Quản lý an toàn hệ thống thông tin: ISO 27001
Tại sao thực hiện quản lý an toàn thông tin? Thông tin ngày nay là một trong những "tài sản" tối quan trọng của
một doanh nghiệp. Việc mất mát dữ liệu, rò rỉ các bí mật thương mại hay chỉ là sự cố một trong các hệ thống thông tin
có ảnh hưởng thế nào tới công ty của bạn? Nếu theo quan điểm của bạn, những rủi ro này là hiểm họa đe dọa tới sự
hoạt động và phát triển của công ty, hãy tìm một giải pháp thông qua việc đưa ra một hệ thống quản lý an ninh thông
tin. Với chứng nhận này, bạn có thể chứng minh được độ tin cậy trong việc truy cập hệ thống thông tin của các đối tác
hay để chia sẻ dữ liệu và thông tin qua lại.
Nhận biết các rủi ro
Bị lấy dữ liệu bí mật từ các đối thủ cạnh tranh. Đối thủ cạnh tranh có thể sử dụng cơ sở dữ liệu về địa chỉ liên lạc
của khách hàng, có thể có được thông tin về giá cả, công nghệ sản xuất bí mật hoặc các hướng dẫn, hay những thông
tin về nhân viên chủ chốt của bạn.
Mất dữ liệu. Sự mất mát của cơ sở dữ liệu có thể có nghĩa là một mối đe dọa hoặc làm chậm lại các hoạt động của
công ty, dẫn tới chi phí đáng kể cho việc xây dựng lại và sự tổn thất lớn về các đơn đặt hàng hay yêu cầu từ khách
hàng. Trong trường hợp xảy ra các đe dọa đối với các tài khoản hoặc cơ sở dữ liệu cá nhân bí mật thì có thể phải chịu
biện pháp trừng phạt từ chính quyền.
Sự gián đoạn trong hoạt động của công ty. Công tác bảo trì đặc biệt hệ thống, loại bỏ lỗi và trục trặc, không tương
thích. Tất cả các công tác này có nghĩa là nhân viên công ty phải bỏ thời gian cho các hoạt động khác nhau hướng đến
công ty. Khách hàng chỉ coi đó là các vấn đề tạm thời khi chúng không thường xuyên xuất hiện và lặp đi lặp lại, đặc
biệt khi bạn đang điều hành hoạt động của các đại lý và nhà kho.
Các mối đe dọa (chọn lọc). Lạm dụng quyền quản trị, sơ suất và buông lỏng trong quản lý dữ liệu, xóa dữ liệu, tiếp
cận các cuộc đàm phán quan trọng, thâm nhập vào hệ thống, cài đặt các SW bất lợi và gây hại, hệ thống không hoạt
động, đánh cắp dữ liệu, lỗi và thiếu sót của người sử dụng không đúng định tuyến, các rủi ro hệ thống, thiên tai, đền
bù khách hàng.
Các nguy cơ đe dọa an toàn đến từ đâu?
Yếu tố con người. Nguy cơ phát sinh ở bất cứ nơi nào có các hệ thống thông tin quản lý bên ngoài. Ngay cả với các
giải pháp kỹ thuật tốt có thể, vẫn không thể ngăn chặn các ý đồ xấu, hoặc các sơ suất của người quản trị và thậm chí
do người dùng. ISO 27001 đưa ra một hệ thống quản lý đóng vai trò trong việc kiểm tra hệ thống quản lý thông tin.
Đồng thời cũng không quá đòi hỏi về mặt chuyên môn trong lĩnh vực hệ thống thông tin cũng như không đặt gánh
nặng lên các thành viên tham gia quản lý.
Vị trí của các máy chủ và các hãng thông tin khác. Các dữ liệu an toàn trong thiết bị không được kết nối bằng dây
cáp. Đừng quên rằng một ai đó cũng có thể kết nối, hoặc lấy đi các thiết bị này một cách đơn giản. ISO 27001 đưa ra
các biện pháp để thiết bị này không thể truy cập bởi những cá nhân không được phân quyền, và bảo vệ thiết bị chống
lại các thiệt hại hoặc thậm chí nguy cơ bị phá hủy.
Bảo trì. Hệ thống thông tin yêu cầu phải được thường xuyên kiểm tra, bảo trì và nâng cấp phần mềm để không xảy ra
bất kỳ sự cố bất ngờ nào. Với việc đưa ra hệ thống quản lý để bảo trì, bạn có thể giảm thiểu nguy cơ của sự cố bất
ngờ và giảm chi phí do phần cứng và phần mềm không bị ảnh hưởng bởi các sự thay đổi.
Phân tích cơ bản
Các mối đe dọa (chọn lọc)
• Lạm dụng quyền quản trị
• Sơ suất và buông lỏng trong quản lý dữ liệu
• Xóa dữ liệu
• Khai thác các cuộc đàm phán quan trọng
• Thâm nhập vào hệ thống
• Cài đặt các chương trình gây hại
• Hệ thống không có chức năng
• Đánh cắp dữ liệu
• Lỗi và thiếu sót của người sử dụng
• Không đúng định tuyến
• Lỗi hệ thống
•Thiên tai
• Đền bù khách hàng
Các điểm yếu (Chọn lọc)
• Truy cập vào các máy chủ
• Thiếu an ninh của các máy trạm
• Thiếu các công cụ kiểm soát
• Mật khẩu và chính sách truy cập
• Truy cập của bên thứ ba (nhà thầu phụ)
• Phát triển các phần mềm và phần cứng không theo chủ đích
• Đánh giá thấp khai thác
• Cài đặt chương trình không chuyên nghiệp
• Củng cố quyền lực
• Phân tích không đầy đủ các rủi ro
• Thiếu kiểm soát trong quản lý dữ liệu và truy cập thông tin của khách hàng
CÂU HỎI QUẢN LÝ (trả lời Có- không)
1. Người quản trị chỉ được cấp các quyền hạn chế và truy cập bị kiểm tra, chỉ được cấp quyền đối với các chức năng
cần thiết nhất cho việc quản trị hiệu quả.
2. Cơ sở dữ liệu được bảo vệ chống truy cập trái phép, quyền truy cập được kiểm soát, và dữ liệu thường xuyên sao lưu
trong khu vực được bảo vệ.
3. Chính sách mật khẩu được xây dựng và kiểm soát.
4. Việc kiểm tra nhằm chống các truy cập trái phép, lỗi hệ thống, chống virus và các ứng dụng khác được cập nhật
thực hiện một cách thường xuyên. Hệ thống này cho phép kết nối chỉ với các thiết bị đã được phê duyệt.
5. Quyền hạn và trách nhiệm của mỗi nhân viên được xác định và phân cấp. Dữ liệu cá nhân của họ được bảo vệ hợp
lệ.
6. Các phạm vi được bảo vệ chống lại các nhập mục từ các cá nhân không được phép, trong các phạm vi đặc biệt là
máy chủ và các phạm vi chứa thông tin nhạy cảm khác.
7. Truy cập từ xa vào hệ thống thông tin được cung cấp đầy đủ, các truy cập không dây trái phép đều được theo dõi.
8. Rủi ro của việc hợp tác với các bên thứ ba (nhà thầu phụ) được phân tích, và bên thứ ba truy cập thông tin được
theo dõi và kiểm soát.
9. Phần mềm và phần cứng mua lại được quy hoạch và kiểm soát. Các thành phần riêng biệt cơ bản của hệ thống
thông tin được mua sau khi phân tích tính rủi ro.
10. Hoạt động của các nhân viên trong dữ liệu của khách hàng và quản lý thông tin được theo dõi và đánh giá.
Nếu câu trả lời của bạn là “Đúng” đối với 8 trong 10 câu hỏi trên, bạn không cần phải gọi cho chúng tôi:
0977966888
![Tài liệu tập huấn nâng cao nhận thức về an toàn thông tin mạng cho cán bộ cơ sở [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2023/20230307/bapnuong06/135x160/991678178243.jpg)
