đề tài chính sách an toàn thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.41 MB, 17 trang )

Trang 1<div class="page_container" data-page="1">

LỚP: DHKQ17DTT

ĐỀ TÀI: CHÍNH SÁCH AN TỒN THƠNT IN

GVHD: TH.S LÊ TRỌNG HIỀNNHĨM: 9

THÀNH VIÊN

1. Cơng Thị Trúc Vy 21076721(Nhóm trưởng)2. Nguyễn Tiến Nam 20056641

3. Nguyễn Thị Mỹ Uyên 211320914. Phạm Thanh Vân 210699115. Huỳnh Đức Won 210668016. Nguyễn Phước vũ 21079281

TP.HCM, tháng 11 năm 2023

</div>Trang 2<div class="page_container" data-page="2">

MỤC LỤC

LỜI MỞ ĐẦU...2

I. CƠ SỞ LÝ THUYẾT...3

1.1Khái niệm về chính sách an tồn thơng tin...3

1.2Ngun tắc quản lý an tồn thơng tin...3

1.3Cấu trúc của chính sách an tồn thơng tin...4

1.4Lợi ích của chính sách an tồn thơng tin...5

II.Tầm quan trọng của chính sách an tồn thơng tin...6

2.1Bảo vệ thơng tin quan trọng...6

2.2Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát...6

2.3Bảo vệ tổ chức khỏi những người dùng nội bộ và bên ngoài “độc hại”...7

2.4Thơng báo nội bộ và bên ngồi thơng tin đó là tài sản, tài sản riêng của tổ chức, và được bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại...7

2.5Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề pháp lý phát sinh 72.6Cung cấp hướng nâng cấp các tiêu chuẩn an ninh trong và ngoài tổ chức...7

III.Triễn khai một chính sách an tồn thơng tin...8

3.1Xác định mục tiêu...8

3.2Xác định phạm vi...8

3.3Lập kế hoạch triễn khai...8

3.4Đào tạo và Sensibilization...9

</div>Trang 3<div class="page_container" data-page="3">

LỜI MỞ ĐẦU

Trong thời đại kỹ thuật số phát triển nhanh chóng hiện nay, việc bảo vệ thơng tin cá nhânvà công ty trở thành một ưu tiên hàng đầu. Cùng với sự phát triển của công nghệ thông tinvà mạng Internet, các rủi ro an ninh mạng ngày càng gia tăng, từ việc xâm nhập, lừa đảođến việc phá hoại hệ thống. Điều này đòi hỏi chúng ta phải đặt chính sách an tồn thơngtin vào trung tâm của mọi hoạt động, cả cá nhân và tổ chức.

Trong thời đại số hóa hiện nay, thơng tin là một tài sản vô cùng quý báu. Từ dữ liệu doanhnghiệp cho thông tin cá nhân của cá nhân, việc bảo vệ và duy trì tính tồn vẹn của thơngtin đã trở nên quan trọng hơn bao giờ hết. Việc xây dựng và thực hiện một chính sách antồn thơng tin đúng đắn không chỉ đảm bảo rằng thông tin này được bảo vệ mà còn giúpđảm bảo sự tin cậy của tổ chức trước mắt đối tác và khách hàng.

Đề tài này nhấn mạnh tầm quan trọng của chính sách an tồn thơng tin trong mơi trườngkỹ thuật số ngày nay. Chúng tơi sẽ xem xét các khía cạnh quan trọng của việc phát triển,triển khai, và duy trì chính sách an tồn thơng tin hiệu quả trong tổ chức. Chúng ta sẽkhám phá tại sao chính sách này là một yếu tố không thể thiếu trong việc bảo vệ thông tinvà đảm bảo tuân thủ pháp luật liên quan đến an tồn thơng tin.

Tiểu luận này cũng sẽ giới thiệu về các khái niệm cơ bản liên quan đến chính sách an tồnthơng tin, bao gồm đào tạo, sensibilization, quản lý rủi ro, và quy trình cập nhật chínhsách. Chúng ta sẽ thảo luận về cách chính sách an tồn thơng tin khơng chỉ bảo vệ dữ liệuquan trọng mà còn tạo nền tảng cho sự phát triển và thành công của tổ chức.

Chúng tôi hy vọng rằng bài tiểu luận này sẽ đóng góp vào việc thúc đẩy nhận thức và sựhiểu biết về an tồn thơng tin và góp phần xây dựng một mơi trường kỹ thuật số an toànvà bảo mật hơn.

</div>Trang 4<div class="page_container" data-page="4">

I.CƠ SỞ LÝ THUYẾT

I.1 Khái niệm về chính sách an tồn thơng tin

Chính sách an tồn bảo mật thơng tin (Infomaton security policy):

I.2 Ngun tắc quản lý an tồn thơng tin

1. Việc bảo đảm thông tin là yêu cầu bắt buộc trong quá trình thiết kế, xây dựng, vậnhành, nâng cấp và hủy bỏ các hạ tầng kỹ thuật của cơ quan nhà nước.

2. Thông tin số thuộc quy định danh mục bí mật nhà nước của các cơ quan nhà nướcphải được phân loại, lưu trữ, bảo vệ trên cơ sở quy định của pháp luật về bảo vệ bí mậtnhà nước.

3. Cơ quan nhà nước phải xây dựng nội quy bảo đảm an tồn thơng tin; có cán bộ phụtrách quản lý an tồn thơng; áp dụng, hướng dẫn và kiểm tra định kỳ việc thực hiệncác biện pháp bảo đảm cho hệ thống thông tin trên mạng đáp ứng các tiêu chuẩn, quychuẩn kỹ thuật về an tồn thơng tin.

4. Áp dụng quy trình bảo đảm an tồn dữ liệu bao gồm:a) Lưu trữ dự phịng;

b) Sử dụng mật mã để bảo đảm an toàn và bảo mật dữ liệu trong lưu trữ và giaodịch theo quy định của Nhà nước về mật mã;

c) Quản lý chặt chẽ việc di chuyển các trang thiết bị công nghệ thơng tin lưu trữcác thơng tin thuộc danh mục bí mật nhà nước;

d) Giám sát các khâu tạo lập, xử lý và hủy bỏ dữ liệu;e) Các quy trình bảo đảm an toàn dữ liệu khác.

</div>Trang 5<div class="page_container" data-page="5">

5. Áp dụng quy trình quản lý an tồn hạ tầng kỹ thuật bao gồm:

a) Các giải pháp bảo vệ nhằm ngăn chặn và phát hiện sớm việc truy cập trái phépvào mạng máy tính hay thiết bị lưu trữ dữ liệu;

b) Áp dụng các công nghệ xác thực, cơ chế quản lý quyền truy cập và cơ chế ghibiên bản hoạt động của hệ thống để quản lý và kiểm tra việc truy cập mạng;

c) Kiểm soát chặt chẽ việc cài đặt các phần mềm mới lên máy chủ và máy trạm;d) Theo dõi thường xuyên tình trạng lây nhiễm và thực hiện loại bỏ phần mềm độchại khỏi hệ thống;

e) Các quy trình quản lý an tồn hạ tầng kỹ thuật khác.

I.3 Cấu trúc của chính sách an tồn thơng tin

Cơ cấu của chính sách an tồn thơng tin thường được thiết kế để đảm bảo bảo vệthông tin quan trọng, đảm bảo tính bảo mật, sẵn sàng và tồn vẹn của hệ thống thơngtin trong một tổ chức. Mặc dù cơ cấu của chính sách an tồn thơng tin có thể khácnhau tùy theo tổ chức và ngành cơng nghiệp, nhưng có một số thành phần chínhthường được áp dụng. Dưới đây là một số thành phần quan trọng trong cơ cấu chínhsách an tồn thơng tin:

1. Chính sách và quy định: Đây là tài liệu căn cứ để xác định các nguyên tắc, quy địnhvà hướng dẫn về an tồn thơng tin trong tổ chức. Chính sách và quy định này nênđược phát triển và duy trì bởi ban lãnh đạo và cung cấp hướng dẫn về việc xác định,đánh giá và xử lý các rủi ro an tồn thơng tin.

2. Quy trình: Các quy trình an tồn thơng tin xác định cách tổ chức triển khai chínhsách và quy định bằng cách cung cấp các hướng dẫn chi tiết về việc thực hiện các biệnpháp an tồn thơng tin. Điều này bao gồm việc xác định các quy trình để đảm bảo tínhbảo mật của hệ thống, xử lý sự cố và vi phạm, quản lý quyền truy cập và xác thực, saolưu và phục hồi dữ liệu, và các hoạt động khác liên quan đến an tồn thơng tin.3. Tổ chức và trách nhiệm: Cơ cấu chính sách an tồn thơng tin cần chỉ rõ trách nhiệmvà vai trò của các cá nhân và phòng ban trong tổ chức. Việc xác định người chịu trách4

</div>Trang 6<div class="page_container" data-page="6">

nhiệm cho việc triển khai, duy trì và giám sát an tồn thơng tin sẽ giúp đảm bảo rằngmọi người trong tổ chức đều có trách nhiệm và ý thức về an tồn thơng tin.

4. Đào tạo và nâng cao nhận thức: Chính sách an tồn thơng tin cần bao gồm các biệnpháp đảm bảo rằng tất cả nhân viên được đào tạo và nhận thức về các vấn đề an tồnthơng tin. Điều này bao gồm việc cung cấp hướng dẫn về an tồn thơng tin, quy địnhvề việc sử dụng thiết bị và dữ liệu, và cách xử lý thông tin nhạy cảm.

5. Kiểm tra và đánh giá: Cơ cấu chính sách an tồn thơng tin nên bao gồm các biệnpháp để kiểm tra và đánh giá hiệu quả của chính sách và biện pháp an tồn thơng tin.Điều này có thể bao gồm việc thực hiện kiểm tra bảo mật, đánh giá rủi ro, và xem xétđịnh kỳ các quy trình và biện pháp an tồn thơng tin.

6. Đáp ứng sự cố: Chính sách an tồn thơng tin cần có kế hoạch sẵn sàng đối phó vớisự cố và vi phạm an tồn thơng tin. Điều này bao gồm việc xác định quy trình để pháthiện, phân loại và xử lý sự cố an tồn thơng tin, bao gồm cả quy trình khẩn cấp vàphục hồi sau sự cố.

7. Liên kết với các tiêu chuẩn và quy định: Cơ cấu chính sách an tồn thông tin nênliên kết với các tiêu chuẩn và quy định liên quan đến an tồn thơng tin trong ngànhcơng nghiệp hoặc khu vực địa phương. Điều này đảm bảo rằng tổ chức tuân thủ cácyêu cầu pháp lý và các tiêu chuẩn an tồn thơng tin áp dụng.

8. Giám sát và cải tiến liên tục: Cơ cấu chính sách an tồn thơng tin nên bao gồm cácbiện pháp để giám sát và đánh giá liên tục hiệu quả của chính sách và biện pháp antồn thơng tin. Qua việc theo dõi, đánh giá và phản hồi, tổ chức có thể cải tiến và nângcao chất lượng của chính sách an tồn thơng tin

I.4 Lợi ích của chính sách an tồn thơng tin

Chính sách an tồn thơng tin mang lại nhiều lợi ích quan trọng cho một tổ chức. Dướiđây là một số lợi ích chính của chính sách an tồn thơng tin:

1. Bảo vệ thơng tin quan trọng: Chính sách an tồn thơng tin giúp bảo vệ thơng tinquan trọng của tổ chức khỏi những mối đe dọa như truy cập trái phép, sự tấn côngmạng, mất mát dữ liệu hay sự xâm nhập hệ thống. Bằng cách thiết lập các biện pháp5

</div>Trang 7<div class="page_container" data-page="7">

an tồn thơng tin như mã hóa, xác thực, kiểm sốt truy cập, và sao lưu dữ liệu, chínhsách này giúp đảm bảo tính bảo mật và tồn vẹn của thơng tin.

2. Đáp ứng các u cầu pháp lý: Chính sách an tồn thông tin giúp tổ chức tuân thủcác yêu cầu pháp lý và quy định liên quan đến bảo vệ thông tin. Các ngành cơngnghiệp như tài chính, y tế và ngân hàng thường phải tuân thủ các tiêu chuẩn và quyđịnh nghiêm ngặt về an tồn thơng tin. Bằng cách áp dụng chính sách an tồn thơngtin, tổ chức có thể đáp ứng các yêu cầu pháp lý và tránh các hậu quả pháp lý tiềm ẩn.3. Giảm rủi ro và thiệt hại: Chính sách an tồn thơng tin giúp giảm rủi ro và thiệt hạiliên quan đến an toàn thông tin. Việc xác định, đánh giá và quản lý các rủi ro an tồnthơng tin sẽ giúp tổ chức đưa ra các biện pháp phịng ngừa và ứng phó hiệu quả. Điềunày có thể giảm nguy cơ xảy ra sự cố, mất mát thông tin, tiền bạc và thời gian, đồngthời giảm thiểu tác động tiêu cực đến hoạt động kinh doanh.

4. Tăng cường hiệu suất và hiệu quả: Chính sách an tồn thơng tin giúp cải thiện hiệusuất và hiệu quả của tổ chức. Khi các biện pháp an tồn thơng tin được triển khai mộtcách chặt chẽ, nguy cơ gặp sự cố hoặc gián đoạn trong hoạt động kinh doanh sẽ giảm.Điều này giúp tăng cường sự tin tưởng và hài lòng của khách hàng, nâng cao khả năngcạnh tranh và tạo điều kiện thuận lợi cho sự phát triển và mở rộng của tổ chức.5. Tuân thủ chuẩn quốc tế: Chính sách an tồn thơng tin giúp tổ chức tuân thủ cácchuẩn quốc tếvề an toàn thông tin như ISO 27001. Việc tuân thủ các chuẩn này khơngchỉ đảm bảo tính bảo mật và tồn vẹn của thơng tin mà cịn giúp tổ chức tham gia vàocộng đồng quốc tế và xây dựng các mối quan hệ đối tác tồn cầu.

II.Tầm quan trọng của chính sách an tồn thơng tinII.1Bảo vệ thơng tin quan trọng

Chính sách an tồn thơng tin giúp bảo vệ thơng tin quan trọng của tổ chức khỏi sự truycập trái phép, sửa đổi, hoặc hủy hoại. Thơng tin quan trọng có thể là dữ liệu của kháchhàng, thông tin kinh doanh, tài liệu nội bộ, và nhiều thông tin quan trọng khác.

II.2Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát

</div>Trang 8<div class="page_container" data-page="8">

Nguy cơ rủi ro ngày càng cao: Trong thế giới kỹ thuật số, các mối đe dọa an tồnthơng tin ngày càng phức tạp và nguy cơ rủi ro khơng ngừng gia tăng. Chính sách antồn thơng tin giúp tổ chức xác định, đánh giá và ứng phó với những nguy cơ này.

II.3Bảo vệ tổ chức khỏi những người dùng nội bộ và bên ngồi “độc hại”

Chính sách an tồn thơng tin giúp người dùng xác định và đánh giá các nguy cơ antoàn từ cả từ bên trong nội bộ và bên ngồi qua đó có thể áp dụng các biện pháp bảomật để giảm thiểu rủi ro xảy ra. Bên cạnh đó cịn giúp đảm bảo rằng người dùng nộibộ chỉ có quyền truy cập vào thông tin và tài nguyên mà họ cần cho công việc của họ,giới hạn khả năng gây hại từ bên trong tổ chức.

II.4Thơng báo nội bộ và bên ngồi thơng tin đó là tài sản, tài sản riêng củatổ chức, và được bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại

Thông tin là một trong những tài sản quý báu nhất của tổ chức, bao gồm dữ liệu vềkhách hàng, thông tin kinh doanh, tài sản trí tuệ và nhiều thơng tin quan trọng khác.Chính sách an tồn thơng tin đảm bảo rằng tài sản này được bảo vệ chặt chẽ để khôngbị mất mát hoặc tổn thất.

II.5Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề pháp lý phátsinh

Rất quan trọng bởi vì nó đảm bảo rằng tổ chức có thể xử lý các vấn đề pháp lý mộtcách hiệu quả và đáng tin cậy như đảm bảo rằng tổ chức hiểu rõ về cách thông tin củahọ được bảo vệ và xử lý từ góc độ pháp lý tăng tính minh bạch và khả năng giải quyếtvấn đề, nó cũng định rõ quy trình và quy tắc để giải quyết các vấn đề pháp lý khichúng phát sinh và đảm bảo rằng người phải chịu trách nhiệm nếu có vấn đề pháp lý.

II.6Cung cấp hướng nâng cấp các tiêu chuẩn an ninh trong và ngồi tổchức

Chính sách định rõ quy trình để cập nhật và nâng cấp các tiêu chuẩn an ninh theo thờigian. Điều này quan trọng để đảm bảo rằng tổ chức đáp ứng được với các mối đe dọamới và tiến hóa của kỹ thuật số.

</div>Trang 9<div class="page_container" data-page="9">

Tóm lại, tầm quan trọng của chính sách an tồn thơng tin đóng một vai trị cực kỳquan trọng trong việc bảo vệ thông tin quý báu và tài sản của tổ chức. Bằng cách địnhrõ các quy tắc, tiêu chuẩn, và quy trình an ninh, chính sách này giúp đảm bảo tính bảomật của thơng tin, đồng thời tuân thủ các yêu cầu pháp lý liên quan. Nó cũng cung cấphướng dẫn về cách nâng cấp các tiêu chuẩn an ninh, phòng ngừa rủi ro và ứng phó vớisự vi phạm an tồn thơng tin.

III.Triễn khai một chính sách an tồn thơng tinIII.1Xác định mục tiêu

Một chính sách an tồn thơng tin cho sinh viên tham gia sử dụng các trang thiết bị,phần mềm ở phịng thực hành, chính sách cài đặt các phần mềm ứng dụng chống mãđộc cho máy tính.

III.2Xác định phạm vi

Áp dụng cho tất cả các trang thiết bị cần sử dụng khi phải đăng nhập có tại phịng máythực hành bao gồm tất cả hệ thống máy chủ được thiết lập để sử dụng nội bộ.

III.3Lập kế hoạch triễn khai

Ngoài việc phục vụ các lớp học theo thời khóa biểu,phịng máy tính cịn phục vụ giảngviên, nhân viên và sinh viên theo việc làm việc sau:

Từ 6:30-17:40 từ thứ Hai đến thứ Sáu, từ 6:30-11:30 ngày thứ bảy và chủ nhậtLưu ý: Để phù hợp với lịch học, học kỳ mùa hè phòng máy mở cửa từ 6:30 Giảngviên, nhân viên và sinh viên muốn sử dụng phịng máy tính ngoài các giờ quy địnhtrên cần đề nghị và được chấp nhận của Người Quản Lý Hành Chánh.

</div>Trang 10<div class="page_container" data-page="10">

Nghiêm cấm sử dụng máy vào việc cá nhân. Nghiêm cấm người sử dụng truy cập vàocác website không lành mạnh, phản động, khơng được chơi game, chat...trong phịngmáy.

Người sử dụng máy tính khơng được phép tự ý di chuyển các thiết bị trong phòng. Khigặp sự cố hoặc cần được hỗ trợ, người sử dụng không được tự ý tháo, lắp các thiết bịmà liên hệ hỗ trợ với cán bộ trực phòng máy hoặc nhân viên quản trị mạng (Labadministrator or networking supporter).

Người sử dụng máy tính phải tắt máy tính trước khi rời phịng. Quy Định Về Trật Tựvà Vệ Sinh Trong Phòng Máy

Người sử dụng phải có thái độ đúng mực và thực hiện các yêu cầu của nhân viên giámthị phòng máy đang thực hiện nhiệm vụ.

Nghiêm cấm việc mang đồ ăn, thức uống vào phịng máy.

Người sử dụng phịng máy có trách nhiệm bảo vệ và giữ gìn phịng máy ln đượcsạch sẽ, ngăn nắp.

Người sử dụng cần giữ trật tự, im lặng trong phịng máy, khơng gây ồn ào làm ảnhhưởng mơi trường học tập, làm việc trong phòng.

Xử Lý Vi Phạm

Người sử dụng phòng máy vi phạm Nội Quy sẽ nhận các hình thức kỷ luật từ nhắcnhở, cảnh cáo, cấm sử dụng phòng máy đến buộc nghỉ việc, nghỉ học tùy theo mức độvi phạm.

Chính sách cài đặt các phần mềm ứng dụng chống mã độc cho máy tính.- Sử dụng chung một phần mềm ứng dụng cho cả hệ thống máy tính, dự phịngmột phần mềm ứng dụng khác cho trường hợp cần thiết.

- Sinh viên không được tự ý cài đặt phần mềm ứng dụng phòng mã độc khác khichưa được sự đồng ý của giám sát hay giảng viên.

- Dành thời gian để cho sinh viên và giảng viên tìm hiểu về các phần mềm ứngdụng phịng chống mã độc, nâng cao hiểu biết.

</div>