



















Preview text:
lOMoAR cPSD| 58794847
Chương trình AT & BM HTTT
◼ Sự cần thiết phải xây dựng chính sách và các văn bản
◼ Các loại hình văn bản chính sách
◼ Một số chính sách tiêu biểu lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
◼ Các vấn đề của an toàn và bảo mật
xảy ra trong suốt quá trình hình
thành, phát triển, tồn tại của hệ thống
◼ Trong chuỗi mắt xích bảo vệ, sức
mạnh chuỗi bảo vệ chính là điểm yếu nhất của nó lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
◼ Ban hành chính sách -> tuyên truyền -> kiểm tra
◼ Phạm vi vấn đề: các loại thông tin trong hệ thống
◼ Nguồn tấn công vào hệ thống: 80%
xuất phát từ phía nhân viên lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
◼ Tấn công liên quan đến phần cứng,
tấn công mạng: 16%. Các tấn công
khác liên quan đến yếu tố con người
◼ Chính sách, chỉ dẫn, hướng dẫn giải
quyết các vấn đề liên quan đến con người lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
• Cơ sở để xem xét các hành động của
con người để đánh giá
• Kết hợp với các giải pháp kỹ thuật quản lý toàn bộ hệ thống
• Nền tảng cho việc triển khai chương trình at & bm httt lOMoAR cPSD| 58794847 Các định nghĩa ◼ 1. Chính sách
◼ Một chính sách là phát biểu mức cao
của niềm tin, mục tiêu, đối tượng
của công ty và nghĩa chung cho mục
tiêu cần đạt được trong một lĩnh vực ◼ 2. Tiêu chuẩn
◼ Là yêu cầu bắt buộc để hỗ trợ các chính sách riêng lẽ lOMoAR cPSD| 58794847 Các định nghĩa ◼ 3. Chỉ dẫn
◼ Chỉ dẫn là sự cần thiết, từng bước,
hành động chi tiết hoá, yêu cầu phải
thực hiện để hoàn thành một công việc 4. Hướng dẫn
Hướng dẫn thường là các phát biểu
chung thiết kế để đạt được mục tiêu
của chính sách bằng cách đưa ra nền
tảng để thực hiện các chỉ dẫn lOMoAR cPSD| 58794847
Các chính sách trong một đơn vị lOMoAR cPSD| 58794847 Một số chú ý
◼ Dễ hiểu (viết bởi chuyên gia, đọc là
người dùng bình thường)
◼ Có thể áp dụng được: Chính sách
phải viết phù hợp với mục tiêu của tổ chức
◼ Có thể thực hiện được: Khi thực hiện
chính sách vẫn đảm bảo hoạt động (không bị ảnh hưởng) lOMoAR cPSD| 58794847
◼ Có thể tuân thủ được: Không quá
nghiêm khắc và không phù hợp với văn hóa, môi trường Một số chú ý
◼ Được lên kế hoạch, thực hiện từng
bước: dự kiến, phản hồi, áp dụng
◼ Chủ động: đưa ra những vấn đề có
thể làm, yêu cầu với nhân viên.
◼ Không quá tuyệt đối: không sử dụng
những quyết định mang tính cố định, không mềm dẻo lOMoAR cPSD| 58794847
◼ Đảm bảo được mục tiêu công việc:
những chính sách không phù hợp sẽ bị loại bỏ Định dạng
1. Chính sách toàn thể (mức 1) ◼ Chủ đề
Vấn đề mà chính sách đề cập đến
Phạm vi chính sách quan tâm ◼ Giới hạn
Giới hạn người có ảnh hưởng bởi chính sách lOMoAR cPSD| 58794847
Giới hạn đối tượng điều chỉnh của chính sách Định dạng
1. Chính sách toàn thể (mức 1) ◼ Trách nhiệm Trách nhiệm các cá nhân
◼ Sự tuân thủ hoặc những kết quả xấu
Hình thức xử phạt khi không tuân thủ Định dạng chính sách
◼ 2. Chính sách theo chủ đề (mức 2) lOMoAR cPSD| 58794847
◼ Tập trung đến vấn đề liên quan và quan tâm hiện tại
◼ Thay đổi theo thời gian, sự thay đổi
công nghệ, các nhân tố khác lOMoAR cPSD| 58794847
Một số chính sách mức 2 lOMoAR cPSD| 58794847 Định dạng chính sách
◼ 3. Chính sách ở mức ứng dụng (mức 3)
◼ Chính sách mức 3 không có mô hình
chặt chẽ như mức 1, 2. Nhưng cần chú ý một số điểm:
• Hiểu được nhiệm vụ, mục tiêu toàn cục của công ty
• Hiểu được nhiệm vụ của chương trình, hệ thống
• Thiết lập các yêu cầu hỗ trợ cả hai mục tiêu lOMoAR cPSD| 58794847
Một số chính sách tiêu biểu
◼ Chính sách phân lớp tài sản
◼ Chính sách quản lý tài liệu
◼ Chính sách điều khiển truy xuất
◼ Chính sách bảo mật vật lý
◼ Chính sách công việc liên tục Phân lớp tài sản
◼ Đảm bảo cho các tài sản được phân lớp đúng theo giá trị lOMoAR cPSD| 58794847
◼ Cơ sở cho các chính sách đảm bảo trên các phân lớp lOMoAR cPSD| 58794847 Phân lớp tài sản (t)
◼ Tiến trình quyết định công việc lOMoAR cPSD| 58794847 Phân lớp tài sản (t)
◼ Trách nhiệm, và thực thi trách nhiệm
quản lý tài sản của người quản lý ◼ Vấn đề liên quan
• Nhiệm vụ quan trọng, hành động nhạy cảm
• Nơi nào là nhiệm vụ quan trọng và
thông tin nhạy cảm được lưu trữ.
• Nơi mà nhưng thông tin nhạy cảm này được xử lý. lOMoAR cPSD| 58794847 Phân lớp tài sản (t)
• Người nào là cần thiết truy xuất thông tin này.
◼ Tiến hành tại mỗi đơn vị, nơi quản lý thông tin (sở hữu)
◼ Đưa ra phân lớp riêng theo đặc thù
◼ Không nên tạo quá nhiều phân lớp
◼ Một số vấn đề liên quan: • Luật bản quyền • Luật sáng chế • Luật thương hiệu