Ví dụ về chính sách an toàn thông tin
Dù hoạt động trong lĩnh vực, ngành nghề nào thì các tổ chức cũng nên thiết lập Chính sách an toàn thông tin. Bài viết dưới đây SPS Cert sẽ ví dụ về Chính sách an toàn thông tin ISO 27001.

Table of Contents
CHÍNH SÁCH AN TOÀN THÔNG TIN CỦA MỘT DOANH NGHIỆP LÀ GÌ?
Theo định nghĩa của của Tiêu chuẩn quốc gia TCVN 11238:2015, Chính sách an toàn thông tin là mục đích và định hướng của một tổ chức về các vấn đề an ninh mạng, bảo mật thông tin được thể hiện chính thức bởi ban quản lý cấp cao.
TẠI SAO MỘT DOANH NGHIỆP CẦN PHẢI CÓ CHÍNH SÁCH AN TOÀN THÔNG TIN?
Đối với những doanh nghiệp có nhu cầu áp dụng ISO 27001 để xây dựng Hệ thống quản lý an toàn thông tin thì chính sách an toàn thông tin là một trong những tài liệu không thể thiếu theo yêu cầu của tiêu chuẩn.
TẦM QUAN TRỌNG CỦA CHÍNH SÁCH AN TOÀN THÔNG TIN
Chính sách an toàn thông tin trong tiêu chuẩn ISO 27001 quan trọng bởi nó giúp:
- Xác định và quản lý các rủi ro đe dọa tới Hệ thống quản lý an toàn thông tin
- Hạn chế các sự cố thất lạc, rò rỉ, đánh cắp thông tin
- Bảo vệ tài sản thông tin của tổ chức
- Bảo mật thông tin cá nhân của khách hàng
- Tuân thủ pháp luật hiện hành
- Đáp ứng yêu cầu của khách hàng và các bên quan tâm
- Khuyến khích sự tham gia từ đội ngũ nhân viên trong nội bộ doanh nghiệp
- Tối ưu quy trình hoạt động
- Thể hiện cam kết của lãnh đạo trong vấn đề an toàn thông tin
CHÍNH SÁCH AN TOÀN THÔNG TIN BAO GỒM NHỮNG GÌ
Trong hệ thống an toàn thông tin MSMS một chính sách an toàn thông tin thông thường sẽ bao gồm:
1.Phạm vi
Phạm vi bao gồm các vấn đề có liên quan trong hệ thống an toàn thông tin. Phạm vi cũng bao gồm các tổ chức, bộ phận khác nhau.
2.Phân loại thông tin
Nội dung này có chỉ ra rằng các lãnh đạo và người điều hành tổ chức cần phải cung cấp thêm các định nghĩa, nội dung nhằm đảm bảo an ninh thông tin và những giải pháp bảo mật thay vì bí mật hoặc hạn chế.
3.Mục tiêu quản lý rõ ràng
Tổ chức cần phải đưa ra những mục tiêu rõ ràng trong quản lý và xử lý, khắc phục các sự cố liên quan tới an toàn thông tin trong từng phân loại (ví dụ các nghĩa vụ pháp lý, quy định và hợp đồng đối với việc đảm bảo an ninh).
4.Bối cảnh của tổ chức
Một nội dung cần được làm rõ chính là chính sách cần được đặt trong một bối cảnh cụ thể.
5.Có tài liệu hỗ trợ
Nội dung này có chia sẻ về việc hỗ trợ các tài liệu hỗ trợ cho một hệ thống an toàn thông tin được hoạt động hiệu quả. Ví dụ như thủ tục, hướng dẫn, cách khắc phục và ứng phó sự cố vv.
6.Hướng dẫn cụ thể
Bao gồm các tài liệu hướng dẫn về phương pháp an ninh cho hệ thống nội bộ, phương pháp sử dụng internet an toàn trên mạng xã hội hay những yêu cầu trong bảo mật cho toàn bộ tổ chức (ví dụ: tất cả quyền truy cập vào bất kỳ hệ thống máy tính đều phải yêu cầu xác minh danh tính và xác thực, không chia sẻ cơ chế xác thực cá nhân).
7.Có trách nhiệm rõ ràng
Tổ chức cần đưa ra những trách nhiệm cụ thể được xác lập (ví dụ: bộ phận công nghệ là nhà cung cấp duy nhất các đường dây viễn thông, bộ phận kỹ thuật là chuyên bảo mật hệ thống mạng, website và khắc phục sự cố).
8.Hậu quả
Bao gồm các hậu quả cho sự không tuân thủ theo chính sách an toàn thông tin của tổ chức (ví dụ sa thải hoặc chấm dứt hợp đồng làm việc).
AI LÀ NGƯỜI THIẾT LẬP CHÍNH SÁCH AN TOÀN THÔNG TIN CHO TỔ CHỨC?
Lãnh đạo cao nhất sẽ là người chịu trách nhiệm thiết lập chính sách an toàn thông tin cho tổ chức, Chính sách an toàn thông tin phải được lập thành văn bản và truyền đạt cũng như cung cấp cho các bên liên quan khác. Thông thường các tổ chức truyền đạt chính sách an toàn thông tin thông qua sổ tay an toàn thông tin, khóa học đào tạo hoặc in thành văn bản treo ở các thông báo.
Việc thiết lập, thực hiện và duy trì chính sách an toàn thông tin có nghĩa là:
- Thực hiện tức là làm theo những gì đã tuyên bố, hoạch định và cam kết trong chính sách an toàn thông tin
- Sau khi thiết lập thì phải đảm bảo nó luôn luôn hoạt động và phù hợp theo những gì đã hoạch định để đảm bảo chính sách an toàn thông tin luôn luôn có hiệu lực và đạt hiệu quả, đó được gọi là duy trì chính sách
VÍ DỤ VỀ CÁC NỘI DUNG TRONG CHÍNH SÁCH AN TOÀN THÔNG TIN
-
Mục tiêu an toàn thông tin
Mục tiêu an toàn thông tin là nội dung cần phải có trong chính sách an toàn thông tin. Khi thiết lập các mục tiêu an toàn thông tin phải đảm bảo tính nhất quán, tránh trường hợp các mục tiêu mâu thuẫn với nhau. Đồng thời, mục tiêu an toàn thông tin phải hướng tới việc đảm bảo an ninh mạng, bảo mật thông tin, đặc biệt là các thông tin cá nhân của khách hàng. Các mục tiêu quá xa vời và không thể thực hiện hay đáp ứng sẽ ảnh hưởng tới tính khả thi của chính sách an toàn thông tin.
-
Cam kết về an toàn thông tin
Sau khi xác định được mục tiêu an toàn thông tin phù hợp, doanh nghiệp cần công khai cam kết an toàn thông tin của sản phẩm, dịch vụ trong chính sách an toàn thông tin của tổ chức mình. Cũng giống như khi xác định mục tiêu an toàn thông tin, các cam kết bảo vệ an toàn thông tin cũng cần phù hợp với bối cảnh của tổ chức.
-
Thể hiện cam kết thỏa mãn các yêu cầu được áp dụng
Tiêu chuẩn ISO 27001 nhằm đáp ứng các yêu cầu về an toàn thông tin của pháp luật, khách hàng và các bên liên quan nên chính sách an toàn thông tin của các tổ chức, doanh nghiệp áp dụng ISO 27001 cũng cần phải thể hiện sự tuân thủ về các yêu cầu được áp dụng. Do đó, nội dung của chính sách an toàn thông tin không thể đi ngược lại những quy định của pháp luật hiện hành cũng như những cam kết trong hợp đồng của doanh nghiệp với khách hàng hoặc đối tác.
-
Tuyên bố cải tiến Hệ thống quản lý an toàn thông tin liên tục
“Cải tiến” là một điều khoản của tiêu chuẩn ISO 27001:2015. ISO yêu cầu Hệ thống quản lý an toàn thông tin phải không ngừng cải tiến, bởi vậy mà có thể áp dụng những chính sách an toàn thông tin khác nhau trong từng thời kỳ, giai đoạn. Doanh nghiệp không cần phải nêu rõ sẽ tiến hành cải tiến ra sao mà chỉ cần thể hiện thông qua cam kết rằng sẽ thực hiện điều đó.
>>> Xem thêm: [ISMS] Hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001:2013
————————————————————————————————————————————————————-
Mọi thắc mắc liên quan tới việc xây dựng Chính sách an toàn thông tin đạt chuẩn ISO hoặc dịch vụ chứng nhận ISO 27001, Quý Doanh nghiệp vui lòng liên hệ với SPS theo thông tin dưới đây:
- Số hotline: 0969.555.610 / 0914.791.188
- Địa chỉ: Tầng 12A Ladeco Building, 266 Đội Cấn, Ba Đình, Hà Nội
- Email: sales@sps.org.vn
- Website: https://sps.org.vn/