Ví dụ về chính sách an toàn thông tin

Ví dụ về chính sách an toàn thông tin

5/5 - (2 bình chọn)

Dù hoạt động trong lĩnh vực, ngành nghề nào thì các tổ chức cũng nên thiết lập Chính sách an toàn thông tin. Bài viết dưới đây SPS Cert sẽ ví dụ về Chính sách an toàn thông tin ISO 27001. 

Ví dụ về chính sách an toàn thông tin

CHÍNH SÁCH AN TOÀN THÔNG TIN CỦA MỘT DOANH NGHIỆP LÀ GÌ? 

Theo định nghĩa của của Tiêu chuẩn quốc gia TCVN 11238:2015, Chính sách an toàn thông tin là mục đích và định hướng của một tổ chức về các vấn đề an ninh mạng, bảo mật thông tin được thể hiện chính thức bởi ban quản lý cấp cao. 

TẠI SAO MỘT DOANH NGHIỆP CẦN PHẢI CÓ CHÍNH SÁCH AN TOÀN THÔNG TIN? 

Đối với những doanh nghiệp có nhu cầu áp dụng ISO 27001 để xây dựng Hệ thống quản lý an toàn thông tin thì chính sách an toàn thông tin là một trong những tài liệu không thể thiếu theo yêu cầu của tiêu chuẩn. 

TẦM QUAN TRỌNG CỦA CHÍNH SÁCH AN TOÀN THÔNG TIN  

Chính sách an toàn thông tin trong tiêu chuẩn ISO 27001 quan trọng bởi nó giúp: 

  • Xác định và quản lý các rủi ro đe dọa tới Hệ thống quản lý an toàn thông tin 
  • Hạn chế các sự cố thất lạc, rò rỉ, đánh cắp thông tin 
  • Bảo vệ tài sản thông tin của tổ chức 
  • Bảo mật thông tin cá nhân của khách hàng 
  • Tuân thủ pháp luật hiện hành 
  • Đáp ứng yêu cầu của khách hàng và các bên quan tâm 
  • Khuyến khích sự tham gia từ đội ngũ nhân viên trong nội bộ doanh nghiệp  
  • Tối ưu quy trình hoạt động 
  • Thể hiện cam kết của lãnh đạo trong vấn đề an toàn thông tin 

CHÍNH SÁCH AN TOÀN THÔNG TIN BAO GỒM NHỮNG GÌ

Trong hệ thống an toàn thông tin MSMS một chính sách an toàn thông tin thông thường sẽ bao gồm:

1.Phạm vi

Phạm vi bao gồm các vấn đề có liên quan trong hệ thống an toàn thông tin. Phạm vi cũng bao gồm các tổ chức, bộ phận khác nhau.

2.Phân loại thông tin

Nội dung này có chỉ ra rằng các lãnh đạo và người điều hành tổ chức cần phải cung cấp thêm các định nghĩa, nội dung nhằm đảm bảo an ninh thông tin và những giải pháp bảo mật thay vì bí mật hoặc hạn chế.

3.Mục tiêu quản lý rõ ràng

Tổ chức cần phải đưa ra những mục tiêu rõ ràng trong quản lý và xử lý, khắc phục các sự cố liên quan tới an toàn thông tin trong từng phân loại (ví dụ các nghĩa vụ pháp lý, quy định và hợp đồng đối với việc đảm bảo an ninh).

4.Bối cảnh của tổ chức

Một nội dung cần được làm rõ chính là chính sách cần được đặt trong một bối cảnh cụ thể.

Ví dụ về chính sách an toàn thông tin

5.Có tài liệu hỗ trợ

Nội dung này có chia sẻ về việc hỗ trợ các tài liệu hỗ trợ cho một hệ thống an toàn thông tin được hoạt động hiệu quả. Ví dụ như thủ tục, hướng dẫn, cách khắc phục và ứng phó sự cố vv.

6.Hướng dẫn cụ thể

Bao gồm các tài liệu hướng dẫn về phương pháp an ninh cho hệ thống nội bộ, phương pháp sử dụng internet an toàn trên mạng xã hội hay những yêu cầu trong bảo mật cho toàn bộ tổ chức (ví dụ: tất cả quyền truy cập vào bất kỳ hệ thống máy tính đều phải yêu cầu xác minh danh tính và xác thực, không chia sẻ cơ chế xác thực cá nhân).

7.Có trách nhiệm rõ ràng

Tổ chức cần đưa ra những trách nhiệm cụ thể được xác lập (ví dụ: bộ phận công nghệ là nhà cung cấp duy nhất các đường dây viễn thông, bộ phận kỹ thuật là chuyên bảo mật hệ thống mạng, website và khắc phục sự cố).

8.Hậu quả

Bao gồm các hậu quả cho sự không tuân thủ theo chính sách an toàn thông tin của tổ chức (ví dụ sa thải hoặc chấm dứt hợp đồng làm việc).

AI LÀ NGƯỜI THIẾT LẬP CHÍNH SÁCH AN TOÀN THÔNG TIN CHO TỔ CHỨC? 

Lãnh đạo cao nhất sẽ là người chịu trách nhiệm thiết lập chính sách an toàn thông tin cho tổ chức, Chính sách an toàn thông tin phải được lập thành văn bản và truyền đạt cũng như cung cấp cho các bên liên quan khác. Thông thường các tổ chức truyền đạt chính sách an toàn thông tin thông qua sổ tay an toàn thông tin, khóa học đào tạo hoặc in thành văn bản treo ở các thông báo. 

Việc thiết lập, thực hiện và duy trì chính sách an toàn thông tin có nghĩa là: 

  • Thực hiện tức là làm theo những gì đã tuyên bố, hoạch định và cam kết trong chính sách an toàn thông tin 
  • Sau khi thiết lập thì phải đảm bảo nó luôn luôn hoạt động và phù hợp theo những gì đã hoạch định để đảm bảo chính sách an toàn thông tin luôn luôn có hiệu lực và đạt hiệu quả, đó được gọi là duy trì chính sách 

Ví dụ về chính sách an toàn thông tin

VÍ DỤ VỀ CÁC NỘI DUNG TRONG CHÍNH SÁCH AN TOÀN THÔNG TIN 

  1. Mục tiêu an toàn thông tin

Mục tiêu an toàn thông tin là nội dung cần phải có trong chính sách an toàn thông tin. Khi thiết lập các mục tiêu an toàn thông tin phải đảm bảo tính nhất quán, tránh trường hợp các mục tiêu mâu thuẫn với nhau. Đồng thời, mục tiêu an toàn thông tin phải hướng tới việc đảm bảo an ninh mạng, bảo mật thông tin, đặc biệt là các thông tin cá nhân của khách hàng. Các mục tiêu quá xa vời và không thể thực hiện hay đáp ứng sẽ ảnh hưởng tới tính khả thi của chính sách an toàn thông tin. 

  1. Cam kết về an toàn thông tin

Sau khi xác định được mục tiêu an toàn thông tin phù hợp, doanh nghiệp cần công khai cam kết an toàn thông tin của sản phẩm, dịch vụ trong chính sách an toàn thông tin của tổ chức mình. Cũng giống như khi xác định mục tiêu an toàn thông tin, các cam kết bảo vệ an toàn thông tin cũng cần phù hợp với bối cảnh của tổ chức.  

  1. Thể hiện cam kết thỏa mãn các yêu cầu được áp dụng

Tiêu chuẩn ISO 27001 nhằm đáp ứng các yêu cầu về an toàn thông tin của pháp luật, khách hàng và các bên liên quan nên chính sách an toàn thông tin của các tổ chức, doanh nghiệp áp dụng ISO 27001 cũng cần phải thể hiện sự tuân thủ về các yêu cầu được áp dụng. Do đó, nội dung của chính sách an toàn thông tin không thể đi ngược lại những quy định của pháp luật hiện hành cũng như những cam kết trong hợp đồng của doanh nghiệp với khách hàng hoặc đối tác. 

  1. Tuyên bố cải tiến Hệ thống quản lý an toàn thông tin liên tục

“Cải tiến” là một điều khoản của tiêu chuẩn ISO 27001:2015. ISO yêu cầu Hệ thống quản lý an toàn thông tin phải không ngừng cải tiến, bởi vậy mà có thể áp dụng những chính sách an toàn thông tin khác nhau trong từng thời kỳ, giai đoạn. Doanh nghiệp không cần phải nêu rõ sẽ tiến hành cải tiến ra sao mà chỉ cần thể hiện thông qua cam kết rằng sẽ thực hiện điều đó. 

>>> Xem thêm: [ISMS] Hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001:2013

————————————————————————————————————————————————————-

Mọi thắc mắc liên quan tới việc xây dựng Chính sách an toàn thông tin đạt chuẩn ISO hoặc dịch vụ chứng nhận ISO 27001, Quý Doanh nghiệp vui lòng liên hệ với SPS theo thông tin dưới đây:

  • Số hotline: 0969.555.610 / 0914.791.188
  • Địa chỉ: Tầng 12A Ladeco Building, 266 Đội Cấn, Ba Đình, Hà Nội
  • Email: sales@sps.org.vn
  • Website: https://sps.org.vn/

Hà Nội

Tầng 12A Ladeco Building, 266 Đội Cấn, Ba Đình, Hà Nội

sales@sps.org.vn

0969.555.610

Hồ Chí Minh

Tòa nhà Thủy Lợi 4 102 Nguyễn Xí, Phường 26, Quận Bình Thạnh

sales@sps.org.vn

0969.555.610

CHỨNG NHẬN SẢN PHẨM

Chứng nhận GRS

Chứng nhận RCS

Chứng nhận OCS

Chứng nhận GOTS

 

Thông tin

Dịch vụ

  • Chứng nhận hệ thống
  • Chứng nhận sản phẩm
  • Trách nhiệm xã hội
  • Công cụ cải tiến

Fanpage

Facebook Youtube Chanel Tiktok Twitter Instagram Linkedin

error: Content is protected !!