Tải bản đầy đủ - 0 (trang)
CHƯƠNG 1: CÁC CÔNG CỤ BẢO MẬT THÔNG TIN

CHƯƠNG 1: CÁC CÔNG CỤ BẢO MẬT THÔNG TIN

Tải bản đầy đủ - 0trang

• Hầu hết chỉ cần tham khảo hoặc đọc thông tin, trong khi l ựa

chọn những người khác, người có cùng trách nhiệm giữ thơng

tin được cập nhật, có thể cần phải sửa đổi nó. Sự cho phép

truy cập được thiết kế phù hợp sẽ giúp bảo vệ giá trị của

thơng tin.



3. Kiểm sốt truy cập



 Đề xuất chính sách

• Quyền kiểm soát truy cập được chủ sở hữu quy định, là trách

nhiệm của người quản lý thông tin.

 Đề xuất tiêu chuẩn













Mỗi người dùng phải có một định dạnh (userid) trong hệ

thống máy tính của cơng ty và mơi trường mạng để xác th ực

danh tính của người dùng; và mỗi nhận định danh là duy nh ất,

đại diện cho một và chỉ một người dùng. Định danh này

thường được phân loại để sử dụng nội bộ.

Định danh người sử dụng (userid) phải ở định dạng X9999 đối

với nhân viên và C9999 đối với nhân viên hợp đồng. Đối v ới

các hoạt động phi máy tính, một chương trình nhận dạng cá

nhân tương tự có thể là thích hợp.

Đối với các hệ thống dựa trên máy tính, mỗi người dùng ph ải

có một userid chứa mật khẩu bảo mật để xác thực danh tính

của mình. Những mật khẩu này nên:

• Được giữ bí mật và khơng được chia sẻ.

• Không được hiển thị hoặc lưu trữ trong văn bản d ễ đ ọc.

• Thay đổi ít nhất 90 ngày một lần.

• Tối thiểu năm ký tự.



• Đối với các hệ thống khơng dựa trên máy tính, phải th ực hiện

các thủ tục phù hợp để duy trì tính tồn vẹn của q trình xác

thực người dùng.

 Thảo luận





Thứ nhất, một hệ thống cung cấp tính bảo mật cho tài sản của

doanh nghiệp (dù là máy tính hay bằng tay) là ch ỉ cho phép

những nhân viên có nhu cầu kinh doanh được tiếp c ận . Quá

5



trình này được thực hiện bằng cách xác định và ủy quy ền.

Nhận dạng là cách mà nhân viên nói với hệ thống về người đó.

(ví dụ: máy tính, thư thoại, nhắn tin điện tử, v.v ..)

• Thứ hai, người dùng cung cấp bằng chứng là định danh đó

đúng và phù hợp với mình. Chứng thực này được biết đến nh ư

là một mật khẩu và đại diện cho sự an toàn của cuộc giao tiếp

giữa người dùng và hệ thống.









Cùng với userid, hai yếu tố này cho phép một ủy quy ền người

sử dụng truy cập vào các hệ thống máy tính khác nhau và

thơng tin. Bởi vì mật khẩu cho phép quyền truy cập vào ứng

dụng và thông tin mà một cá nhân cụ thể dã được chập thuận,

mật khẩu nên là:

• Giữ bí mật (khơng chia sẻ mật khẩu với người

khác).

• Khó nhận biết đối với những người xung quanh

bạn (ví dụ: khơng có tên vợ chồng, con cái, sở

thích, biến thể tên, nhà ở, địa chỉ, vv).

• Sự kết hợp của các con số và chữ cái.

Quá trình xác định và chứng thực này đã được phát triển để

đảm bảo trách nhiệm cá nhân. Bằng cách đảm bảo rằng m ỗi

người dùng được chỉ định một mật khẩu duy nhất mà thôi,

chủ sở hữu thông tin đảm bảo rằng chỉ những người dùng

được ủy quyền mới có quyền truy cập thơng tin.



4. Sao lưu và phục hồi













Đề xuất chính sách

• Thơng tin quan trọng đối với cơng vi ệc kinh doanh ph ải đ ược

sao lưu (sao chép) thường xun để đảm bảo rằng thơng tin có

thể được phục hồi khi nguồn thơng tin chính bị hỏng hoặc

mất.

Đề xuất tiêu chuẩn

• Tần suất sao lưu thơng tin cần phải tương x ứng v ới chi phí tái

thiết và giá trị cho cơng ty.

Thảo luận

• Sao lưu thơng tin nên được lưu trữ bên ngồi trang web

• Mặc dù mọi nỗ lực để bảo vệ sự toàn vẹn và sẵn có của thơng

tin, tại một số điểm thơng tin có thể bị mất hoặc bị hỏng.

Thường xuyên sao lưu các thông tin quan trọng là cần thiết đ ể

đảm bảo rằng nó có thể được phục hồi khi cần thiết

6



5. Bảo mật thơng tin













Đề xuất chính sách

• Mỗi người quản lý sẽ phát triển và quản lý m ột ch ương trình

bảo mật thơng tin giúp nhân viên nhận th ức được tầm quan

trọng của thông tin và phương pháp bảo mật của nó.

Đề xuất tiêu chuẩn

• Các quản lý của đơn vị, tổ chức ph ải trình bày các tài li ệu v ề

nhận thức của việc bảo mật thơng tin ít nhất mỗi năm một

lần cho nhân viên của tổ chức

Thảo luận

• Yếu tố duy nhất trong việc bảo mật thông tin thành công là

nhân viên. Để đảm bảo an ninh hiệu quả, nhân viên sẽ cần

phải bảo vệ thơng tin như trả lời điện thoại

• Xuất bản một tập hợp các chính sách và th ủ tục sẽ không đ ảm

bảo rằng họ sẽ được đọc và tn theo. Cần phải có một

chương trình nâng cao nhận thức, một chương trình sẽ thơng

báo cho nhân viên tại sao các chính sách và th ủ tục đ ược thi ết

lập lại mang lại ý nghĩa kinh doanh tốt.



7



CHƯƠNG 2: XỬ LÝ THƠNG TIN

1. Giới thiệu chung



Thơng tin doanh nghiệp chỉ được sử dụng để thực hiện hoạt đ ộng

kinh doanh của công ty khi được uỷ quyền, khi được ch ủ s ở h ữu thông

tin cho phép.

Nguồn tài nguyên do công ty cung cấp sẽ chỉ được sử dụng để th ực

hiện hoạt động kinh doanh của cơng ty được ủy quyền

2. Quyền thẩm định













Đề xuất chính sách

• Kiểm tốn đã khơng hạn chế quyền truy cập vào tất cả hồ s ơ,

nhân sự và tài sản vật lý liên quan đến các công việc giao cho

kiểm tốn

Đề xuất tiêu chuẩn

• Quản lý cơng ty có trách nhiệm quản lý, xem xét và giám sát

thông tin, nhân sự và hoạt động có liên quan đến hoạt động

kinh doanh của họ.

Thảo luận

• Với sự phức tạp ngày càng mở rộng của mơi tr ường cạnh

tranh và cơng nghệ,nó ngày càng trở nên cần thiết cho quản lý

để quản lý hiệu quả các hoạt động công ty. Để quản lý hiệu

quả hoạt động của mình, ban giám đốc phải có kh ả năng xem

xét chi tiết về hoạt động đó

• Nhân viên thường kỳ vọng rằng một số khu v ực nh ất đ ịnh

trong môi trường kinh doanh của họ là riêng t ư/ cá nhân. Tuy

nhiên, ban quản lý có trách nhiệm quản lý thơng tin c ủa doanh

nghiệp bất cứ nơi nào được tìm thấy

• Dù sử dụng một cơ chế nào để truyền thông tin (nh ư th ư điện

tử, thư thoại, điện) hoặc lưu trữ thơng tin (như nơi làm việc /

máy tính lưu trữ, ngăn kéo bàn hoặc tủ hồ sơ), các nguồn l ực

đã được cung cấp bởi công ty để sử dụng trong kinh doanh.

Mặc dù luật liên bang cho phép quản lý giám sát thông tin,

nhân sự và tài sản của công ty, các vụ kiện tụng g ần đây cho

thấy một chính sách bằng văn bản là một yếu tố chính để

tránh sự hiểu lầm (về mong muốn bảo mật cá nhân của một

cá nhân) và hành động pháp lý tiềm ẩn.



8



3. Quy trình dự án



Hệ thống máy tính để bàn được định nghĩa là máy vi tính, máy tính

cá nhân, máy tính xách tay, máy tính xách tay hoặc máy tính xách tay,

máy tính để bàn, trạm làm việc và máy tính doanh nghiệp nh ỏ.













Đề xuất chính sách

• Quản lý của nhân viên sẽ cung cấp tất cả phần c ứng, ph ần

mềm máy tính để bàn và các nguồn xử lý thông tin c ần thi ết

khác theo yêu cầu của nhân viên để thực hiện các trách nhiệm

được giao.

Dề xuất tiêu chuẩn

• Để đảm bảo kiểm sốt và bảo mật tài sản thích hợp, nhân viên

không nên mang phần cứng, phần mềm hoặc đĩa mềm máy

tính cá nhân của họ vào bất kỳ cơ sở của cơng ty mà khơng có

sự cho phép trước từ người quản lý

Thảo luận

• Người quản lý máy tính để bàn của tổ chức nên được bổ

nhiệm cho từng khu vực làm việc, có trách nhiệm ph ối h ợp

việc mua, sử dụng và bảo mật trên máy tính



4. Đào tạo





Đề xuất tiêu chuẩn

• Quản lý đơn vị tổ chức có trách nhiệm đảm bảo rằng tất cả

nhân viên sử dụng nguồn lực do công ty cung cấp đều đ ược

đào tạo đầy đủ. Việc đào tạo này ở mức tối thiểu phải bao

gồm:

• Sử dụng hợp lý nguồn lực

• Sử dụng hợp lý các chương trình phần mềm độc quyền

• Các biện pháp phòng ngừa phải được th ực hiện đ ể

giảm thiểu sự mất mát thơng tin

• Tn thủ các chính sách của cơng ty và thỏa thuận cấp

phép độc quyền



5. Chính sách bảo mật





Đề xuất chính sách

• Mỗi đơn vị tổ chức chịu trách nhiệm đảm bảo rằng có an tồn

cho tất cả phần cứng, phần mềm, tài liệu, dữ liệu và thông tin

9



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 1: CÁC CÔNG CỤ BẢO MẬT THÔNG TIN

Tải bản đầy đủ ngay(0 tr)

×