12 quan ly va xay dung chinh sach ATTT
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (991.41 KB, 200 trang )
BAN CƠ YẾU CHÍNH PHU
HỌC VIỆN KĨ THUẬT MẬT MA
Ths.Trần Thị Xuyên, Ks.Nguyễn Thị Thu Thủy
GIÁO TRÌNH
QUẢN LÍ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN
THÔNG TIN
HÀ NỘI, 2013
i
MỤC LỤC
MỤC LỤC............................................................................................. ii
DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT.................................................iv
DANH MỤC CÁC BẢNG........................................................................... v
DANH MỤC CÁC HÌNH VE.....................................................................vi
LỜI MỞ ĐẦU....................................................................................... vii
Chương 1. TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THƠNG TIN...................................1
1.1. CHÍNH SÁCH AN TỒN THƠNG TIN........................................................................1
1.2. QUẢN LÍ CHÍNH SÁCH AN TỒN THƠNG TIN.......................................................2
1.2.1. Khái niệm an tồn hệ thống thông tin......................................................................2
1.2.2. Quản trị và tầm quan trọng của quản trị an tồn thơng tin......................................7
1.2.3. Các chính sách an tồn thơng tin và tầm quan trọng của chúng.............................9
1.2.4. Khi nào cần sử dụng các chính sách an tồn thơng tin..........................................15
1.3. ĐIỀU PHỐI CHÍNH SÁCH AN TỒN THƠNG TIN.................................................18
1.3.1. Tầm quan trọng của các điều phối của công ty......................................................19
1.3.2. Duy trì sự tuân thủ..................................................................................................21
1.3.3. Giảm nhẹ rủi ro bị lộ..............................................................................................29
1.3.4. Tối thiểu hóa trách nhiệm của tổ chức...................................................................38
1.3.5. Thực thi các chính sách để điều phối tính thống nhất vận hành............................40
1.4. SỰ TUÂN THU LUẬT PHÁP.......................................................................................44
1.4.1. Đối tượng bảo vệ của luật pháp..............................................................................52
1.4.2. Kết hợp các chính sách và kiểm sốt an tồn hợp lệ.............................................54
1.4.3. Một số chuẩn cơng nghiệp quan trọng...................................................................55
Chương 2. PHÂN LOẠI CHÍNH SÁCH AN TOÀN THÔNG TIN..........................................62
2.1. CÁC HƯỚNG TIẾP CẬN KHUNG CHÍNH SÁCH AN TỒN THƠNG TIN..........62
2.1.1. Các hướng tiếp cận khung chính sách an toàn CNTT...........................................63
2.1.2. Cách tiếp cận sự tuân thủ và quản lí rủi ro............................................................70
2.1.3. Tiếp cận vật lí về trách nhiệm CNTT.....................................................................72
2.1.4. Vai trò, trách nhiệm của cá nhân............................................................................72
2.1.5. Phân tách nhiệm vụ.................................................................................................74
2.1.6. Quản trị và tuân thủ................................................................................................78
2.2. CHÍNH SÁCH NGƯỜI DÙNG.....................................................................................79
2.2.1. Phân loại người dùng..............................................................................................79
ii
2.2.2. Chính sách chấp nhận người dùng (Acceptable Use Policy – AUP)....................90
2.2.3. Phân mức quyền truy nhập (Privileged-level access agreement – PAA)..............92
2.2.4. Chính sách nhận thức an tồn (Security Awareness Policy- SAP)........................93
2.3. CHÍNH SÁCH AN TOÀN CƠ SỞ HẠ TẦNG CƠNG NGHỆ THƠNG TIN.............95
2.3.1. Đặc điểm cấu tạo của chính sách cơ sở hạ tầng.....................................................95
2.3.2. Các chính sách miền máy trạm (Workstation Domain Policies)...........................99
2.3.3. Các chính sách miền mạng LAN.........................................................................105
2.3.4. Các chính sách miền mạng LAN – to – WAN.....................................................109
2.3.5. Các chính sách miền mạng WAN.........................................................................111
2.3.6. Các chính sách miền truy cập từ xa......................................................................113
2.3.7. Các chính sách miền hệ thống/ứng dụng.............................................................115
2.3.8. Các chính sách viễn thơng....................................................................................117
2.4. CHÍNH SÁCH PHÂN LOẠI VÀ QUẢN LÍ DỮ LIỆU, VÀ CHÍNH SÁCH QUẢN LÍ
RUI RO..................................................................................................................................120
2.4.1. Chính sách phân loại dữ liệu................................................................................120
2.4.2. Chính sách quản lí dữ liệu....................................................................................125
2.4.3. Các loại rủi ro liên quan đến hệ thống thơng tin..................................................127
2.4.4. Chính sách phân tích tác động các hoạt động trong tổ chức...............................128
2.4.5. Chính sách đánh giá rủi ro....................................................................................129
2.4.6. Chính sách lên kế hoạch duy trì liên tục các hoạt động......................................130
2.4.7. Chính sách khắc phục thảm người dùnga............................................................131
2.5. CHÍNH SÁCH XỬ LÍ SỰ CỐ.....................................................................................132
Chương 3. THIẾT KẾ, TỔ CHỨC, TRIỂN KHAI VÀ BẢO TRÌ CHÍNH SÁCH AN TỒN
THƠNG TIN..............................................................................................................................136
3.1. THIẾT KẾ CÁC CHUẨN VÀ CÁC CHÍNH SÁCH..................................................136
3.1.1. Các nguyên tắc xây dựng các chuẩn và chính sách.............................................137
3.1.2. Các loại kiểm sốt cho các chuẩn và chính sách.................................................141
3.2. XEM XÉT TỔ CHỨC TÀI LIỆU................................................................................143
3.3. TRIỂN KHAI CHÍNH SÁCH AN TỒN THƠNG TIN............................................150
3.3.1. Các vấn đề triển khai chính sách an tồn thơng tin.............................................151
3.3.2. Thực thi chính sách nâng cao nhận thức về an tồn............................................160
3.3.3. Phổ biến thơng tin – cách thức đào tạo nhân viên...............................................169
3.3.4. Khắc phục trở ngại về kĩ thuật.............................................................................175
3.4. THỰC THI CHÍNH SÁCH AN TOÀN THÔNG TIN................................................178
3.5. CẬP NHẬT VÀ SỬA ĐỔI CÁC CHÍNH SÁCH VÀ CÁC CHUẨN........................188
DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT
iii
DANH MỤC CÁC BẢNG
Bảng 1.1 Ví dụ về chính sách an toàn và các thành phần điều khiển.......24
Bảng 1.2 Những lợi ích của phép đo sự điều khiển..................................24
Bảng 1.3 Những khái niệm trong tuân thủ luật pháp liên quan tới CS
ATTT........................................................................................................47
Bảng 2.1 Mẫu các khung chính sách an tồn CNTT................................70
Bảng 2.2 Nhu cầu truy nhập của các kiểu người dùng.............................81
Bảng 2.3 Một số kiểu khác về các chuẩn điều khiển miền máy trạm....103
Bảng 2.4 Sự phân loại dữ liệu và các điều khiển an toàn.......................125
Bảng 3.1 Yêu cầu nhận thức chính sách an tồn đơn giản.....................164
Bảng 3.2 Mơ tả một kế hoạch truyền thông đơn giản............................172
iv
DANH MỤC CÁC HÌNH VE
Hình 1.1 Vịng đời quản lí ISS đã được đơn giản hóa..............................12
Hình 1.2 Các tài liệu bên trong với bên ngồi..........................................17
Hình 1.3 Cải tiến kĩ thuật xử lí cơ bản của cơng ty..................................25
Hình 1.4 Ba kiểu thiết kế điều khiển an tồn duy nhất.............................34
Hình 1.5 Mối quan hệ then chốt của các chính sách an tồn....................37
Hình 1.6 Các thành phần chính trong việc bảo vệ các tài sản số..............43
Hình 2.1 Khung thư viện chuẩn và chính sách.........................................70
Hình 2.2 Mơ hình phạm vi khung chính sách an tồn CNTT được đơn
giản hóa.....................................................................................................72
Hình 2.3 Bẩy miền của cơ sở hạ tầng CNTT điển hình..........................104
Hình 3.1 Phân loại thư viện chính sách và các chuẩn............................153
Hình 3.2 Biểu diễn chi tiết các phần trong chính sách...........................154
Hình 3.3 Chuẩn cơ sở và thủ tục trong chính sách và cây thư viện chuẩn
.................................................................................................................155
Hình 3.4 Văn bản hướng dẫn gắn với chuẩn kiểm sốt..........................155
Hình 3.5 Tầng mở rộng của u cầu kiểm sốt cho công nghệ lạc hậu. 185
v
LỜI MỞ ĐẦU
Việc đảm bảo an tồn hệ thống thơng tin ngày càng được đặc biệt chú
trọng hơn trong một xã hội sử dụng công nghệ thông tin và các ứng dụng an
tồn thơng tin ở hầu hết các lĩnh vực. Chúng ta không chỉ đơn giản là bảo vệ
thông tin trước những nguy cơ làm mất tính an tồn của nó mà chúng ta cịn cần
bảo vệ cả hệ thống lưu trữ và xử lí thơng tin đó. Dù thơng tin có được lưu trữ ở
đâu, dưới dạng nào đi nữa thì nó cũng phải được bảo vệ khỏi sự thay đổi, làm
lộ, phá hủy hay truy nhập bất hợp pháp. Chính vì thế chúng ta cần có các chính
sách an tồn thực sự tốt để đảm bảo thơng tin được bảo vệ một cách tốt nhất.
Tuy nhiên, để có thể cài đặt các chính sách an tồn cơng nghệ thơng tin và
các khung chính sách an tồn cho một cơ quan hay một tổ chức ở cả khu vực
công hay khu vực tư nhân được xem là nhiệm vụ rất khó khăn và phức tạp.
Chúng ta phải xem xét, nghiên cứu, phân tích một loạt các vấn đề khác nhau
như quan niệm về an toàn, cách quản trị, quy mơ của tổ chức, văn hóa của tổ
chức, các yêu cầu, các quy định và luật pháp, … Môn người dùngc này sẽ giúp
chúng ta hiểu thêm về các khái niệm và các vấn đề chính liên quan tới sự quản
lí, thiết kế và thực thi chính sách an tồn thơng tin. Chúng ta cũng sẽ hiểu một
cách đầy đủ hơn về các chính sách an tồn thơng tin và các khung chính sách an
tồn, các khái niệm khác nhau về an tồn thơng tin, các thuật ngữ đơn giản như
quản trị, sự ủy quyền của người quản lí, điều phối chính sách an tồn, những
xem xét về luật pháp và nhiều thuật ngữ khác.
Chương 1 tập trung vào việc giới thiệu các khái niệm cơ bản liên quan
đến chính sách an tồn thơng tin, quản lí chính sách an tồn thơng tin, sự điều
phối an tồn cũng như xem xét các vấn đề về sự tuân thủ pháp luật.
Chương 2 hướng tới nhu cầu cần có một khung chính sách an tồn CNTT
bao gồm các chính sách được viết thành tài liệu, các chuẩn, các thủ tục và các
vi
hướng dẫn. Chúng ta cũng tìm thấy các hướng tiếp cận khung chính sách và
cách phân loại chính sách an tồn thơng tin trong phần này.
Chương 3 trình bày cách thiết kế, tổ chức, thực thi và bắt buộc các chính
sách an tồn thơng tin trong một tổ chức. Đưa ra các nguyên tắc nhất định và
các vấn đề gặp phải trong q trình thực hiện chính sách an tồn thông tin, đề
xuất hướng giải quyết khắc phục các hậu quả xảy ra.
Mơn người dùngc này đóng góp một phần vào việc cung cấp nguồn thơng
tin có ý nghĩa cho các sinh viên, giáo viên, những người làm việc về an tồn
thơng tin liên quan đến các chính sách an tồn và các khung chính sách an tồn.
Tuy nhiên, do cịn hạn chế về trình độ, kiến thức thực tế, thiếu thốn về tài liệu
cũng như áp lực về thời gian hồn thiện nên giáo trình Quản lí và xây dựng
chính sách an tồn thơng tin chắc chắn vẫn cịn tồn tại nhiều thiếu sót. Chúng
tơi rất mong nhận được sự nhận xét và đóng góp những ý kiến quý báu để các
sinh viên, giáo viên và những người quan tâm có được một tài liệu hồn chỉnh
hơn trong những lần tái bản.
Qua đây chúng tôi cũng hết sức cảm ơn sự giúp đỡ của Ban cơ yếu Chính
phủ, Người dùngc viện Kỹ thuật Mật Mã và các thầy cô trong khoa An tồn
thơng tin cũng như các đồng nghiệp trong Người dùngc viện và Ban cơ yếu đã
cổ vũ và tạo điều kiện thuận lợi để chúng tơi hồn thành cuốn sách này.
vii
Chương 1. TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG
TIN
1.1. CHÍNH SÁCH AN TOÀN THÔNG TIN
Đối với một tổ chức để làm việc tốt thì cần các quá trình xử lí cơng việc
đáng tin cậy, chi phí thấp và tn thủ luật pháp. Hầu hết các tổ chức sử dụng các
chính sách và thủ tục để cho các nhân viên biết mục tiêu của công việc và cách
thực hiện để đạt được mục tiêu đó.
Trong một thế giới hồn hảo, các chính sách và thủ tục sẽ ln đưa ra kết
quả hoàn hảo. Điều này yêu cầu các nhân viên ln ln phải tn theo các
chính sách và thủ tục. Tuy nhiên, chúng ta không sống trong một thế giới như
vậy. Cả các chính sách và các thủ tục đều không phải lúc nào cũng thực sự tốt
cũng như các nhân viên cũng không luôn luôn tuân theo chúng. Bất cứ ai mà đã
lĩnh tiền ở ngân hàng đều hiểu thủ tục cơ bản như thế nào. Thủ tục lĩnh tiền bao
gồm kiểm tra danh tính và số dư tài khoản. Chính sách của ngân hàng nói rõ
rằng nếu người thu ngân làm theo thủ tục trả tiền và tài khoản có đủ tiền thì
người thu ngân có thể đưa tiền mặt cho chủ tài khoản. Nếu không tuân theo thủ
tục và chính sách này thì ngân hàng sẽ có thể bị mất tiền.
Để tạo ra và bắt buộc các chính sách cũng rất quan trọng để bảo vệ thơng
tin của một tổ chức. Tất cả các tổ chức bao gồm doanh nghiệp và chính phủ nên
thực thi các chính sách như vậy. Khơng có sự tiếp cận giống hệt nhau. Mỗi một
tổ chức sẽ có cách riêng để thực thi và bắt buộc các chính sách. Một trong
những thách thức mà các tổ chức phải đối mặt đó là chi phí để giữ vững tốc độ
phát triển với cơng nghệ luôn thay đổi. Điều này bao gồm nhu cầu cập nhật các
chính sách cùng thời điểm khi tổ chức cập nhật cơng nghệ. Tình trạng thực thi
khơng thích hợp có thể tạo nên những điểm yếu trong hệ thống. Những điểm
viii
yếu này có thể làm cho các q trình xử lí cơng việc và thơng tin dễ bị mất hoặc
đánh cắp.
Trong việc tạo ra các chính sách an tồn hệ thống thông tin (Information
Systems Security - ISS) hoặc được gọi đơn giản là “chính sách an tồn” hay
“các chính sách ISS”, nhiều cơng ty tài chính (factor) bắt buộc các yêu cầu
chính sách. Các yêu cầu này bao gồm quy mơ của tổ chức, các q trình xử lí,
kiểu thơng tin, các luật lệ và các quy tắc. Một khi tổ chức tạo ra các chính sách
thì người dùng phải đối mặt với thách thức về cả kĩ thuật và con người để cài
đặt chúng. Các yếu tố quan trọng cho việc cài đặt các chính sách là sự chấp
nhận của các nhân viên và việc quản lí sự áp đặt các chính sách đó. Một chính
sách ít hiệu quả hoặc khơng có giá trị gì nếu khơng ai tn theo nó.
1.2. QUẢN LÍ CHÍNH SÁCH AN TOÀN THƠNG TIN
1.2.1. Khái niệm an tồn hệ thống thơng tin
An tồn hệ thống thông tin (ISS) là việc bảo vệ thông tin và bảo vệ hệ
thống lưu trữ và xử lí thơng tin đó. Sự bảo vệ có nghĩa là chống lại các rủi ro
dẫn tới việc truy nhập, sử dụng, làm lộ, phá vỡ, sửa chữa hay phá hủy thông tin
một cách bất hợp pháp. Nó khơng chỉ là bảo vệ thơng tin bên trong máy tính mà
là thơng tin dưới bất cứ dạng nào, chẳng hạn như bảo vệ khi in dữ liệu hay bảo
vệ thông tin trên các phương tiện truyền thơng. Trong thực tế, các chính sách an
tồn được cấu trúc tốt để đảm bảo sự bảo vệ thơng tin ở bất cứ chỗ nào và dưới
bất kì dạng nào. Có thể thấy đây là những phạm vi rõ ràng và cụ thể cần đảm
bảo an tồn. Thơng thường, tổ chức sẽ áp đặt sự an toàn tốt hơn đối với các khu
vực có các mối đe dọa lớn hơn tới tài nguyên hoặc con người.
Đôi khi thông tin khơng được bảo vệ thành cơng vì nhiều lí do khác nhau.
Một số tổ chức không cho rằng thông tin quan trọng. Một số thì lại tin một cách
chủ quan vào các độ đo an toàn đã được thiết kế để bảo vệ và con người sẽ giúp
ix
đảm bảo an tồn thơng tin. Số khác thì chỉ đơn giản là khơng muốn tốn thêm chi
phí. Tuy nhiên, việc bảo vệ thông tin là rất quan trọng đối với các hoạt động của
công ty.
Việc bảo vệ thông tin liên quan đến vịng đời quản lí an tồn hệ thống
thơng tin. Nói chung, trong bất kì q trình xử lí quan trọng nào thì nên có q
trình xử lí vòng đời để giảm thiểu lỗi xảy ra và đảm bảo rằng đã xem xét tất cả
các yêu cầu. Việc cài đặt các độ đo an tồn khơng có gì khác. Các điều khiển và
q trình xử lí an tồn thông tin sử dụng những phương pháp tiếp cận chung
làm đơn giản hóa việc xây dựng và giảm thiểu lỗi. Một q trình xử lí vịng đời
cụ thể chia các nhiệm vụ thành các pha nhỏ hơn, dễ sử dụng hơn. Hiệp hội kiểm
tốn và quản lí hệ thống thơng tin (Information Systems Audit and Control
Association – ISACA) đã phát triển một khung làm việc thực tiễn nhất được
quốc tế chấp nhận rộng rãi. Khung làm việc này tốt hơn nhiều một vịng đời, nó
được gọi là các đối tượng điều khiển đối với thơng tin và cơng nghệ có liên
quan (Control Objects for Information and related Technology - COBIT). Nịng
cốt của nó là 4 pha nhằm mục đích thể hiện chung một vịng đời an tồn hệ
thống thơng tin dựa trên khái niệm:
Lập kế hoạch và Tổ chức
Đạt được và Cài đặt
Phân phối và Hỗ trợ
Giám sát và Quản lí
Q trình xử lí vịng đời có thể sử dụng những phạm vi hay pha đơn giản
này để xây dựng các chính sách hoặc các điều khiển. Mỗi pha được phát triển
dựa trên các pha khác vì thế một pha nào đó bị lỗi có thể dẫn tới pha sau đó có
khuyết điểm hay điểm yếu. Khung làm việc COBIT đi sâu vào việc tách nhỏ
thêm các pha này thành các nhiệm vụ và quá trình xử lí chi tiết. Nhiều tổ chức
x
thay đổi cách tiếp cận quản lí vịng đời dựa trên một khung làm việc giống như
COBIT.
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN.1 mơ tả
một ví dụ về vịng đời quản lí ISS đã được đơn giản hóa.
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN.1 Vịng
đời quản lí ISS đã được đơn giản hóa
Lập kế hoạch và Tổ chức
Lập kế hoạch và tổ chức của khung làm việc COBIT bao gồm những chi
tiết cơ bản về các yêu cầu và mục tiêu của tổ chức. Pha này trả lời các câu hỏi
“Chúng ta muốn làm gì?” và “Chúng ta muốn đạt được như thế nào?”. Thông
tin trong pha này vẫn ở mức cao. Chúng ta xem xét lại cách quản lí sự đầu tư
CNTT như các hợp đồng, các thỏa thuận mức dịch vụ (Service level agreements
– SLAs) và những ý tưởng chính sách mới. Một SLA có thể nói rõ cách mà bên
cung cấp thường sẽ cung cấp dịch vụ như thế nào hay người dùng sẽ đáp ứng
nhanh như thế nào. Đối với các dịch vụ được quản lí, SLA thường bao gồm cả
tính sẵn sàng của hệ thống và các hạn mức (measure) của sự thực hiện có thể
chấp nhận được. Việc xem xét hệ thống sẽ thực thi ở đâu và hệ thống sẽ thực thi
như thế nào để xác định được SLA cũng rất quan trọng. Các SLA quan trọng để
đảm bảo rằng tất cả các bên biết được nghĩa vụ của mình. Có các loại khác nhau
xi
về mức dịch vụ mà áp dụng cho các hợp đồng đối với cái chúng ta cần giải
quyết hàng ngày. Trong pha Lập kế hoạch và Tổ chức, trước hết phải quan tâm
tới loại thiết bị và các dịch vụ đang có. Đồng thời pha này cũng quan tâm tới
cách làm cho người cung cấp phải chịu trách nhiệm đối với những sự cung cấp
của người dùng.
Khơng có ý nghĩa gì khi kí một hợp đồng với bên cung cấp mà không đáp
ứng được những yêu cầu cơ bản của cơng ty. Đây là lí do các SLA là bộ phận
của các hợp đồng giữa tổ chức và bên cung cấp. Tổ chức tạo ra những mơ tả
(description), hay cịn gọi là thiết kế, của hệ thống. Mô tả hệ thống càng chính
xác thì các điều khiển an tồn càng trọn vẹn. Vai trị của một chun gia an tồn
là nhìn vào những thiết kế này để thấy được điểm yếu ở đó mà hệ thống và
thơng tin gặp nguy hiểm.
Ví dụ, giả sử một cơng ty kí hợp đồng với nhà cung cấp dịch vụ viễn
thông. Bên cung cấp dịch vụ đáp ứng những đường truyền dữ liệu và đường
truyền âm thanh. Cơng ty cũng có thể kí kết hợp đồng với một nhà cung cấp
dịch vụ có quản lí. Nhà cung cấp này có thể cung cấp và quản lí thiết bị. Các
hợp đồng cũng sẽ phác thảo trách nhiệm của những bên cung cấp dưới dạng một
SLA.
Đạt được và Cài đặt
Pha Đạt được và Cài đặt của khung làm việc COBIT đưa ra các lịch trình
và sự chuyển giao. Kiểu kiến trúc (build) cơ bản xuất hiện bên trong pha này.
“Kiểu kiến trúc” thể hiện việc xây dựng điều khiển an toàn cũng như là đưa ra
ra các chính sách và các tài liệu hỗ trợ. Kiểu kiến trúc được dựa trên yêu cầu đã
được tạo ra trong pha Lập kế hoạch và Tổ chức. Các yêu cầu càng chi tiết thì
càng dễ suy ra kiểu kiến trúc. Pha Lập kế hoạch và Tổ chức càng có nhiều các
chi tiết thì pha Đạt được và Cài đặt càng dễ thực hiện. SLA trở thành sự xem xét
xii
quan trọng của kiểu kiến trúc vì nó xác định kiểu giải pháp sẽ được lựa cngười
dùngn.
Kết quả của pha này là đạt được và cài đặt xong thiết bị. Như vậy, chúng
ta có các điều khiển để tạo nên hệ thống, có các chính sách, các thủ tục và các
hướng dẫn đã được viết ra và chúng ta cũng có các đội đã được đào tạo.
Phân phối và Hỗ trợ
Trong pha Phân phối và Hỗ trợ của khung làm việc COBIT, nhân viên
làm cho phù hợp với môi trường để tối thiểu hóa các mối đe dọa. Có nghĩa là
người dùng điều chỉnh các điều khiển, các chính sách, các thủ tục, các hợp đồng
và các SLA. Ở đây chúng ta phân tích dữ liệu từ các pha trước và so sánh với
các hoạt động hàng ngày. Chúng ta cũng thực hiện kiểm tra quá trình thâm nhập
nội bộ và bên ngoài và dựa vào những kết quả của những kiểm tra này để đưa ra
những đánh giá quyết định trong các phạm vi như vành đai phòng thủ, truy nhập
từ xa và các thủ tục sao lưu. Trong pha này, cần xem lại tính đúng đắn của các
hợp đồng và các SLA và sửa đổi chúng nếu thấy cần thiết.
Pha này cần có những hội nghị thường xuyên và trao đổi thơng tin chính
xác với bên bán. Chúng ta phải nhanh chóng phát hiện ra bất cứ vấn đề nào để
bên bán biết và đáp ứng các SLA. Thông thường, bên bán cung cấp hồ sơ về
việc thỏa thuận các SLA. Chúng ta so sánh báo cáo của bên bán với các báo cáo
nội bộ của tổ chức. Nếu chúng ta phụ thuộc vào bên bán thì chúng ta nên gặp
hàng tháng để so sánh các hồ sơ và tóm tắt những sự cố xảy ra.
Trong pha này, hoạt động hàng ngày được quản lí và được hỗ trợ. Chúng
ta quản lí các vấn đề, các cấu hình, an tồn vật lí và những cái khác nữa. Nếu
chúng ta đã lập kế hoạch đúng và đã cài đặt giải pháp tốt thì chúng ta sẽ thấy giá
trị đạt được.
Giám sát và Quản lí
xiii
Sau khi đánh giá vịng đời quản lí ISS chúng ta thấy rằng ISS tập trung
vào các loại điều khiển cụ thể tại các điểm cụ thể bên trong hệ thống. Chúng ta
cần phải có sự kiểm tra và giám sát của các điều khiển và các kết quả đã phân
tích đối với tính hiệu quả của hệ thống. Pha này xem xét một bức tranh toàn
cảnh về hệ thống. Các điều khiển cũng như các chính sách và các thủ tục hỗ trợ
có đang theo kịp những thay đổi về mặt công nghệ và môi trường không? Pha
này xem xét các yêu cầu cụ thể của công ty và hướng đi chiến lược đồng thời
xác định liệu hệ thống có vẫn thỏa mãn những mục tiêu này hay khơng.
Những kiểm tốn nội bộ và bên ngồi xảy ra trong suốt pha đánh giá.
Những kiểm toán cũng xảy ra qua tất cả các kiểm tra trong pha này và những
pha trước đó để đảm bảo rằng các yêu cầu được thỏa mãn. Việc này có thể bao
gồm kiểm tra quá trình thâm nhập bởi một bên thứ ba tin cậy. Kiểm tra mà đã
thực hiện trong suốt pha này phải đủ rõ ràng để bao quát hết tất cả môi trường
ISS. Mức kiểm tra an toàn thêm vào sẽ phụ thuộc vào các u cầu và tính phức
tạp của cơng ty. Ví dụ, nếu chúng ta có u cầu về sự tn thủ pháp luật, thì cần
phải có các kiểm tra điều khiển thích hợp để có thể xác nhận về u cầu này có
được thực thi khơng. Chúng ta cũng nên đánh giá q trình ứng phó với sự cố
xảy ra.
1.2.2. Quản trị và tầm quan trọng của quản trị an tồn thơng tin
Quản trị vừa là một khái niệm vừa là những hành động cụ thể mà một tổ
chức thực hiện để đảm bảo sự tuân thủ các chính sách, các q trình xử lí, các
chuẩn và các hướng dẫn. Mục tiêu là để thỏa mãn các yêu cầu của công ty. Tuy
nhiên, mấu chốt của quản trị là đảm bảo mọi người tuân theo các luật lệ đã được
thiết lập. Quản trị phải làm cho mọi người hiểu rõ về những mục tiêu của công
ty và các mục tiêu này phải được hình thành các luật lệ. Do đó, bằng cách tuân
theo các luật lệ chúng ta sẽ đạt được những mục tiêu đề ra. Việc quản trị tốt nên
xiv
bao gồm sự hiểu biết một cách sâu sắc về cơng ty, vì vậy khi bắt buộc tn thủ
luật mà khơng đem lại ý nghĩa thì có thể thực hiện việc điều chỉnh trong q
trình quản trị.
Quản trị rất có ý nghĩa trong thực tế, nó bao gồm một loạt các quá trình
và ủy ban giám sát. Hiển nhiên, quản trị đảm bảo sự chịu trách nhiệm, hoạt
động giám sát và các hồ sơ mà đang diễn ra. Cấu trúc quản trị cũng có nghĩa là
sẽ thực hiện hành động khi các luật bị bỏ qua hay không được áp dụng một cách
phù hợp.
Quản trị tốt cho ta sự đảm bảo và tin tưởng rằng các luật đang được tuân
thủ. Ai cần sự đảm bảo đó? Trước tiên, những người quản trị có kinh nghiệm
cần để biết các mục tiêu của công ty đang được thỏa mãn. Nếu các luật đang
được tn thủ thì có sự đảm bảo nào đó rằng công ty đang được thực hiện như
đã định. Cũng vậy, người quản trị có kinh nghiệm cần sự đảm bảo này để biết
rằng sự đầu tư của tổ chức đã được quản lí một cách thích hợp. Thứ hai, các quy
định trong cấu trúc quản trị đối với việc đảm bảo rằng những rủi ro tới các cổ
đông, các khách hàng và cả cộng đồng đang được quản lí phù hợp.
Không phải là khác thường khi thực hiện việc kiểm tra sự tn thủ của
các q trình xử lí quản trị. Kiểm tra sự tuân thủ giúp ta hiểu một cách sâu sắc
quá trình quản trị một cách phù hợp và có thể so sánh được. Bằng cách làm cho
q trình này hợp lí và có thể lặp lại, các tổ chức có thể so sánh sự đổi mới theo
thời gian. Những người quản trị có thể cải tiến q trình theo thời gian, làm cho
nó hiệu quả hơn. Điều này khiến cho chúng ta hiểu hơn về rủi ro và cho phép
chúng ta triển khai các thông số để khơng cịn các điểm yếu. Nó cũng cho phép
chúng ta giảm sự ảnh hưởng tới tổ chức trong trường hợp vi phạm.
Ví dụ, sự quan trọng của quản trị là rõ ràng trong một q trình quản lí
cấu hình. Bằng cách điều khiển cấu hình hệ thống, chúng ta có thể kiểm tra
được những điểm yếu đã được giảm nhẹ trước đó nhưng vẫn cịn tồn tại trong
xv
hệ thống. Sự quản trị quan trọng đối với thao tác hàng ngày của một tổ chức và
không nên diễn ra “một năm một lần”. Bằng cách hợp nhất chi phí hàng năm
của tổ chức với ngân sách hàng năm, những quy định quản trị về những lợi ích
liên tục khơng thể được xem như phí tổn khơng mong đợi.
1.2.3. Các chính sách an tồn thơng tin và tầm quan trọng của chúng
Chính sách có thể được hiểu như một yêu cầu của công ty trên các hoạt
động hay các q trình xử lí mà một tổ chức thực hiện. Các chính sách ISS quy
định sự sắp xếp các điều khiển trong các q trình xử lí đặc trưng cho hệ thống
thơng tin. Những chính sách này đề cập tới các loại điều khiển cần thiết chứ
không đưa ra cách xây dựng nên các điều khiển.
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN.2 Các tài
liệu bên trong với bên ngồi
Các chính sách ISS cần bao qt mọi hiểm người dùnga đối với hệ thống
và chúng phải bảo vệ được con người và thông tin. Chúng cũng phải thiết lập
các luật đối với người dùng, xác định những hậu quả của các vi phạm và tối
thiểu hóa rủi ro cho tổ chức. Do đó, bất cứ q trình xử lí nào mà chứa một
xvi
trong những u cầu của cơng ty đó nên được hỗ trợ bởi một chính sách. Các tài
liệu khác trong khung chính sách cung cấp thêm sự hỗ trợ. Có 4 kiểu tài liệu
khác nhau trong một khung chính sách:
Chính sách: Tài liệu mà chỉ ra cách thức thực hiện và quản lí các
chức năng cơng việc và các giao dịch với một tác động mong muốn
của tổ chức.
Chuẩn: Một quy tắc hoặc phương pháp được thiết lập và được
chứng minh, quy tắc này có thể là một tiêu chuẩn về thủ tục hay
một chuẩn kĩ thuật đã được cài đặt rộng rãi trong tổ chức.
Thủ tục: Báo cáo được viết ra nhằm mô tả các bước cần có để cài
đặt một q trình xử lí.
Hướng dẫn: Một tài liệu bên trong một chính sách, chuẩn hay thủ
tục mà được đề nghị nhưng không bắt buộc.
Nhiều khi mọi người coi tất cả những tài liệu này như “các chính sách an
tồn” nhưng khơng phải là nhất thiết. Error: Reference source not found mô tả
mối quan hệ của 4 tài liệu này. Theo hình vẽ, các thủ tục và các hướng dẫn hỗ
trợ các chính sách. Ngồi ra, hình vẽ cịn chỉ ra rằng các chuẩn ảnh hưởng tới
các chính sách. Bốn tài liệu này thuộc vào 2 nhóm: Tài liệu bên trong và bên
ngồi. Các chuẩn là những tài liệu bên ngồi, trong khi đó 3 cái cịn lại là tài
liệu bên trong. Chuẩn có thể là một q trình xử lí hay một phương pháp để cài
đặt một giải pháp. Chuẩn bao gồm kĩ thuật, phần cứng hay phần mềm mà có hồ
sơ đã chứng minh về sự thực hiện. Đây có thể là chuẩn về thủ tục hoặc chuẩn
cài đặt hoặc chuẩn triển khai kĩ thuật mà đã được thực thi rộng rãi trong cơng ty.
Vì mục đích của ISS, chuẩn là một tập hợp các tiêu chuẩn để một hệ thống
thông tin dựa vào đó mà vận hành. Các chuẩn áp dụng sự ảnh hưởng bên ngồi
đối với việc tạo ra các chính sách. Một tổ chức có thể có những chuẩn nội bộ.
xvii
Thường những chuẩn này được biến đổi cho phù hợp với tổ chức dựa trên thực
tiễn tốt nhất từ bên ngồi.
Chính sách là một tài liệu chỉ ra cách thực hiện của tổ chức. Nó mơ tả
cách quản lí các chức năng của công ty và các giao dịch đối với một tác động
được mong muốn. Nó làm cho sự điều khiển an tồn thơng tin trở nên dễ dàng.
Nó là tài liệu về “Ai làm cái gì cho ai và khi nào”. Nó phản ánh việc bảo vệ
thơng tin của các ủy ban lãnh đạo.
Thủ tục là báo cáo được viết ra nhằm mô tả các bước cần thiết để cài đặt
một q trình xử lí. Mục tiêu của các thủ tục là hỗ trợ các chính sách và các
chuẩn. Các thủ tục cho biết cách thực hiện những nhiệm vụ cụ thể. Một thủ tục
càng chi tiết thì kết quả càng tránh được lỗi.
Hướng dẫn đặt ra các thơng số bên trong một chính sách, chuẩn hay thủ
tục mà có thể được sử dụng. Hướng dẫn khơng phải là bắt buộc. Nó là một tài
liệu hỗ trợ chính sách. Giống như các thủ tục, các hướng dẫn giúp cho cơng ty
hoạt động trơi chảy hơn.
Các chính sách an tồn ISS đảm bảo sự bảo vệ thơng tin của tồn bộ hệ
thống. Thơng tin khơng phải lúc nào cũng là tĩnh mà thường xuyên thay đổi
trong quá trình xử lí và chúng phải được bảo vệ trong suốt quá trình xử lí tại
mọi thời điểm. Tới một chừng mực, các chính sách an tồn vật lí và các thủ tục
sẽ bảo vệ dữ liệu. Tuy nhiên, điều đó khơng phải là ln ln đúng. Làm sao có
thể bảo vệ được tài nguyên đối với những người có kiểu truy nhập hợp pháp
này? An tồn vật lí có những hạn chế và nên được xem xét như một trong một
vài tầng điều khiển.
Dưới đây là một số lí do cho thấy cần phải sử dụng và bắt buộc các chính
sách an toàn:
xviii
Bảo vệ hệ thống khỏi mối đe dọa từ người nội bộ: “mối đe dọa từ
người nội bộ” được hiểu là những người dùng có quyền truy nhập
hợp pháp. Đây là những người dùng có thẩm quyền có khả năng
truy nhập để phá hoại hệ thống. Mối đe dọa từ người nội bộ có thể
là mối đe dọa đáng kể nhất đối với bất kì hệ thống thơng tin nào.
Những chính sách giúp giám sát hoạt động của người dùng hợp
pháp.
Bảo vệ thông tin tĩnh và thông tin trên đường truyền: Dữ liệu
thường ở một trong hai trạng thái: dữ liệu tĩnh (data at rest) như dữ
liệu trên tệp sao lưu hay dữ liệu trên đường truyền (data in transit),
chẳng hạn như khi đang di chuyển qua một mạng. Về cơ bản, các
chính sách giúp ln ln bảo vệ dữ liệu.
Điều khiển sự thay đổi tới cơ sở hạ tầng CNTT: Thay đổi là tốt.
Quản lí sự thay đổi cịn tốt hơn vì điều này giúp làm giảm rủi ro
của những điểm yếu trong hệ thống.
Các chính sách an toàn tăng cường việc lúc nào cũng bảo vệ những tài
nguyên thông tin của tổ chức trong khi cung cấp cho nhân viên quyền truy nhập
an toàn lúc người dùng cần. Các chính sách cho phép điều khiển hệ thống, thay
đổi hệ thống và giảm đáng kể rủi ro đối với hệ thống.
1.2.3.1. Các chính sách hỗ trợ vận hành thành cơng
Chi phí là yếu tố chính để xác định xem liệu một cơng ty có nên thực thi
chính sách nào đó hay khơng. Có cần địi hỏi chi phí khơng? Phải mất thời gian
để xác định các rủi ro cho một hệ thống thông tin, xác định các chiến lược khắc
phục (mitigation strategies) và thực thi các chiến lược đó.
Sử dụng các chính sách hỗ trợ cho việc đánh giá rủi ro, giảm thiểu chi phi
bằng cách cung cấp các điều khiển và các thủ tục để quản lí rủi ro. Điều này
xix
cũng cho phép sự thay đổi trong cách quản lí. Một chính sách tốt bao gồm sự hỗ
trợ cho việc quản lí sự cố (incident handling). Một chính sách như thế có thể
giúp cho tổ chức giảm một lần bị lộ. Sự nhận dạng được lí do một sự cố có thể
bắt đầu ngay lập tức và các kẻ tấn công khả năng đã xác định. Theo quan điểm
của kinh doanh thì “Thời gian là tiền bạc” vì thế giải pháp tốt hơn cả đó là cho
phép tài nguyên sẵn sàng được tạo ra nhanh hơn.
Bằng cách điều khiển các chi phí và tập trung vào những rủi ro quan
trọng nhất, một tổ chức có thể tránh được lãng phí và hỗ trợ thành công sự vận
hành. Những rủi ro chủ yếu đối với một tổ chức có thể giảm theo thời gian
thông qua sự cải tiến liên tục đã đạt được phần nào bằng việc có được q trình
quản lí tốt sự cố trước đó.
1.2.3.2. Những thách thức của việc vận hành một cơng ty mà khơng
có các chính sách
Khi một tổ chức thiếu đi các chính sách thì các hoạt động của tổ chức đó
trở nên kém dự đoán trước. Các cá nhân sẽ hoạt động dựa trên những gì người
dùng nghĩ là tốt vào thời điểm đó. Hãy tưởng tượng một đội đua thuyền mà
khơng có sự chỉ đạo. Mỗi người có một mái chèo và cố gắng đi tới đích và tránh
các chướng ngại vật trên đường. Ngay cả khi điều khiển để đi, hãy nghĩ về sự
lãng phí của việc đi vịng trịn khi một phía của thuyền chèo nhanh hơn và gấp
rút hơn phía còn lại. Giả sử đội đua chèo cùng một lúc, điều này khơng khác với
các chính sách. Các chính sách cho phép một tổ chức chèo thuyền cùng một
hướng dựa trên các luật, sự ưu tiên và mục tiêu của cơng ty giống nhau. Nếu
khơng sử dụng các chính sách thì một tổ chức có thể gặp phải những khó khăn
sau:
Chi phí cao hơn: vì lãng phí những nỗ lực và chỉnh sửa lại.
xx
Khách hàng khơng hài lịng: khơng có chất lượng vì các cá nhân
đưa ra đánh giá riêng về cái gì là đúng hay tốt.
Thiếu sự tuân thủ quy định: các cá nhân quyết định khi nào và cách
tuân thủ những sự ủy quyền hợp pháp.
Hãy xét một ví dụ về kế tốn. Điều gì sẽ xảy ra nếu hệ thống thơng tin kế
tốn hay bảng lương bị phá hoại (compromise) hay khơng sẵn sàng? Như thế thì
khơng trả lương được cho các nhân viên. Nếu cơng ty có một chính sách khi hệ
thống kế tốn bị ngừng lại thì hệ thống sẽ được khơi phục để lập bảng lương.
Lần lượt cơng ty có thể có một chính sách đưa ra một thủ tục thủ công khi hệ
thống không sẵn sàng. Thiếu các chính sách an tồn và khơng có những sự quản
lí rủi ro một cách có phương pháp thì làm cho khơng thể phát hiện ra các điểm
yếu của hệ thống.
1.2.3.3. Những nguy hại của việc không thực thi các chính sách
Nếu các chính sách an tồn là để đảm bảo thông tin được bảo vệ một cách
hợp lí thì việc thực thi sai các chính sách sẽ gây hại tới thơng tin. Thơng tin có
thể bị hại bởi một tấn cơng hay sự quản lí yếu kém. Một số nhân viên nói “Nhân
viên của người dùng là những người thông minh nhất trong lĩnh vực này” hay
“Chúng tôi vẫn thực hiện như vậy hàng năm mà khơng có bất cứ vấn đề gì xảy
ra”. Đây cũng chính là câu trả lời cho câu hỏi “Tại sao lại thực thi các chính
sách?”.
Sự nguy hiểm khi khơng thực thi các chính sách là những hậu quả khơng
ngờ và không mong muốn. Trong trường hợp một việc xảy ra của ISS, các nhân
viên sẽ khơng biết làm cái gì, phản ứng như thế nào hay cảnh báo cho ai. Điều
này dẫn đến sự nhầm lẫn chung. Khi người dùng cố gắng đưa ra câu trả lời cho
những câu hỏi đó thì một kẻ tấn cơng có thể đang sao chép thông tin nhiều hơn
từ hệ thống.
xxi
Khơng có điều khiển quản lí cấu hình, những sự sửa chữa hệ thống một
khi an toàn sẽ làm cho chúng khơng an tồn. Những người quản lí sẽ khơng thể
điều khiển những thay đổi tới các hệ thống thông tin mà sẽ làm tăng những
điểm yếu cho các hệ thống.
1.2.3.4. Những nguy hại của việc thực thi các chính sách sai
Thực thi các chính sách sai cũng giống như khơng thực thi các chính
sách. Khi tạo ra các chính sách thì cần phải chỉ rõ các quá trình xử lí phù hợp
hoặc các hậu quả có hại có thể xảy ra.
Ví dụ, xét một chính sách chỉ ra rằng tất cả các nhân viên đều được trao
đặc quyền quản trị hệ thống. Theo chính sách này, các nguyên lí cơ bản của đảm
bảo thông tin không thể được đảm bảo. Những người dùng sẽ có quyền truy
nhập tới tất cả các thông tin, đây không phải là điều mong đợi cũng khơng phải
là sự thực thi an tồn tốt nhất. Vì chính sách an tồn thường là một người dùng
của các chính sách nên cần phải đảm bảo chúng khơng mâu thuẫn với những
chính sách khác.
1.2.4. Khi nào cần sử dụng các chính sách an tồn thơng tin
“Sự tính toán đúng lúc làm nên tất cả.”. Đây gần như là nguyên lí số 1 mà
những diễn viên hài sử dụng. Điều này cũng được áp dụng đối với tính chất
đúng lúc của các chính sách. Tại sao lại thực thi chính sách trên những con bị
vắt sữa trong khi mơ hình của cơng ty là ni gà? Tất nhiên chính sách này có
thể tồn tại nếu như một ngày nào đó trang trại mở rộng hoạt động, tuy nhiên
khơng có lí do gì lại đưa ra những chính sách này khi mà sự mở rộng đó chưa
xảy ra.
Hiển nhiên nhu cầu cần có một chính sách an tồn ISS là rất lớn. Các
chính sách an tồn cần để đảm bảo rằng công nghệ mới không được đưa ra mà
xxii
khơng có một tập chính sách hỗ trợ. Ví dụ, nếu một công ty đã không thực thi
tin người dùngc di động (mobile computing) thì khơng có lí do gì để đưa ra các
chính sách quản trị q trình xử lí này. Tuy nhiên, khi cơng ty quyết định giới
thiệu sản phẩm có cài đặt tin người dùngc di động thì lại cần các chính sách đó.
Xét một vấn đề khác, có thể có một q trình diễn ra hàng ngày và tất cả những
nhân viên liên quan biết được q trình đó. Tuy nhiên q trình này khơng được
cung cấp tài liệu dù là những nhân viên biết tất cả các bước thực hiện. Nhân
viên chủ chốt đối với quá trình này sẽ nghỉ hưu vào tháng tới. Đây là cơ hội
hồn hảo để chính thức hóa thủ tục được viết ra.
1.2.4.1. Cải tiến kĩ thuật xử lí của công ty (Business process
reengineering (BPR))
Sự cải tiến của các quá trình xử lí của cơng ty ln ln được xem xét
một cách kĩ lưỡng. Khi hồn thành vịng đời xử lí của cơng ty đó thì q trình
xử lí được cải tiến và thay đổi. Tuy nhiên, các chính sách được kết hợp cũng
phải được thay đổi và cập nhật. Cụ thể, các chính sách và các thủ tục được kết
hợp mà được thừa nhận trong vòng đời về bản chất mang tính vận hành. Các
chính sách mà hỗ trợ các hoạt động, như các chính sách an tồn thì không phải
lúc nào cũng được xem xét. Việc không cập nhật những chính sách và những
thủ tục này là cơ hội dẫn tới sai sót và tai người dùnga.
Việc thay đổi q trình xử lí có thể phải đủ gây chú ý để đưa ra những
điểm yếu an toàn mới. Nếu thiết bị hoạt động bên trong quá trình xử lí thay đổi
hồn tồn thì những điểm yếu an tồn cũ lại xuất hiện. Do đó, bắt buộc phải
đảm bảo rằng khi cải tiến bất cứ q trình xử lí của cơng ty nào thì cũng phải
xem xét lại sự an toàn. Điều này sẽ đảm bảo rằng việc cải tiến kĩ thuật xử lí của
cơng ty (BPR) chứa những mối quan tâm về ISS và những chính sách và những
thủ tục đó được cập nhật như một sự cần thiết.
xxiii
Hình TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THƠNG TIN.3 Cải tiến
kĩ thuật xử lí cơ bản của cơng ty
Error: Reference source not found chỉ ra 4 pha của BPR. Trong đó pha 1
là lập kế hoạch. Việc tạo ra và chỉnh sửa chuẩn của q trình xử lí nằm ở pha 2.
Pha 3 thực hiện nghiên cứu và làm chuẩn những gì xảy ra. Cuối cùng pha 4 đảm
nhiệm việc phát triển q trình xử lí tương lai. Các chính sách được đưa ra hoặc
cập nhật những chính sách đang có trong suốt pha 4.
1.2.4.2. Cải tiến liên tục
Cải tiến liên tục chính là tìm ra cách tốt hơn hoặc rút ra bài người dùngc.
Khi các nhân viên tìm ra những cách mới để cải tiến hệ thống hay q trình xử
lí thì cần phải có cách đạt được những ý tưởng đó. Khái niệm về cải tiến liên tục
áp dụng cho tất cả các khía cạnh của ISS và IA. Ví dụ, khi xem các vấn đề về
tính sẵn sàng có thể tình cờ thấy được nhược điểm của xác thực. Khơng cần chú
ý tới việc tìm ra điểm yếu hay rủi ro như thế nào mà phải lấy được thông tin,
đánh giá tầm quan trọng và áp dụng sự cải tiến. Đơi khi điều này có nghĩa là
thay đổi chính sách. Khi những mục tiêu của chính sách khơng thể đạt được thì
sự bắt buộc khơng xảy ra được và tồn bộ khung chính sách an tồn trở nên yếu
đi.
Điều phối để “tìm ra cách tốt hơn” không phải là làm sụp đổ hay vi phạm
hệ thống. Trong những trường hợp đó, có thể phải giải quyết những bài người
dùngc thu được từ sự cố và hãy suy nghĩ về sự cải tiến liên tục. Các nhân viên
nhận ra những sự thay đổi cần thiết và đưa ra đề nghị. Đề nghị hoặc là được
xxiv
chấp nhận hoặc là bị từ chối. Nếu được chấp nhận thì nó trở thành q trình cải
tiến kĩ thuật chính thức.
1.2.4.3. Vấn đề liên quan
Ngay cả khi với một khung chính sách tốt thì vẫn có những vấn đề xảy ra.
Phụ thuộc vào sự quan trọng của vấn đề mà sự thực thi hay thay đổi chính sách
có thể xảy ra ở bất cứ thời điểm nào trong quá trình xử lí. Những thay đổi chính
sách giúp tránh những việc xảy ra trong tương lai. Trong một môi trường hồn
hảo, các chính sách đã thích hợp trước khi những sự cố. Tuy nhiên, hầu hết các
tổ chức không hoạt động trong một mơi trường hồn hảo. Một khi xảy ra một sự
kiện mà chính sách khơng chứa nó thì việc phân tích sự kiện thực hiện và đưa ra
đề nghị. Với những sự kiện mà về cơ bản không quan trọng thì việc đưa ra
chính sách phối hợp với quá trình sửa chữa. Nếu về cơ bản sự kiện đó quan
trọng hơn thì sự sửa chữa nên xảy ra trước khi đưa ra chính sách.
1.3. ĐIỀU PHỐI CHÍNH SÁCH AN TOÀN THÔNG TIN
Hầu hết các tổ chức ngày nay nhờ vào các máy tính để kiểm sốt cơng ty.
Liệu trong khu vực chung hay riêng mối đe dọa đối với thông tin là bị đánh cắp
hay bị truy nhập bất hợp pháp có phải là vấn đề quan tâm lớn hay không. Khi
giảm bớt những kiểu rủi ro này cho tài sản thơng tin thì cũng giảm được những
rủi ro cho cơng ty. Các chính sách an tồn cho phép tổ chức thiết lập các luật để
giảm rủi ro tới tài sản thơng tin. Sự quản lí có lợi ích trực tiếp và tầm quan trọng
trong việc đảm bảo sự tuân thủ các quy định.
Không thể loại bỏ được hết tất cả các rủi ro, nhưng trong một số trường
hợp, một chính sách tốt có thể giảm được khả năng xảy ra các rủi ro hoặc giảm
ảnh hưởng của nó. Cơng ty phải tìm ra được cách cân bằng số các điều phối
cạnh tranh. Một số các điều phối này bao gồm:
Chi phí: Giữ được các chi phí thấp
xxv
