Chính sách an toàn thông tin là gì

Chính sách an toàn thông tin là gì? – Công ty TNHH Chứng nhận KNA

by

Chính sách an toàn thông tin là gì

Video Chính sách an toàn thông tin là gì

Chính sách bảo mật thông tin là tài liệu không thể thiếu khi áp dụng các tiêu chuẩn của hệ thống quản lý an toàn thông tin. Bài viết dưới đây sẽ phân tích về Chính sách bảo mật thông tin ISO 27001: 2013.

Chính sách bảo mật thông tin phải được thiết lập, triển khai và duy trì

  1. Yêu cầu đầu tiên

Ban lãnh đạo cao nhất phải thiết lập, triển khai và duy trì chính sách bảo mật thông tin

  1. Phân tích
  • “Cài đặt” là cần thiết để duy trì chính sách bảo mật thông tin
  • “Thực hiện” có nghĩa là thực hiện những gì đã nêu, lên kế hoạch hoặc đã hứa;
  • “Duy trì” là đảm bảo vẫn hoạt động và đảm bảo rằng nó phù hợp với mục tiêu đã định là giữ cho chính sách có hiệu lực.
  1. Giải pháp

Quản lý cao nhất phải là người trực tiếp quản lý và chỉ đạo yêu cầu này

Thông tin chính sách bảo mật phải phù hợp với mục đích của cơ quan

  1. Yêu cầu thứ hai của tiêu chuẩn iso 27001: 2013

Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì chính sách bảo mật thông tin phù hợp với mục đích và môi trường của tổ chức và hỗ trợ định hướng chiến lược của tổ chức.

  1. Phân tích

Mục tiêu đơn giản đầu tiên mà mọi doanh nghiệp theo đuổi là đảm bảo sự tồn tại của tổ chức. Một chính sách bảo mật thông tin cần được thiết lập để thực hiện công việc của tổ chức nhằm đáp ứng các yêu cầu của khách hàng. Một giải thích đơn giản cho điều này là một tổ chức không thể tồn tại nếu không có khách hàng. Ngoài ra, các tổ chức khác nhau sẽ theo đuổi các mục tiêu khác nhau. Chính sách an toàn thông tin phải phù hợp với các mục tiêu đã nêu để không làm suy yếu hệ thống quản lý.

Mặt khác, trong một môi trường thay đổi nhanh chóng, nơi mọi thứ có thể thay đổi hàng ngày, nhu cầu và mong đợi của khách hàng là một yếu tố cực kỳ quan trọng ảnh hưởng đến hệ thống quản lý an toàn thông tin. Tin. Vì vậy, cần phải xây dựng một chiến lược an toàn thông tin phù hợp với môi trường mà một tổ chức phải đối mặt, để hoạt động kinh doanh không bị lạc hậu hoặc bị tụt hậu.

Ngoài ra, một chính sách an toàn thông tin tốt cũng cần hỗ trợ định hướng chiến lược cho các hoạt động khác của tổ chức để đảm bảo sự phát triển bền vững.

  1. Giải pháp
  • Tổ chức có cần xác định khách hàng của mình là ai không? họ ở đâu? Họ mong đợi và cần gì?
  • Các nhà lãnh đạo phải thường xuyên xem xét môi trường tổ chức và tác động của nó đối với chính sách an toàn thông tin và nếu có thể, điều chỉnh chính sách bảo mật thông tin sao cho phù hợp với tình hình thực tế

    • li>

  • Thông tin phải được Chính sách bảo mật phù hợp với bối cảnh và mục đích của tổ chức

thông tin chính sách bảo mật cung cấp một khuôn khổ để thiết lập các mục tiêu an toàn thông tin

  1. Tiêu chuẩn ISO 27001: 2013 Mục 5.2.b Yêu cầu

Lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì chính sách bảo mật thông tin cung cấp khuôn khổ để thiết lập các mục tiêu an toàn thông tin.

  1. Phân tích

Chính sách bảo mật thông tin là định hướng và triết lý của lãnh đạo cao nhất về bảo mật thông tin và có hai cách hiểu khác nhau về yêu cầu này. Chính sách an toàn thông tin cần có các mục tiêu an toàn thông tin liên quan để hiểu được hiệu quả của chính sách. Các mục tiêu an toàn thông tin cũng cần được thiết lập dựa trên các chính sách an toàn thông tin để duy trì tính thống nhất và đồng bộ trong quá trình triển khai thực tế.

Sau đây là các ví dụ về mối quan hệ giữa các chính sách bảo mật thông tin và các mục tiêu an toàn thông tin:

Chính sách Bảo mật Thông tin

Mục tiêu Bảo mật Thông tin

Cam kết giao hàng đúng hẹn

99% đơn đặt hàng được hoàn thành đúng thời hạn

Tăng sự hài lòng của khách hàng

Ít hơn 2 khách hàng khiếu nại về sản phẩm và dịch vụ do lỗi tổ chức trong 1 năm

Giảm chi phí sản xuất

Giảm 5% chi phí sản xuất hàng năm

Tỷ lệ lỗi và tỷ lệ lỗi giảm 2% / năm

Tăng doanh số bán hàng

Đã đạt được doanh thu tăng 20% ​​so với năm trước

  1. Giải pháp

Mỗi điều khoản trong chính sách phải thiết lập một mục tiêu kiểm soát để xem liệu chính sách có được đáp ứng hay không.

Thông tin chính sách bảo mật phải khớp với thông tin bảo mật trách nhiệm được yêu cầu

  1. Tiêu chuẩn ISO 27001: 2013 Mục 5.2.c Yêu cầu

Ban lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì chính sách bảo mật thông tin bao gồm cam kết đáp ứng các yêu cầu liên quan đến bảo mật thông tin.

  1. Phân tích

Trong ngữ cảnh này, từ “bao gồm” có nghĩa là “phải đáp ứng các yêu cầu của ISO 27001: 2013 đối với hệ thống quản lý an ninh thông tin, các yêu cầu pháp lý hiện hành hoặc các yêu cầu của khách hàng về bảo mật thông tin

  1. Giải pháp
  • Xác định các yêu cầu của các quy định quản lý an toàn thông tin hiện hành
  • Xác định các yêu cầu của ISO 27001: 2013
  • Xác định các yêu cầu của khách hàng và các đối tác liên quan về bảo mật thông tin của sản phẩm và các dịch vụ

Thông tin chính sách bảo mật bao gồm cam kết cải tiến liên tục hệ thống quản lý an ninh thông tin

  1. Các yêu cầu của ISO 27001: 2013 Mục 5.2.d

Ban lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì chính sách bảo mật thông tin bao gồm cam kết cải tiến liên tục hệ thống quản lý an ninh thông tin.

  1. Phân tích

Cải thiện hệ thống quản lý an toàn thông tin là một trong những yêu cầu bắt buộc của tiêu chuẩn ISO 27001: 2013. Do đó, một chính sách bảo mật thông tin phải bao gồm cam kết này.

  1. Giải pháp
  • Cách dễ nhất và rõ ràng nhất để làm điều này là sử dụng các từ chính xác trong chính sách của tổ chức, mặc dù các tổ chức có thể diễn giải các cam kết theo cách riêng của họ. Ví dụ, “công ty cam kết thúc đẩy cải tiến liên tục hệ thống quản lý an ninh thông tin của mình”.
  • Trong khi đó, ban lãnh đạo phải chứng minh những cải tiến đối với hệ thống mà công ty đang sử dụng

Thông tin chính sách bảo mật phải được cung cấp và duy trì dưới dạng tin nhắn văn bản

  1. Tiêu chuẩn ISO 27001: 2013 Điều khoản 5.2.e Yêu cầu

Chính sách bảo mật thông tin phải có sẵn và được duy trì với thông tin dạng văn bản.

  1. Phân tích

Chính sách bảo mật thông tin không hợp lệ nếu nó không được duy trì bởi thông tin dạng văn bản. Từ “có sẵn” ở đây có nghĩa là người lao động có thể được biết về nơi thích hợp. Cụm từ “lưu trữ hồ sơ” đề cập đến các tài liệu phải được xem xét, cập nhật và kiểm soát các thay đổi. Vì việc xây dựng và quản lý chính sách an toàn thông tin được xây dựng và quản lý bởi lãnh đạo cao nhất, nên việc kiểm soát, cập nhật và xem xét phải được hoàn thành bởi lãnh đạo cao nhất.

  1. Giải pháp
  • Lãnh đạo cao nhất phát triển một chính sách bằng văn bản và phân phối nó cho các phòng ban.
  • Các tài liệu này phải được phê duyệt thích hợp trước khi xuất bản, được xem xét định kỳ, có quyền kiểm soát sao chép và đảm bảo rằng tất cả các chính sách hiện hành đều được cập nhật trong tổ chức.

Thông tin về chính sách bảo mật phải được thông báo trong tổ chức

  1. Các yêu cầu của ISO 27001: 2013 Phần 5.2.f

Chính sách bảo mật thông tin phải được thông báo trong tổ chức.

  1. Phân tích

“Giao tiếp” ở đây bao gồm “giao tiếp”, “hiểu biết” và “ứng dụng”

Đầu tiên, chính sách phải được “truyền đạt”, tức là làm thế nào để toàn bộ tổ chức hiểu được chính sách bảo mật thông tin.

Thứ hai, chính sách phải được “hiểu”, tức là nói cho mọi người biết về chính sách, giải thích ý nghĩa của nó và lý do tại sao nó phải có ở đó. Khi kiểm toán viên hỏi bất kỳ ai dưới quyền quản lý của tổ chức, họ phải giải thích chính sách. Tiêu chuẩn này không bắt buộc phải được đọc lại bởi tất cả nhân viên công ty, miễn là họ biết nó ở đâu và chính sách có ý nghĩa gì.

Cuối cùng “được áp dụng” trong tổ chức, có nghĩa là nội dung của chính sách phải được chuyển thành các hành động cụ thể.

  1. Giải pháp

Cách thông báo chính sách:

  • Đính kèm bảng thông tin
  • Treo áp phích
  • In thẻ nhỏ để nhân viên dán lên bảng tên
  • In sổ tay nhân viên
  • > Thông tin cuộc họp toàn thể
  • Sử dụng diễn giả
  • Sử dụng màn hình LCD
  • Lưu thông tin trên máy chủ và yêu cầu mọi người đọc
  • In và viết nó trên một mảnh giấy, sau đó đưa nó để đọc và ký tên
  • email

Đơn đăng ký:

  • Thông báo cho nhân viên đăng chính sách bảo mật thông tin
  • Chính sách đăng tài liệu giấy cho tất cả nhân viên
  • Hiển thị chính sách ở những nơi quan trọng để thu hút sự chú ý.
  • Lập kế hoạch và thực hiện đào tạo hoặc huấn luyện cho người lao động.
  • Kiểm tra kiến ​​thức về sự tuân thủ của họ bằng bất kỳ phương tiện nào (ví dụ: hỏi trực tiếp, phỏng vấn …)
  • Kiểm tra xem các quyết định quan trọng liên quan đến bảo mật thông tin có được đưa ra so với thông tin chính sách bảo mật không? Các nhà hoạch định chính sách có cân nhắc các yếu tố chính sách trước khi đưa ra quyết định không?
  • Hãy hành động bất cứ khi nào có sự hiểu lầm hoặc hiểu nhầm, chẳng hạn như đào tạo lại …
  • Mỗi khi chính sách thay đổi, hãy đảm bảo từ cấp cao nhất
  • rằng nhân viên hiểu Một công cụ là đánh giá nội bộ. Chương trình đánh giá nội bộ nên bao gồm việc đánh giá mức độ hiểu biết của nhân viên về các chính sách an toàn thông tin, điều này rất quan trọng nhưng thường bị bỏ qua ở một số tổ chức

Thông tin về chính sách bảo mật phải được cung cấp cho các bên liên quan

  1. Yêu cầu phần 5.2.g của ISO 27001: 2013

Chính sách bảo mật thông tin phải được cung cấp cho các bên quan tâm có liên quan khi thích hợp.

  1. Phân tích

Thuật ngữ “các bên liên quan” ở đây đề cập đến các bên liên quan mà một tổ chức xác định là có tác động đến hệ thống quản lý an toàn thông tin của mình, chẳng hạn như khách hàng, nhà cung cấp. Mục đích của yêu cầu này là sự sẵn sàng chia sẻ chính sách với khách hàng để thể hiện cam kết của tổ chức.

  1. Giải pháp
  • Hiển thị trên trang web của tổ chức
  • Treo chính sách ở đâu đó trong sảnh chính của tổ chức hoặc trong một khung đẹp có thể gây ấn tượng với khách truy cập
  • Hiển thị một tệp powerpoint hoặc trình chiếu clip chính sách bảo mật thông tin của tổ chức khi khách truy cập

Để biết thêm thông tin về Chính sách bảo mật thông tin iso 27001: 2013, vui lòng liên hệ với kna qua đường dây nóng: 093.2211.786 hoặc email: salesmanager@knacert.com </ p cert >>