LỜI NÓI ĐẦUTạo và thực hiện một chương trình hiệu quả để đào tạo quản lý cấp cao sẽ lànền tảng cho chương trình nâng cao nhận thức về an ninh cho toàn bộ tổ chức.Nếukhông có sự hỗ trợ và
Khảo sát nhận thức về bảo mật
Xác định nguồn nhân lực để thực hiện đánh giá khảo sát
Bước đầu tiên để xây dựng chương trình nâng cao nhận thức an ninh là xác định các nguồn lực trong tổ chức có thông tin cần thiết Các nhóm khảo sát cần bao gồm đại diện từ nhiều tổ chức khác nhau.
Nguồn nhân lực - Có thể cung cấp các chính sách, tiêu chuẩn và ví dụ hiện hành về điều tra và vi phạm chính sách.
Pháp lý đóng vai trò quan trọng trong việc cung cấp thông tin về các vấn đề pháp lý, quy định và luật định liên quan đến bảo mật CNTT Việc hiểu rõ các yêu cầu và giải thích các luật hiện hành giúp đảm bảo tuân thủ và bảo vệ dữ liệu hiệu quả.
Kiểm toán nội bộ đóng vai trò quan trọng trong việc cung cấp thông tin về các vấn đề bảo mật hiện tại, đồng thời tạo ra các báo cáo kiểm toán chi tiết Điều này giúp trình bày thông tin một cách hiệu quả cho quản lý cấp cao, từ đó hỗ trợ trong việc ra quyết định và nâng cao hiệu quả quản lý.
Người quản lý kinh doanh đóng vai trò quan trọng trong việc cung cấp thông tin về đánh giá rủi ro, bao gồm các sự cố đã xảy ra, phương pháp xử lý chúng và ảnh hưởng của những sự cố này đến hoạt động kinh doanh.
Tài chính và Kế toán - Cung cấp thông tin liên quan đến các vấn đề an ninh tài chínhtác động đến công việc kinh doanh
Giám đốc Công nghệ Thông tin - Có thể cung cấp thông tin về hệ thống và bảo mật ứng dụng.
Đại diện hình ảnh công ty đóng vai trò quan trọng trong việc cung cấp thông tin về ảnh hưởng của sự cố đến hình ảnh công chúng và danh tiếng của tổ chức.
Đào tạo và phát triển có vai trò quan trọng trong việc xây dựng chương trình đào tạo chính thức cho tổ chức Họ cũng sẵn sàng tổ chức các buổi đào tạo nhằm nâng cao kỹ năng và kiến thức cho nhân viên.
Thực hiện khảo sát
Chọn ít nhất ba thành viên chủ chốt trong ban quản lý cấp cao để phỏng vấn Viết email cho người quản lý cấp cao, phác thảo ý định và hỏi về sự sẵn sàng của họ cho cuộc phỏng vấn Nếu không thể phỏng vấn trực tiếp, đề nghị thực hiện cuộc phỏng vấn qua điện thoại trong thời gian không quá 30 phút Chuẩn bị kỹ lưỡng để đảm bảo nhận được câu trả lời cần thiết cho sự phát triển chương trình và hiểu rõ nội dung cần thiết Dưới đây là các câu hỏi mẫu để bắt đầu.
1 Bảo mật Công nghệ Thông tin có ý nghĩa như thế nào đối với bạn?
2 Bạn hiểu gì về Bảo mật CNTT và vai trò của nó trong tổ chức?
3 Quản lý cấp cao có những mối quan tâm chính nào liên quan đến bảo mật CNTT?
4 Bạn có kiến thức hoặc đào tạo về bảo mật ở mức độ nào?
5 (Các) loại hình đào tạo bảo mật nào mang lại lợi ích cho quản lý cấp cao?
6 Các sự cố và vấn đề bảo mật được thông báo với quản lý cấp cao như thế nào?
7 Hiệu quả của đội ứng phó sự cố như thế nào?
8 Bạn đánh giá mức độ nhận thức về bảo mật trong tổ chức như thế nào?
9 Bạn có đề xuất gì để tăng mức độ nhận biết?
10 Một số vấn đề bảo mật hiện tại mà tổ chức đang phải đối mặt là gì?
11 Các chính sách bảo mật hiện đang có hiệu lực như thế nào?
12 Bạn có đề xuất gì để cải thiện nhận thức về bảo mật trong tổ chức?
Khảo sát nhân viên CNTT để thu thập quan điểm về nhận thức bảo mật trong tổ chức là rất cần thiết, vì họ có thể cung cấp cái nhìn thực tế về tình hình và các vấn đề mà họ gặp phải hàng ngày Sau khi tổng hợp các câu hỏi cho chương trình nâng cao nhận thức, cần lên lịch thực hiện chương trình này Đồng thời, nên hỏi ý kiến của các quản lý hoặc giám sát có kinh nghiệm với các thành viên trong nhóm để hỗ trợ triển khai chương trình Việc ghi lại câu hỏi và câu trả lời từ các quản lý cấp cao sẽ giúp tạo ra danh sách khảo sát hữu ích cho việc phát triển chương trình nâng cao nhận thức về an toàn thông tin.
Đánh giá rủi ro
Nhận biết tài sản
Khi thực hiện quản lý rủi ro an toàn thông tin, việc xác định và thu thập thông tin về tài sản là điều quan trọng hàng đầu Các cơ quan, tổ chức cần nắm rõ đặc điểm, nơi lưu trữ, mức độ quan trọng và giá trị của từng tài sản Sau khi xác định, cần tiến hành đánh giá các nguy cơ và điểm yếu liên quan để xác định hậu quả và mức độ ảnh hưởng của rủi ro đối với tổ chức Mức độ ảnh hưởng và khả năng xảy ra sự cố sẽ quyết định các mức rủi ro mà tổ chức cần xử lý Hướng dẫn này tập trung vào việc bảo vệ hai loại tài sản chính.
Để xác định tài sản thông tin và hệ thống thông tin, các cơ quan, tổ chức cần coi thông tin là một phần quan trọng của hệ thống Khi hệ thống thông tin được bảo vệ, thông tin cũng sẽ được bảo vệ Nếu hệ thống chứa nhiều loại thông tin với cùng mức độ quan trọng, có thể nhóm chúng lại để đánh giá và quản lý rủi ro Một hệ thống thông tin lớn có thể chia thành các hệ thống thành phần độc lập về chức năng và mục đích sử dụng Biện pháp đánh giá và quản lý rủi ro sẽ được áp dụng cho từng hệ thống thành phần dựa trên mức rủi ro đã xác định Các loại thông tin cần bảo vệ bao gồm thông tin công khai, thông tin riêng, thông tin cá nhân và thông tin bí mật nhà nước.
Điểm yếu
Điểm yếu là những khu vực có thể bị khai thác, dẫn đến các mối đe dọa cho tài sản Các tiêu chí xác định điểm yếu rất đa dạng và chúng được phân loại thành nhiều nhóm khác nhau Hướng dẫn này sẽ giúp bạn nhận diện các điểm yếu bằng cách phân loại chúng thành các nhóm cụ thể.
-Nhóm các điểm yếu liên quan đến tồn tại lỗ hổng, điểm yếu an toàn thông tin trong hệ thống;
Nhóm các điểm yếu liên quan đến việc thiếu hoặc không thực hiện các biện pháp quản lý bao gồm việc không có quy định về sử dụng mật khẩu an toàn, không có quy định về lưu trữ dữ liệu mã hóa, và không có quy trình xử lý sự cố rõ ràng.
Để xác định các điểm yếu trong hệ thống an toàn thông tin, các cơ quan, tổ chức cần thực hiện kiểm tra và đánh giá an toàn thông tin nhằm phát hiện lỗ hổng và điểm yếu do thiếu các biện pháp kỹ thuật như phòng chống xâm nhập, mã độc và tấn công Việc rà soát quy chế và chính sách bảo đảm an toàn thông tin cũng giúp phát hiện các thiếu sót trong quản lý Thêm vào đó, từ kết quả đánh giá thực tế, các tổ chức có thể nhận diện thêm nhiều điểm yếu khác ngoài những yêu cầu an toàn cơ bản đã được quy định.
Mối đe dọa
Mối đe dọa được xác định khi điểm yếu có khả năng bị khai thác, gây tác động đến tài sản cần bảo vệ Các mối đe dọa có thể xuất phát từ lý do khách quan hoặc chủ quan, và có thể là do hành động cố ý hoặc vô ý Chúng có thể phát sinh từ bên trong hoặc bên ngoài tổ chức, ảnh hưởng đến nhiều tài sản khác nhau với các tác động khác nhau Việc xác định mối đe dọa dựa vào các điểm yếu của thông tin và hệ thống thông tin, do đó cần phân nhóm các điểm yếu để xác định mối đe dọa một cách hiệu quả Các mối đe dọa có thể được phân loại thành nhiều nhóm khác nhau.
1 Nhóm các mối đe dọa từ việc tồn tại, điểm yếu, lỗ hổng trong hệ thống.
2 Nhóm các mối đe dọa từ việc thiếu hoặc không đáp úng các biện pháp quản lý.
3 Nhóm các mối đe dọa từ việc thiếu hoặc không đáp úng các biện pháp kỹ thuật.
Đánh giá hậu quả
Hậu quả của mối đe dọa đối với tài sản được xác định dựa trên mức độ tổn hại mà nó gây ra cho cơ quan, tổ chức Mức ảnh hưởng (Impact) là giá trị quan trọng để định lượng hậu quả, có thể dựa vào các đối tượng bị ảnh hưởng như quyền lợi hợp pháp của tổ chức, cá nhân, lợi ích công cộng, cũng như trật tự an toàn xã hội, quốc phòng và an ninh Ngoài ra, mức ảnh hưởng cũng được xác định theo phạm vi tác động, có thể là cấp quốc gia, cơ quan, tổ chức hoặc cá nhân Việc xác định hậu quả và mức ảnh hưởng còn dựa trên các thuộc tính C, A, I đối với tài sản.
Mức ảnh hưởng Tính bảo mật
Tính sẵn sàng (A) Đặc biệt nghiêm trọng (5)
Việc bị lộ thông tin trái phép làm ản hưởng nghiêm trọng đến quốc phòng, an ninh.
Việc sửa đổi hoặc phá hủy trái phép thông tin làm ảnh hưởng nghiêm trọng đến quốc phòng, an ninh
Việc gián đoạn truy cập hoặc sử dụng thông tin/hệ thống thông tin làm ảnh hưởng nghiêm trọng đến quốc phòng, an ninh
Việc tiết lộ thông tin trái phép có thể gây tổn hại nghiêm trọng đến lợi ích công cộng, ảnh hưởng đến trật tự và an toàn xã hội.
Việc sửa đổi hoặc phá hủy trái phép thông tin làm tổn hại đặc biệt nghiêm trọng tới lợi ích công cộng và trật tự, an toàn xã hội
Việc gián đoạn truy cập hoặc sử dụng hệ thống thông tin có thể gây tổn hại nghiêm trọng đến lợi ích công cộng và trật tự, đặc biệt là trong lĩnh vực quốc phòng và an ninh quốc gia Những hành vi này không chỉ ảnh hưởng đến an toàn xã hội mà còn đe dọa đến sự ổn định của quốc gia.
Việc lộ thông tin trái phép có thể gây thiệt hại nghiêm trọng đến sản xuất, ảnh hưởng đến lợi ích công cộng, và đe dọa trật tự, an toàn xã hội Hơn nữa, nó cũng có thể làm tổn hại đến quốc phòng và an ninh quốc gia.
Sửa đổi hoặc phá hủy trái phép thông tin gây tổn hại nghiêm trọng đến sản xuất, lợi ích công cộng, và trật tự an toàn xã hội, đồng thời ảnh hưởng tiêu cực đến quốc phòng và an ninh quốc gia.
Gián đoạn trong việc truy cập hoặc sử dụng thông tin và hệ thống thông tin có thể gây ảnh hưởng nghiêm trọng đến sản xuất, lợi ích công cộng, trật tự và an toàn xã hội, cũng như ảnh hưởng đến quốc phòng và an ninh quốc gia.
Việc lộ thông tin trái phép gây tổn hại nghiêm trọng đến quyền và lợi ích hợp pháp của tổ chức và cá nhân, đồng thời ảnh hưởng xấu đến lợi ích công cộng.
Việc sửa đổi hoặc phá hủy trái phép thông tin gây tổn hại nghiêm trọng đến quyền và lợi ích hợp pháp của tổ chức, cá nhân, đồng thời ảnh hưởng tiêu cực đến lợi ích công cộng.
Gián đoạn trong việc truy cập hoặc sử dụng thông tin và hệ thống thông tin có thể gây thiệt hại nghiêm trọng đến quyền lợi hợp pháp của tổ chức và cá nhân, đồng thời ảnh hưởng tiêu cực đến lợi ích công cộng.
Việc bị lộ thông tin trái phép làm tổn hại tới quyền và lợi ích
Việc sửa đổi hoặc phá hủy trái phép thông tin làm tổn hại tới quyền và lợi ích
Gián đoạn trong việc truy cập hoặc sử dụng thông tin và hệ thống thông tin có thể gây thiệt hại nghiêm trọng đến quyền lợi hợp pháp của tổ chức và cá nhân, ảnh hưởng đến lợi ích hợp pháp của họ.
Khả năng xảy ra sự cố
Khả năng xảy ra được xác định là xác suất mà cơ quan, tổ chức phải đối mặt với các hậu quả Để đánh giá khả năng xảy ra sự cố, cần xem xét các yếu tố như điều kiện môi trường, lịch sử sự cố trước đó và mức độ chuẩn bị của tổ chức.
1 Điểm yếu và khả năng khai thác:
Khả năng thu thập thông tin về điểm yếu và các mối đe dọa đối với tài sản
Khả năng khai thác điểm yếu của tài sản;
Khả năng thực hiện tấn công lặp lại, duy trì, mở rộng tấn công
2 Thông qua những sự cố đã ghi nhận trong quá khứ: Việc theo dõi, giám sát an toàn thông tin cho hệ thống, ta có thể xác định được tần suất thông tin bị lộ lọt, bị phá hủy, bị thay đổi, bị mã hóa đòi tiền chuộc; hệ thống thông tin bị tấn công làm ngừng hoạt động, bị chiếm quyền điều khiển, bị lợi dụng để tấn công các hệ thống thông tin khác, bị tấn công mã độc, bị tấn công từ chối dịch vụ.v.v
3 Giả định về khả năng xảy ra: Việc xác định khả năng xảy ra cũng có thể dựa trên các giả định về mối đe dọa hoặc dữ liệu về mối đe dọa thực tế từ các nguồn thông tin công khai Ví dụ: dữ liệu lịch sử về các cuộc tấn công mạng, các loại tấn công mạng, xu hướng tấn công mạng, tần suất tấn công, dữ liệu lịch sử về hành vi tội phạm mạng Cơ quan, tổ chức có thể sử dụng dữ liệu thu thập được và thực hiện phân tích, thống kê để xác định xác suất xảy ra sự cố.
Quy trình tổng quan về đánh giá và xử lý rủi ro
Hoạt động đánh giá và quản lý rủi ro bao gồm bốn bước chính: thiết lập bối cảnh, đánh giá rủi ro, xử lý rủi ro và chấp nhận rủi ro, cùng với hai quá trình song song là truyền thông và tư vấn rủi ro, giám sát và soát xét rủi ro Đầu tiên, trong bước thiết lập bối cảnh, tổ chức cần cung cấp thông tin tổng quan về mục tiêu, quy mô và phạm vi của hệ thống cần bảo vệ Tiếp theo, trong bước đánh giá rủi ro, tổ chức phải nhận diện, phân tích và ước lượng các rủi ro, xác định tài sản, điểm yếu, mối đe dọa và mức ảnh hưởng của chúng Bước xử lý rủi ro yêu cầu tổ chức xác định các biện pháp quản lý và kỹ thuật để giảm thiểu các mối đe dọa Cuối cùng, trong bước chấp nhận rủi ro, tổ chức cần xác định mức độ rủi ro có thể chấp nhận và những rủi ro còn lại sau khi xử lý Quá trình truyền thông và tư vấn rủi ro giúp tổ chức thu thập ý kiến từ các bên liên quan, trong khi quá trình giám sát và soát xét rủi ro đảm bảo tính hiệu quả và tuân thủ trong việc thực hiện các bước đánh giá và xử lý rủi ro.
Thiết lập bối cảnh
2.7.1 Thông tin tổng quan về hệ thống thông tin
Cơ quan, tổ chức cần cung cấp thông tin tổng quan về hệ thống bảo vệ, bao gồm mục tiêu, quy mô, phạm vi và các thành phần cần bảo vệ, kèm theo các thông tin chi tiết liên quan.
1 Thông tin Chủ quản hệ thống thông tin
2 Thông tin Đơn vị vận hành
3 Chức năng, nhiệm vụ, cơ cấu tổ chức của đơn vị vận hành
4 Các cơ quan, tổ chức liên quan
5 Phạm vi, quy mô của hệ thống
2.7.2 Tiêu chí chấp nhận rủi ro
Việc xử lý toàn bộ rủi ro là một thách thức lớn đối với mọi tổ chức, vì vậy cần giảm thiểu rủi ro đến mức chấp nhận được Tiêu chí chấp nhận rủi ro phụ thuộc vào chính sách và mục tiêu bảo đảm an toàn thông tin của từng tổ chức, cũng như lợi ích của các bên liên quan Mỗi tổ chức nên xác định mức chấp nhận rủi ro riêng, dựa trên các yếu tố như nguồn lực xử lý rủi ro và khả năng thực hiện trong điều kiện cụ thể Tiêu chí này có thể bao gồm nhiều ngưỡng khác nhau, phù hợp với mục tiêu bảo đảm an toàn thông tin mà tổ chức đặt ra Hướng dẫn này khuyến nghị một số tiêu chí chấp nhận rủi ro để các tổ chức tham khảo.
1 Hệ thống thông tin cấp độ cấp độ 5 không chấp nhận tồn tại rủi ro
2 Hệ thống thông tin cấp độ 3 hoặc cấp độ 4, chỉ chấp nhận tồn tại các rủi ro ở mức thấp
3 Hệ thống thông tin cấp độ 1 hoặc cấp độ 2, không chấp nhận tồn tại các rủi ro mức trung bình.
2.7.3 Phạm vi và giới hạn
Cơ quan, tổ chức cần xác định rõ phạm vi đánh giá và quản lý rủi ro nhằm bảo vệ tài sản trong quy trình thực hiện Để xác định phạm vi và giới hạn, các tổ chức cần làm rõ thông tin liên quan, bao gồm nhưng không giới hạn ở các yếu tố quan trọng.
1 Phạm vi quản lý an toàn thông tin a) Các mục tiêu bảo đảm an toàn thông tin của cơ quan, tổ chức b) Các quy định pháp lý phải tuân thủ c) Quy chế, chính sách bảo đảm an toàn thông tin của tổ chức
2 Phạm vi kỹ thuật a) Sơ đồ tổng thể (vật lý, logic) và các thành phần trong hệ thống (thiết bị mạng, bảo mật, máy chủ, thiết bị đầu cuối…) b) Xác định các hệ thống thông tin khác có liên quan hoặc có kết nối đến hoặc có ảnh hưởng quan trọng tới hoạt động bình thường của hệ thống thông tin được đề xuất; trong đó, xác định rõ mức độ ảnh hưởng đến hệ thống thông tin đang được đề xuất cấp độ khi các hệ thống này bị mất an toàn thông tin; c) Danh mục các nguy cơ tấn công mạng, mất an toàn thông tin đối với hệ thống và các ảnh hưởng.
2.7.4 Tổ chức thực hiện đánh giá và quản lý rủi ro
Cơ quan, tổ chức cần xây dựng phương án và kế hoạch đánh giá, quản lý rủi ro an toàn thông tin, trong đó nêu rõ nội dung, trách nhiệm của các đơn vị liên quan Những nội dung này cần được tích hợp vào quy chế bảo đảm an toàn thông tin của tổ chức để triển khai hiệu quả Dưới đây là một số nội dung quan trọng cần thực hiện để tổ chức đánh giá và quản lý rủi ro an toàn thông tin.
1 Phương án, kế hoạch thực hiện đánh giá và quản lý rủi ro
2 Quy trình tổ chức thực hiện đánh giá và quản lý rủi ro
3 Cơ chế phối hợp với các bên liên quan trong quá trình thực hiện
4 Phương án, kế hoạch giám sát quy trình đánh giá và quản lý rủi ro
Đánh giá rủi ro
Nhận diện rủi ro là quá trình xác định các rủi ro, hậu quả và mức độ thiệt hại liên quan Như đã trình bày trong Chương 2 từ mục 2.1 đến 2.3, các cơ quan và tổ chức cần thực hiện các bước cụ thể để xác định rủi ro một cách hiệu quả.
1 Nhận biết về tài sản để xác định danh mục các tài sản của cơ quan, tổ
2 Nhận biết về mối đe dọa để xác định các mối đe dọa đối với mỗi tài sản
3 Nhận biết về điểm yếu để xác định các điểm yếu có thể tồn tại đối với mỗi tài sản Kết quả của bước nhận biết rủi ro là danh mục các mối đe dọa và điểm yếu đối với các tài sản được xác định
Phân tích rủi ro là bước quan trọng để xác định mức độ ảnh hưởng và hậu quả đối với cơ quan, tổ chức, dựa trên quá trình nhận biết rủi ro Như đã hướng dẫn trong Chương 2, các cơ quan, tổ chức cần thực hiện các bước cụ thể để tiến hành phân tích rủi ro, đảm bảo hiệu quả và chính xác trong việc quản lý rủi ro.
1 Đánh giá các hậu quả để xác định mức ảnh hưởng đối với cơ quan, tổ chức khi tài sản bị khai thác điểm yếu gây ra các mối nguy
2 Đánh giá khả năng xảy ra đối với từng loại sự cố Kết quả của bước phân tích rủi ro là xác định được các hậu quả, mức ảnh hưởng mà cơ quan, tổ chức phải xử lý.
Các cơ quan và tổ chức có thể lựa chọn nhiều phương án xử lý rủi ro khác nhau nhằm đảm bảo đạt được mục tiêu an toàn thông tin Việc xử lý rủi ro có thể thực hiện thông qua một hoặc kết hợp các phương án như thay đổi rủi ro, duy trì rủi ro, tránh rủi ro và chia sẻ rủi ro.
Thay đổi rủi ro là quá trình áp dụng các biện pháp nhằm giảm thiểu rủi ro đã xác định, đồng thời đánh giá lại các rủi ro tồn đọng ở mức chấp nhận được Để thực hiện điều này, các cơ quan và tổ chức cần xây dựng hệ thống kiểm soát phù hợp, lựa chọn biện pháp dựa trên tiêu chí chi phí, đầu tư và thời gian triển khai Việc cân nhắc giữa nguồn lực đầu tư và lợi ích thu được là yếu tố quan trọng trong việc xử lý rủi ro hiệu quả.
Duy trì rủi ro là chiến lược chấp nhận những rủi ro đã xác định mà không áp dụng biện pháp giảm thiểu Việc xác định rủi ro có thể chấp nhận được dựa vào mức độ rủi ro và các tiêu chí liên quan đến khả năng chấp nhận rủi ro.
Tránh rủi ro là giải pháp cần thiết khi cơ quan, tổ chức đối diện với mức rủi ro quá cao Phương án này bao gồm việc thay đổi, loại bỏ hoặc ngừng hoạt động của hệ thống và quy trình nghiệp vụ nhằm tránh những rủi ro đã xác định Đây là lựa chọn phù hợp khi rủi ro vượt quá khả năng chấp nhận của tổ chức.
Biện pháp kiểm soát rủi ro
Biện pháp kiểm soát về quản lý
3.1.1 Mục tiêu, nguyên tắc bảo đảm an toàn thông tin Đưa ra mục tiêu, nguyên tắc bảo đảm an toàn thông tin của tổ chức
3.1.2 Trách nhiệm bảo đảm an toàn thông tin Đưa ra các quy định về trách nhiệm bảo đảm an toàn thông tin của đơn vị chuyên trách về an toàn thông tin, các cán bộ làm về an toàn thông tin và các đối tượng thuộc phạm vi điều chỉnh của chính sách an toàn thông tin
3.1.3 Phạm vi chính sách an toàn thông tin Đưa ra phạm vi chính sách, đối tượng áp dụng chính sách bảo đảm an toàn thông tin của tổ chức
3.1.4 Tổ chức bảo đảm an toàn thông tin
Cơ cấu tổ chức bảo đảm an toàn thông tin của tổ chức bao gồm đơn vị chuyên trách và cơ chế phối hợp với các cơ quan, tổ chức có thẩm quyền Đơn vị này chịu trách nhiệm chính trong việc quản lý và thực hiện các hoạt động liên quan đến an toàn thông tin, đồng thời thiết lập các mối liên hệ cần thiết để đảm bảo hiệu quả trong công tác bảo vệ dữ liệu và thông tin.
3.1.5 Bảo đảm nguồn nhân lực Đưa ra chính sách/quy trình thực hiện quản lý bảo đảm nguồn nhân lực an toàn thông tin của tổ chức, bao gồm: Tuyển dụng cán bộ; quy chế/quy định bảo đảm an toàn thông tin trong quá trình làm việc và chấm dứt hoặc thay đổi công việc.
3.1.6 Quản lý vận hành hệ thống. a) Quản lý an toàn mạng: Đưa ra chính sách/quy trình thực hiện quản lý an toàn hạ tầng mạng của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường của hệ thống; Cập nhật, sao lưu dự phòng và khôi phục hệ thống sau khi xảy ra sự cố; Truy cập và quản lý cấu hình hệ thống; Cấu hình tối ưu, tăng cường bảo mật cho thiết bị hệ thống (cứng hóa) trước khi đưa vào vận hành, khai thác b) Quản lý an toàn máy chủ và ứng dụng: Đưa ra chính sách/quy trình thực hiện quản lý an toàn máy chủ và ứng dụng của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường của hệ thống máy chủ và dịch vụ; Truy cập mạng của máy chủ; Truy cập và quản trị máy chủ và ứng dụng; Cập nhật, sao lưu dự phòng và khôi phục sau khi xảy ra sự cố; Cài đặt, gỡ bỏ hệ điều hành, dịch vụ, phần mềm trên hệ thống; Kết nối và gỡ bỏ hệ thống máy chủ và dịch vụ khỏi hệ thống; Cấu hình tối ưu và tăng cường bảo mật cho hệ thống máy chủ trước khi đưa vào vận hành, khai thác c) Quản lý an toàn dữ liệu: Đưa ra chính sách/quy trình thực hiện quản lý an toàn dữ liệu của tổ chức, bao gồm: Yêu cầu an toàn đối với phương pháp mã hóa; Phân loại, quản lý và sử dụng khóa bí mật và dữ liệu mã hóa; Cơ chế mã hóa và kiểm tra tính nguyên vẹn của dữ liệu; Trao đổi dữ liệu qua môi trường mạng và phương tiện lưu trữ; Sao lưu dự phòng và khôi phục dữ liệu; Cập nhật đồng bộ thông tin, dữ liệu giữa hệ thống sao lưu dự phòng chính và hệ thống phụ d) Quản lý an toàn thiết bị đầu cuối: Đưa ra chính sách/quy trình thực hiện quản lý an toàn thiết bị đầu cuối của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường cho thiết bị đầu cuối; Kết nối, truy cập và sử dụng thiết bị đầu cuối từ xa; Cài đặt, kết nối và gỡ bỏ thiết bị đầu cuối trong hệ thống; Cấu hình tối ưu và tăng cường bảo mật cho máy tính người sử dụng; Kiểm tra, đánh giá, xử lý điểm yếu an toàn thông tin cho thiết bị đầu cuối đ) Quản lý phòng chống phần mềm độc hại: Đưa ra chính sách/quy trình thực hiện quản lý phòng chống phần mềm độc hại của tổ chức, bao gồm: Cài đặt, cập nhật, sử dụng phần mềm phòng chống mã độc; Cài đặt, sử dụng phần mềm trên máy tính, thiết bị di động và việc truy cập các trang thông tin trên mạng; Gửi nhận tập tin qua môi trường mạng và các phương tiện lưu trữ di động; Thực hiện kiểm tra và dò quét phần mềm độc hại trên toàn bộ hệ thống; Kiểm tra và xử lý phần mềm độc hại e) Quản lý giám sát an toàn hệ thống thông tin: Đưa ra chính sách/quy trình thực hiện quản lý phòng chống phần mềm độc hại của tổ chức, bao gồm: Quản lý vận hành hoạt động bình thường của hệ thống giám sát; Đối tượng giám sát bao gồm; Kết nối và gửi nhật ký hệ thống; Truy cập và quản trị hệ thống giám sát; Loại thông tin cần được giám sát; Lưu trữ và bảo vệ thông tin giám sát; Theo dõi, giám sát và cảnh báo sự cố; Bố trí nguồn lực và tổ chức giám sát g) Quản lý điểm yếu an toàn thông tin: Đưa ra chính sách/quy trình thực hiện quản lý điểm yếu an toàn thông tin của tổ chức, bao gồm: Quản lý thông tin các thành phần có trong hệ thống có khả năng tồn tại điểm yếu an toàn thông tin; Quản lý, cập nhật nguồn cung cấp điểm yếu an toàn thông tin; Phân nhóm và mức độ của điểm yếu; Cơ chế phối hợp với các nhóm chuyên gia; Kiểm tra, đánh giá và xử lý điểm yếu an toàn thông tin trước khi đưa hệ thống vào sử dụng; Quy trình khôi phục lại hệ thống h) Quản lý sự cố an toàn thông tin: Đưa ra chính sách/quy trình thực hiện quản lý sự cố an toàn thông tin của tổ chức, bao gồm: Phân nhóm sự cố an toàn thông tin; Phương án tiếp nhận, phát hiện, phân loại và xử lý thông tin; Kế hoạch ứng phó sự cố an toàn thông tin; Giám sát, phát hiện và cảnh báo sự cố an toàn thông tin; Quy trình ứng cứu sự cố an toàn thông tin thông thường; Quy trình ứng cứu sự cố an toàn thông tin nghiêm trọng; Cơ chế phối hợp trong việc xử lý, khắc phục sự cố an toàn thông tin; Diễn tập phương án xử lý sự cố an toàn thông tin i) Quản lý an toàn người sử dụng đầu cuối: Đưa ra chính sách/quy trình thực hiện quản lý an toàn người sử dụng đầu cuối của tổ chức, bao gồm: Quản lý truy cập, sử dụng tài nguyên nội bộ; Quản lý truy cập mạng và tài nguyên trên Internet; Cài đặt và sử dụng máy tính an toàn.
3.1.7 Các yêu cầu an toàn bổ sung
Các cơ quan, tổ chức có thể tham khảo các biện pháp kiểm sát theo tiêu chuẩn TCVN ISO/IEC 27002:2020, với 15 nhóm biện pháp kiểm soát chính bao gồm: Chính sách an toàn thông tin, Tổ chức bảo đảm an toàn thông tin, An toàn nguồn nhân lực, Quản lý tài sản, Kiểm soát truy cập, Mật mã, An toàn vật lý và môi trường, An toàn vận hành, An toàn truyền thông, Tiếp nhận, phát triển và bảo trì hệ thống, Các mối quan hệ với nhà cung cấp, Quản lý sự cố an toàn thông tin, Các khía cạnh an toàn thông tin trong quản lý hoạt động nghiệp vụ liên tục, và Soát xét về an toàn thông tin.
Biện pháp kiểm soát về kỹ thuật
3.2.1 Bảo đảm an toàn mạng a) Thiết kế hệ thống
- Đưa ra yêu cầu về thiết kế các vùng mạng trong hệ thống theo chức năng, các vùng mạng
Để đảm bảo an toàn cho hệ thống mạng, cần thực hiện các biện pháp bảo vệ cụ thể như quản lý truy cập, quản trị hệ thống từ xa an toàn, và phòng chống xâm nhập Cần thiết lập phương án cân bằng tải và dự phòng nóng cho thiết bị mạng, đồng thời bảo vệ máy chủ cơ sở dữ liệu và chặn lọc phần mềm độc hại Việc giám sát hệ thống thông tin và quản lý sao lưu tập trung cũng rất quan trọng Kiểm soát truy cập từ bên ngoài và bên trong mạng nên được thực hiện thông qua phân quyền, giới hạn kết nối và thiết lập chính sách ưu tiên Quản lý nhật ký hệ thống cần ghi log đầy đủ thông tin về thời gian và dung lượng Ngoài ra, việc triển khai hệ thống phòng chống xâm nhập IDS/IPS và bảo vệ thiết bị hệ thống là cần thiết để đảm bảo an toàn trong quá trình sử dụng và quản lý.
3.2.2 Bảo đảm an toàn máy chủ a) Xác thực: Đưa ra biện pháp cấu hình/thiết lập chính sách xác thực trên máy chủ để bảo đảm việc xác thực khi đăng nhập vào máy chủ an toàn b) Kiểm soát truy cập: Đưa ra biện pháp cấu hình/thiết lập chính sách kiểm soát truy cập trên máy chủ để bảo đảm việc truy cập, sử dụng máy chủ an toàn sau khi đăng nhập thành công c) Nhật ký hệ thống: Đưa ra biện pháp quản lý nhật ký hệ thống (log) trên các máy chủ về: Bật chức năng ghi log; Thông tin ghi log; Thời gian, Dung lượng ghi log; Quản lý log d) Phòng chống xâm nhập: Đưa ra biện pháp cấu hình/thiết lập cấu hình bảo mật trên máy chủ để bảo bảo vệ tấn công xâm nhập từ bên ngoài đ) Phòng chống phần mềm độc hại: Đưa ra biện pháp cấu hình/thiết lập cấu hình bảo mật trên máy chủ về: Cài đặt phần mềm phòng chống mã độc; Dò quét mã độc; Xử lý mã độc; Quản lý tập trung phần mềm phòng chống mã độc để phòng chống mã độc cho máy chủ. e) Xử lý máy chủ khi chuyển giao: Đưa ra biện pháp xóa sạch dữ liệu; sao lưu dự phòng dữ liệu khi chuyển giao hoặc thay đổi mục đích sử dụng.
3.2.3 Bảo đảm an toàn ứng dụng a) Xác thực Đưa ra biện pháp cấu hình/thiết lập chính sách xác thực trên ứng dụng để bảo đảm việc xác thực khi đăng nhập vào máy chủ an toàn b) Kiểm soát truy cập: Đưa ra biện pháp cấu hình/thiết lập chính sách kiểm soát truy cập trên ứng dụng để bảo đảm việc truy cập, sử dụng ứng dụng an toàn sau khi đăng nhập thành công c) Nhật ký hệ thống: Đưa ra biện pháp quản lý nhật ký hệ thống (log) trên các ứng dụng về: Bật chức năng ghi log; Thông tin ghi log; Thời gian, dung lượng ghi log; Quản lý log d) Bảo mật thông tin liên lạc: Đưa ra biện pháp mã hóa và sử dụng giao thức mạng hoặc kênh kết nối mạng an toàn khi trao đổi dữ liệu qua môi trường mạng đ) Chống chối bỏ: Đưa ra biện pháp sử dụng và bảo vệ chữ ký số để bảo vệ tính bí mật và chống chối bỏ khi gửi/nhận thông tin quan trọng qua mạng e) An toàn ứng dụng và mã nguồn: Đưa ra biện pháp cấu hình/thiết lập chức năng bảo mật cho ứng dụng và phương án bảo vệ mã nguồn ứng dụng.
3.2.4 Bảo đảm an toàn dữ liệu a) Nguyên vẹn dữ liệu: Đưa ra biện pháp lưu trữ, quản lý thay đổi, khôi phục dữ liệu bảo đảm tính nguyên vẹn của dữ liệu. b) Bảo mật dữ liệu: Đưa ra biện pháp lưu trữ, quản lý thay đổi, khôi phục dữ liệu bảo đảm tính bí mật của dữ liệu c) Sao lưu dự phòng: Đưa ra biện pháp sao lưu dự phòng dữ liệu: Các thông tin yêu cầu sao lưu dự phòng; Phân loại dữ liệu sao lưu dự phòng; Hệ thống sao lưu dự phòng…