lOMoARcPSD| 58794847
Chương trình AT & BM HTTT
Sự cần thiết phải xây dựng chính
sách và các văn bản
Các loại hình văn bản chính sách
Một số chính sách tiêu biểu
lOMoARcPSD| 58794847
Sự cần thiết của chương trình
Các vấn đề của an toàn và bảo mật
xảy ra trong suốt quá trình hình
thành, phát triển, tồn tại của hệ
thng
Trong chuỗi mắt xích bảo vệ, sức
mạnh chuỗi bảo vệ chính là điểm yếu
nhất của nó
lOMoARcPSD| 58794847
Sự cần thiết của chương trình
Ban hành chính sách -> tuyên
truyền -> kiểm tra
Phạm vi vấn đề: các loại thông tin
trong hệ thng
Nguồn tấn công vào hthống: 80%
xuất phát từ phía nhân viên
lOMoARcPSD| 58794847
Sự cần thiết của chương trình
Tấn công liên quan đến phần cứng,
tấn công mạng: 16%. Các tấn công
khác liên quan đến yếu tố con người
Chính sách, chỉ dẫn, hướng dẫn giải
quyết các vấn đề liên quan đến con
người
lOMoARcPSD| 58794847
Sự cần thiết của chương trình
Cơ sở để xem xét các hành động của
con người để đánh giá
Kết hợp với các giải pháp kỹ thuật quản
lý toàn bộ hệ thng
Nền tảng cho việc triển khai chương
trình at & bm httt
lOMoARcPSD| 58794847
Các định nghĩa
1. Chính sách
Một chính sách là phát biểu mức cao
của niềm tin, mục tiêu, đối tượng
của công ty và nghĩa chung cho mục
tiêu cần đạt được trong một lĩnh vực
2. Tiêu chuẩn
Là yêu cầu bt buộc để hỗ trợ các
chính sách riêng lẽ
lOMoARcPSD| 58794847
Các định nghĩa
3. Chỉ dẫn
Chỉ dẫn là sự cần thiết, từng bước,
hành động chi tiết hoá, yêu cầu phải
thực hiện để hoàn thành một công
việc
4. Hướng dẫn
ớng dẫn thường là các phát biểu
chung thiết kế để đạt được mục tiêu
của chính sách bằng cách đưa ra nền
tảng để thực hiện các chỉ dẫn
lOMoARcPSD| 58794847
Các chính sách trong một đơn vị
lOMoARcPSD| 58794847
Một số chú ý
Dễ hiểu (viết bởi chuyên gia, đọc là
người dùng bình thường)
Có thể áp dụng được: Chính sách
phải viết phù hợp với mục tiêu của tổ
chức
Có thể thực hiện được: Khi thực hiện
chính sách vẫn đm bảo hoạt động
(không bị ảnh hưởng)
lOMoARcPSD| 58794847
Có thể tuân thủ được: Không quá
nghiêm khắc và không phù hợp với
văn hóa, môi trường
Một số chú ý
Được lên kế hoạch, thực hiện từng
ớc: dự kiến, phản hồi, áp dụng
Chủ động: đưa ra những vấn đề có
thể làm, yêu cầu với nhân viên.
Không quá tuyệt đối: không sử dụng
những quyết định mang tính cố định,
không mềm dẻo
lOMoARcPSD| 58794847
Đảm bảo được mục tiêu công việc:
những chính sách không phù hợp s
bị loại bỏ
Định dạng
1. Chính sách toàn th(mức 1)
Chủ đề
Vấn đề mà chính sách đề cập đến
Phạm vi chính sách quan tâm
Gii hạn
Giới hạn người có ảnh hưởng bởi chính
sách
lOMoARcPSD| 58794847
Giới hạn đối tượng điều chỉnh của
chính sách
Định dạng
1
.
Chính sách toàn thể (mức 1)
Trách nhiệm
Trách nhiệm các cá nhân
Sự tuân thủ hoặc những kết quả
xấu
Hình thức xử phạt khi không tuân thủ
Định dạng chính sách
2. Chính sách theo chủ đề (mức 2)
lOMoARcPSD| 58794847
Tập trung đến vấn đliên quan và
quan tâm hiện tại
Thay đổi theo thời gian, sự thay đi
công nghệ, các nhân tố khác
lOMoARcPSD| 58794847
Một số chính sách mức 2
lOMoARcPSD| 58794847
Định dạng chính sách
3. Chính sách ở mức ứng dụng (mức
3)
Chính sách mức 3 không có mô hình
chặt chẽ như mức 1, 2. Nhưng cần
chú ý một số đim:
Hiểu được nhiệm v, mục tiêu toàn cục
của công ty
Hiểu được nhiệm v của chương trình,
hệ thng
Thiết lập các yêu cầu htrợ cả hai mục
tiêu
lOMoARcPSD| 58794847
Một số chính sách tiêu biểu
Chính sách phân lớp tài sản
Chính sách quản lý tài liệu
Chính sách điều khiển truy xuất
Chính sách bảo mật vật lý
Chính sách công việc liên tục
Phân lớp tài sản
Đảm bảo cho các tài sản được phân
lớp đúng theo giá trị
lOMoARcPSD| 58794847
Cơ sở cho các chính sách đảm bảo
trên các phân lớp
lOMoARcPSD| 58794847
Phân lớp tài sản (t)
Tiến trình quyết định công việc
lOMoARcPSD| 58794847
Phân lớp tài sản (t)
Trách nhiệm, và thực thi trách nhiệm
quản lý tài sản của người quản lý
Vấn đề liên quan
Nhiệm vụ quan trọng, hành động nhạy
cảm
i nào là nhiệm vụ quan trọng và
thông tin nhạy cảm được lưu trữ.
i mà nhưng thông tin nhạy cảm này
được xử lý.
lOMoARcPSD| 58794847
Phân lớp tài sản (t)
Người nào là cần thiết truy xuất thông
tin này.
Tiến hành tại mỗi đơn vị, nơi quản lý
thông tin (sở hu)
Đưa ra phân lớp riêng theo đặc thù
Không nên tạo quá nhiều phân lớp
Một số vấn đề liên quan:
Luật bản quyền
Luật sáng chế
Luật thương hiệu

Preview text:

lOMoAR cPSD| 58794847
Chương trình AT & BM HTTT
◼ Sự cần thiết phải xây dựng chính sách và các văn bản
◼ Các loại hình văn bản chính sách
◼ Một số chính sách tiêu biểu lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
◼ Các vấn đề của an toàn và bảo mật
xảy ra trong suốt quá trình hình
thành, phát triển, tồn tại của hệ thống
◼ Trong chuỗi mắt xích bảo vệ, sức
mạnh chuỗi bảo vệ chính là điểm yếu nhất của nó lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
◼ Ban hành chính sách -> tuyên truyền -> kiểm tra
◼ Phạm vi vấn đề: các loại thông tin trong hệ thống
◼ Nguồn tấn công vào hệ thống: 80%
xuất phát từ phía nhân viên lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
◼ Tấn công liên quan đến phần cứng,
tấn công mạng: 16%. Các tấn công
khác liên quan đến yếu tố con người
◼ Chính sách, chỉ dẫn, hướng dẫn giải
quyết các vấn đề liên quan đến con người lOMoAR cPSD| 58794847
Sự cần thiết của chương trình
• Cơ sở để xem xét các hành động của
con người để đánh giá
• Kết hợp với các giải pháp kỹ thuật quản lý toàn bộ hệ thống
• Nền tảng cho việc triển khai chương trình at & bm httt lOMoAR cPSD| 58794847 Các định nghĩa ◼ 1. Chính sách
◼ Một chính sách là phát biểu mức cao
của niềm tin, mục tiêu, đối tượng
của công ty và nghĩa chung cho mục
tiêu cần đạt được trong một lĩnh vực ◼ 2. Tiêu chuẩn
◼ Là yêu cầu bắt buộc để hỗ trợ các chính sách riêng lẽ lOMoAR cPSD| 58794847 Các định nghĩa ◼ 3. Chỉ dẫn
◼ Chỉ dẫn là sự cần thiết, từng bước,
hành động chi tiết hoá, yêu cầu phải
thực hiện để hoàn thành một công việc 4. Hướng dẫn
Hướng dẫn thường là các phát biểu
chung thiết kế để đạt được mục tiêu
của chính sách bằng cách đưa ra nền
tảng để thực hiện các chỉ dẫn lOMoAR cPSD| 58794847
Các chính sách trong một đơn vị lOMoAR cPSD| 58794847 Một số chú ý
◼ Dễ hiểu (viết bởi chuyên gia, đọc là
người dùng bình thường)
◼ Có thể áp dụng được: Chính sách
phải viết phù hợp với mục tiêu của tổ chức
◼ Có thể thực hiện được: Khi thực hiện
chính sách vẫn đảm bảo hoạt động (không bị ảnh hưởng) lOMoAR cPSD| 58794847
◼ Có thể tuân thủ được: Không quá
nghiêm khắc và không phù hợp với văn hóa, môi trường Một số chú ý
◼ Được lên kế hoạch, thực hiện từng
bước: dự kiến, phản hồi, áp dụng
◼ Chủ động: đưa ra những vấn đề có
thể làm, yêu cầu với nhân viên.
◼ Không quá tuyệt đối: không sử dụng
những quyết định mang tính cố định, không mềm dẻo lOMoAR cPSD| 58794847
◼ Đảm bảo được mục tiêu công việc:
những chính sách không phù hợp sẽ bị loại bỏ Định dạng
1. Chính sách toàn thể (mức 1) ◼ Chủ đề
Vấn đề mà chính sách đề cập đến
Phạm vi chính sách quan tâm ◼ Giới hạn
Giới hạn người có ảnh hưởng bởi chính sách lOMoAR cPSD| 58794847
Giới hạn đối tượng điều chỉnh của chính sách Định dạng
1. Chính sách toàn thể (mức 1) ◼ Trách nhiệm Trách nhiệm các cá nhân
Sự tuân thủ hoặc những kết quả xấu
Hình thức xử phạt khi không tuân thủ Định dạng chính sách
◼ 2. Chính sách theo chủ đề (mức 2) lOMoAR cPSD| 58794847
◼ Tập trung đến vấn đề liên quan và quan tâm hiện tại
◼ Thay đổi theo thời gian, sự thay đổi
công nghệ, các nhân tố khác lOMoAR cPSD| 58794847
Một số chính sách mức 2 lOMoAR cPSD| 58794847 Định dạng chính sách
◼ 3. Chính sách ở mức ứng dụng (mức 3)
◼ Chính sách mức 3 không có mô hình
chặt chẽ như mức 1, 2. Nhưng cần chú ý một số điểm:
• Hiểu được nhiệm vụ, mục tiêu toàn cục của công ty
• Hiểu được nhiệm vụ của chương trình, hệ thống
• Thiết lập các yêu cầu hỗ trợ cả hai mục tiêu lOMoAR cPSD| 58794847
Một số chính sách tiêu biểu
◼ Chính sách phân lớp tài sản
◼ Chính sách quản lý tài liệu
◼ Chính sách điều khiển truy xuất
◼ Chính sách bảo mật vật lý
◼ Chính sách công việc liên tục Phân lớp tài sản
◼ Đảm bảo cho các tài sản được phân lớp đúng theo giá trị lOMoAR cPSD| 58794847
◼ Cơ sở cho các chính sách đảm bảo trên các phân lớp lOMoAR cPSD| 58794847 Phân lớp tài sản (t)
◼ Tiến trình quyết định công việc lOMoAR cPSD| 58794847 Phân lớp tài sản (t)
◼ Trách nhiệm, và thực thi trách nhiệm
quản lý tài sản của người quản lý ◼ Vấn đề liên quan
• Nhiệm vụ quan trọng, hành động nhạy cảm
• Nơi nào là nhiệm vụ quan trọng và
thông tin nhạy cảm được lưu trữ.
• Nơi mà nhưng thông tin nhạy cảm này được xử lý. lOMoAR cPSD| 58794847 Phân lớp tài sản (t)
• Người nào là cần thiết truy xuất thông tin này.
◼ Tiến hành tại mỗi đơn vị, nơi quản lý thông tin (sở hữu)
◼ Đưa ra phân lớp riêng theo đặc thù
◼ Không nên tạo quá nhiều phân lớp
◼ Một số vấn đề liên quan: • Luật bản quyền • Luật sáng chế • Luật thương hiệu