Sự phát triển như vũ bão của internet đã giúp chúng ta tìm kiếm và xử lý thông tin nhanh chóng, hiệu quả. Song song sự phát triển đó là những vấn đề an toàn thông tin, đảm bảo bảo mật thông tin toàn diện cho doanh nghiệp. Bài viết này sẽ giúp doanh nghiệp có thể tự đánh giá và thiết lập được hệ thống An toàn Thông tin trong mọi lĩnh vực đối với doanh nghiệp.
Theo tiêu chuẩn ISO 27001:2005, để đánh giá và thiết lập Hệ thống An toàn Thông tin cho tất cả các lĩnh vực trong doanh nghiệp, các doanh nghiệp cần thực hiện theo 11 nguyên tắc sau đây:
1. Chính sách an toàn thông tin: mục tiêu cung cấp định hướng và sự hỗ trợ của Lãnh đạo tổ chức cho hệ thống An toàn Thông tin (ATTT) phù hợp với các yêu cầu chính yếu, đáp ứng việc quản lý ATTT trong tổ chức.
2. Tổ chức an toàn thông tin: mục tiêu là đưa ra mô hình, cách thức tổ chức các bộ phận cần thiết để đảm bảo việc xây dựng, triển khai và thực hiện tuân thủ các chính sách ATTT đã được xác lập trong doanh nghiệp; Duy trì ATTT và các phương tiện xử lý thông tin của doanh nghiệp được truy cập, xử lý, truyền thông, hoặc được quản lý bởi các tổ chức bên ngoài.
3. Quản lý tài sản: mục tiêu nhằm đạt được và duy trì việc bảo vệ phù hợp các tài sản của tổ chức, tất cả các tài sản phải được kê khai và xác định người chủ tài sản và đảm bảo thông tin được bảo vệ ở mức độ phù hợp.
4. An toàn nguồn nhân lực: mục tiêu đảm bảo rằng các nhân viên, nhà thầu và các bên thứ ba hiểu rõ trách nhiệm của mình và phù hợp với vai trò được giao, đồng thời giảm thiểu các rủi ro về việc đánh cắp, gian lận hoặc lạm dụng chức năng, quyền hạn; Đảm bảo rằng mọi nhân viên của tổ chức, khách hàng, đối tác và bên thứ ba nhận thức được các mối nguy cơ và các vấn đề liên quan tới ATTT, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách ATTT của tổ chức trong quá trình làm việc, giảm thiểu các rủi ro do con người gây ra; Đảm bảo rằng mọi nhân viên của tổ chức, khách hàng, đối tác và bên thứ ba nghỉ việc hoặc thuyên chuyển công việc một cách có tổ chức, theo thủ tục trình tự nhất định để đảm bảo được ATTT đối với các tài sản.
5. An toàn vật lý và môi trường: mục tiêu ngăn ngừa truy cập vật lý trái phép, gây thiệt hại hoặc can thiệp vào tài sản và thông tin của tổ chức; Ngăn ngừa mất mát, hư hỏng, mất trộm hoặc mất tài sản và gián đoạn các hoạt động của tổ chức.
6. Quản lý truyền thông và vận hành: mục tiêu đảm bảo việc vận hành đúng và an toàn đối với các phương tiện xử lý thông tin; Thực hiện và duy trì mức độ ATTT phù hợp và cung cấp dịch vụ theo đúng các thỏa thuận cung cấp dịch vụ với đối tác bên ngoài; Giảm thiểu rủi ro do sự hư hỏng của hệ thống; Bảo vệ tính toàn vẹn của phần mềm và thông tin; Duy trì tính toàn vẹn và tính sẵn sàng của thông tin và các phương tiện xử lý thông tin; Đảm bảo an toàn cho thông tin trên mạng và an toàn cho cơ sở hạ tầng hỗ trợ; Nhằm ngăn ngừa sự tiết lộ, sửa đổi, xoá bỏ hoặc phá hoại bất hợp pháp các tài sản và sự gián đoạn các hoạt động nghiệp vụ chính yếu. Phương tiện truyền thông phải được kiểm soát và bảo vệ vật lý; Duy trì an toàn cho các thông tin và phần mềm được trao đổi trong nội bộ công ty hoặc với các thực thể bên ngoài; Nhằm đảm bảo an toàn cho các dịch vụ thương mại điện tử và việc sử dụng an toàn các dịch vụ này; Nhằm phát hiện các hoạt động xử lý thông tin trái phép
7. Kiểm soát truy cập: mục tiêu quản lý các truy cập thông tin; Nhằm đảm bảo người dùng hợp lệ được truy cập và ngăn chặn những người dùng không hợp lệ truy cập trái phép đến hệ thống thông tin, làm tổn hại hoặc lấy cắp thông tin cũng như các phương tiện xử lý thông tin; Nhằm ngăn chặn các truy cập trái phép các dịch vụ mạng; Nhằm ngăn chặn các truy cập trái phép tới hệ thống điều hành; Nhằm ngăn chặn các truy cập trái phép đến thông tin lưu trong các hệ thống ứng dụng; Nhằm đảm bảo an ninh thông tin khi sử dụng các phương tiện tính toán di động và làm việc từ xa.
8. Quản lý sự cố: mục tiêu nhằm đảm bảo các sự kiện an toàn thông tin và các nhược điểm liên quan tới các hệ thống thông tin được trao đổi để các hành động khắc phục được tiến hành kịp thời.
9. Quản lý tính liên tục trong hoạt động: mục tiêu ngăn chặn các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quy trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm hoạ, đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc.
10. Thu thập, phát triển và duy trì hệ thống thông tin: mục tiêu nhằm đảm bảo rằng an ninh thông tin là một phần không thể thiếu của các hệ thống thông tin; Nhằm ngăn chặn các lỗi, mất mát, sửa đổi hoặc sử dụng trái phép thông tin trong các ứng dụng; Nhằm bảo vệ tính bí mật, xác thực hoặc nguyên vẹn của thông tin bằng các biện pháp mã hóa; Nhằm đảm bảo an ninh cho các tệp tin hệ thống; Nhằm duy trì an ninh của thông tin và các phần mềm hệ thống ứng dụng; Nhằm giảm thiểu các mối nguy hiểm xuất phát từ việc tin tặc khai thác các điểm yếu kỹ thuật đã được công bố.
11. Tuân thủ: mục tiêu nhằm tránh sự vi phạm pháp luật, quy định, nghĩa vụ theo các hợp đồng đã ký kết, các yêu cầu về bảo đảm ATTT.