ  sở hữu của chính sách này. Thông tin này sẽ cung cấp cho người đọc thông  tin thích hợp nếu họ có đề xuất về cách cải thiện chính sách.
  20. Để có hiệu quả, một chính sách đòi hỏi khả năng hiển thị. Khả năng  hiển thị hỗ trợ việc thực hiện chính sách bằng cách giúp đảm bảo rằng nó  được truyền đạt đầy đủ trong toàn bộ tổ chức. Các bài thuyết trình, video,  thảo luận của ban quản lý, diễn giả khách mời, diễn đàn hỏi và đáp và bản  tin sẽ tăng khả năng hiển thị. Chương trình nâng cao nhận thức về bảo  mật thông tin của tổ chức có thể thông báo một cách hiệu quả cho người  dùng về các chính sách mới thông qua blog bảo mật hoặc tài khoản mạng  xã hội. Chương trình Định hướng Nhân viên Mới cũng có thể được sử  dụng để giúp nhân viên mới làm quen với các chính sách của tổ chức. Khi đưa ra các chính sách, điều quan trọng là phải đảm bảo sự hỗ trợ  rõ ràng của cấp quản, đặc biệt là trong các lĩnh vực mà nhân viên cảm  thấy “bị ngập” trong các chỉ thị, quy định hoặc các yêu cầu khác. Các chính  sách của tổ chức là phương tiện được sử dụng để nhấn mạnh cam kết của  ban quản lý đối với các biện pháp kiểm soát nội bộ hiệu quả và những kỳ  vọng của họ đối với sự hỗ trợ và tuân thủ của nhân viên. 3. Chính sách ứng dụng cụ thể (Bậc 3) Các chính sách cấp toàn cầu (cấp 1) và theo chủ đề cụ thể (cấp 2) đề  cập đến chính sách ở cấp độ rộng, chúng thường bao gồm toàn bộ doanh  nghiệp. Chính sách ứng dụng cụ thể (bậc 3) tập trung vào một hệ thống  hoặc ứng dụng cụ thể. Khi việc xây dựng cấu trúc an toàn thông tin của tổ  chức hình thành, yếu tố cuối cùng sẽ là bản dịch các chính sách cấp 1 và  cấp 2 xuống cấp ứng dụng và hệ thống (cấp 3). Nhiều quyết định về vấn đề bảo mật chỉ áp dụng ở cấp ứng dụng  hoặc hệ thống. Một số ví dụ về những vấn đề này bao gồm ◾ Ai có quyền đọc hoặc sửa đổi dữ liệu?
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2