Tải bản đầy đủ (.pdf) (29 trang)

Tiêu chuẩn an toàn mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (96.24 KB, 29 trang )

TIÊU CHUẨN AN TOÀN MẠNG
n An toàn thông tin làcác biện pháp nhằm đảm
bảo tính bímật (confidentiality), tính toàn vẹn
(integrity) vàtính sẵn sàng (availability) của
thông tin.
n ISO 17799: Mục tiêu của BS7799 / ISO 17799
là“tạo nền móng cho sự phát triển các tiêu
chuẩn về ATTT vàcác biện pháp quản lý
ATTT hiệu quả trong một tổ chức , đồng thời
tạo ra sự tin cậy trong các giao dịch liên tổ
chức”
n ISO 17799 nhằm để thiết lập hệ thống quản
lý bảo mật thông tin, gồm các bước như
sau:
n a) Xác định phạm vi vàranh giới của hệ
thống ISMS phùhợp với đặc điểm của
hoạt động kinh doanh, việc tổ chức, vị trí
địa lý, tài sản vàcông nghệ, vàbao gồm
các chi tiết của chúng vàcác minh chứng
cho các loại trừ trong phạm vi áp dụng.
n b) Xác định một chính sách của hệ thống bảo
mật phùhợp với đặc điểm của hoạt động
kinh doanh, việc tổ chức, vị trí địa lý, tài sản
vàcông nghệ mà:
n 1) Bao gồm cơ cấu cho việc thiết lập các
mục tiêu vàxây dựng ý thức chung trong
định hướng vàcác nguyên tắc hành động
về bảo mật thông tin.
n 2) Quan tâm đến các hoạt động kinh doanh
vàcác yêu cầu của luật hoặc pháp lý, vàcác
bổn phận bảo mật thõa thuận.


n 3) Sắp xếp thực hiện việc thiết lập vàduy trì
hệ thống ISMS trong chiến lược của tổ chức
về việc quản lý các rủi ro.
n 4) Thiết lập tiêu chuẩn để đánh giácác rủi ro
n 5) Được duyệt bởi lãnh đạo
n c) Xác định cách thức đánh giárủi ro của tổ
chức
n 1) Xác định phương pháp đánh giárủi ro
phùhợp với hệ thống mạng, vànhững thông
tin của hoạt động kinh doanh đã xác định,
các yêu cầu của luật vàpháp chế
n 2) Xây dựng tiêu chuẩn chấp nhận các rủi ro
vàxác định các mức độ chấp nhận
n d) Xác định các rủi ro
n 1) Xác định các tài sản thuộc phạm vi của hệ
thống mạng vàcác chủ nhân của những tài sản
này
n 2) Xác định các rủi ro cho các tài sản đó
n 3) Xác định các yếu điểm màcóthể bị khai thác
hoặc lợi dụng bởi các mối đe dọa
n 4) Xác định các ảnh hưởng hoặc tác động làm
mất tính bímật, toàn vẹn vàsẳn cómàcóthể có
ở các tài sản này
n e) Phân tích và đánh giácác rủi ro
n 1) Đánh giácác tác động ảnh hưởng đến
hoạt động của tổ chức cóthể códo lỗi bảo
mật, Quan tâm xem xét các hậu quả của
việc mất tính bảo mật, toàn vẹn hoặc sẳn có
của các tài sản
n 2) Đánh giákhả năng thực tế cóthể xãy ra

các lỗi bảo mật do khinh suất các mối đe
dọa vàyếu điểm phổ biến hoặc thường gặp,
vàdo các ảnh hưởng liên quan đến các
tài sản này, vàdo việc áp dụng các
biện pháp kiểm soát hiện hành.
n 3) Ước lượng các mức độ rủi ro
n 4) Định rõ xem coi các rủi ro cóthể
chấp nhận được hay cần thiết phải có
xử lý bằng cách sử dụng các tiêu chuẩn
chấp nhận rủi ro đã được lập trong mục
c –2
n f) Xác định và đánh giácác phương án xử lý
các rủi ro
n 1) Áp dụng các biện pháp kiểm soát thích
hợp
n 2) Chủ tâm vàmột cách khách quan chấp
nhận các rủi ro, với điều kiện chúng thõa
mãn một cách rõ ràng các chính sách của tổ
chức vàcác chuẩn mực chấp nhận rủi ro.
n 3) Tránh các rủi ro
n 4) Chuyển các công việc rủi ro liên đới
cho các tổ chức/cánhân khác như nhà
bảo hiểm, nhàcung cấp
n g) Chọn các mục tiêu kiểm soát vàcác biện
pháp kiểm soát để xử lý các rủi ro
n h) Thông qua lãnh đạo các đề suất về các rủi
ro còn lại sau xử lý
n i) Được phép của lãnh đạo để áp dụng vàvận
hành hệ thống quản lý bảo mật thông tin

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×