Giải đáp cuộc sống

Chính sách an toàn thông tin là gì?

chính sách an toàn thông tin là tài liệu không thể thiếu khi áp dụng tiêu chuẩn về hệ thống quản lý an toàn thông tin. bài viết dưới đây sẽ phân tích chính sách an toàn thông tin iso 27001:2013.

phẢi thiẾt lẬp, thỰc hiỆn vÀ duy trÌ chÍnh sÁch an toÀn thÔng tin

  1. yêu cầu thứ nhất
  2. lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì chính sách an toàn thông tin

    1. phân tích
      • “thiết lập” là bắt buộc phải duy trì chính sách an toàn thông tin
      • “thực hiện” tức là làm theo những gì đã tuyên bố, đã hoạch định hoặc đã cam kết;
      • “Duy trì” là ảm bảo nó luôn ở Trạng thati Hoạt ộng và ảm bảo nó luôn phùp với những gì đch ịnh cho, tức là pHải ảm ​​bảm bảnh Sách Sác.
        1. giải pháp
        2. lãnh đạo cao nhất phải là người trực tiếp điều hành và chỉ đạo yêu cầu này

          chÍnh sÁch an toÀn thÔng tin phẢi phÙ hỢp vỚi mỤc ĐÍch cỦa tỔ chỨc

          1. yêu cầu thứ hai của tiêu chuẩn iso 27001:2013
          2. lãnh ạo cao nhất pHải thiết lập, thực hiện và duy trì chynh Sách an toàn thông tin: pHù hợp với mục đích và bối cảnh của tổc và hỗnh hướng chi ủc c c c c c c c c c c c c c c c c c c c c c c c c c c

            1. phân tích
            2. mục đích đơn giản đầu tiên mà mọi doanh nghiệp theo đuổi đó là đảm bảo cho tổ chức tồn tại. chính sách an toàn thông tin cần phải được thiết lập để thực hiện các công việc của tổ chức, hướng tới việ thệa hủa hủa m.ch lý giải một cách đơn giản cho điều này là nếu không có khách hàng thì tổ chức không thể tồn tại. ngoài ra, mỗi tổ chức khác nhau sẽ theo đuổi những mục tiêu khác nhau. chính sách an toàn thông tin cần phù hợp với các mục tiêu đã đề ra để không gây rối lọan hệ thống quản lý.

              mặt khác, Trong Môi Trường ầy Biến ộng, Mọi Thứ ều Có Thể Thay ổi từng ngày, Trong đó nhu cầu và mong ợi của khách hàng, yếu tố vông quan quan trọnh ảnh tin. vì vậy cần chính sách an toàn thông tin cần phù hợp với bối cảnh mà tổ chức phải đối mặt để doanh nghiệp không bịạc hịậuth.

              bên cạnh đó, Chính Sách an toàn thông tin tốt cũng cần hỗ trợnh hướng chiến lược choc cac hoạt ộng khác của tổ chức ể ảm bảo sự phát bền vững.

              1. giải pháp
                • tổ chức cần phải xác định khách hàng của mình là ai? họ ở đâu? họ có mong muốn nhận được những gì và cần gì?
                • lãnh đạo phải thường xuyên xem xét bối cảnh tổ chức và ảnh hưởng của bối cảnh lên chính sách an toàn thông tin, đồng thời có thể điều chỉnh chính sách an toàn thông tin để nó luôn phù hợp với tình hình thực tế
                • phải gắn kết chính sách an toàn thông tin với bối cảnh và mục đích của tổ chức
                • chÍnh sÁch an toÀn thÔng tin cung cẤp khuÔn khỔ cho viỆc thiẾt lẬp cÁc mỤc tiÊu an toÀn thÔng tin

                  1. yêu cầu trong Điều 5.2.b tiêu chuẩn iso 27001:2013
                  2. lãnh đạo cao nhất phải thiết lập, thực hiện và duy trì chính sách an toàn thông tin để đưa ra khuôn khổ cho việt thiết lếp ệ tiê toc.

                    1. phân tích
                    2. chính sách an toàn thông tin là định hướng và triết lý của lãnh đạo cao nhất về an toàn thông tin, có hai cách khác nhau để giải thích của yêu. chính sách an toàn thông tin nên lồng ghép mục tiêu an toàn thông tin liên quan để biết mức độ hiệu lực của chính sách. mục tiêu an toàn thông tin khi thiết lập cũng cần căn cứ vào chính sách an toàn thông tin ể tạo ra sự thống nhất và ồng bộ trong quáhai trình tri ự.

                      dưới đây là ví dụ về mối liên hệ giữa chính sách an toàn thông tin và mục tiêu an toàn thông tin:

                      chính sách an toàn thông tin

                      mục tiêu an toàn thông tin

                      cam kết giao hàng đúng hạn

                      Đạt 99% đơn hàng đúng hạn

                      nâng cao sự thỏa mãn của khách hàng

                      có ít hơn 2 khiếu nại của khách hàng về sản phẩm và dịch vụ do lỗi của tổ chức trong 1 năm

                      giảm chi phí sản xuất

                      giảm 5% chi phí sản xuất / năm

                      tỷ lệ phế phẩm, sản phẩm lỗi giảm 2%/năm

                      nâng cao doanh jue

                      Đạt mức doanh jue tăng 20% ​​​​so với năm trước

                      1. giải pháp
                      2. mỗi một mệnh đề trong chính sách phải thiết lập một mục tiêu để kiểm soát nhằm biết được chính sách đượng tho></ả

                        chÍnh sÁch an toÀn thÔng tin phẢi ĐÁp Ứng cÁc yÊu cẦu liÊn quan ĐẾn an toÀn thÔng tin

                        1. yêu cầu trong Điều 5.2.c tiêu chuẩn iso 27001:2013
                        2. lãnh ạo cao nhất phải thiết lập, thực hiện và duy trì chính sách an toàn thông tin bao gồm việc cam kết ểt ể đÁ

                          1. phân tích
                          2. từ “bao gồm” Trong ngữ cảnh này nghĩa là “pHải CO những yêu cầu của tiêu chuẩn iso 27001: 2013 về

                            1. giải pháp
                              • xác định các yêu cầu của pháp luật hiện hành về quản lý an toàn thông tin
                              • xác định yêu cầu của tiêu chuẩn iso 27001:2013
                              • xác định yêu cầu của khách hàng và đối tác liên quan về an toàn thông tin sản phẩm, dịch vụ
                              • chÍnh sÁch an toÀn thÔng tin bao gỒm cam kẾt cẢi tiẾn liÊn tỤc hỆ thỐng quẢn lÝ an toÀn thÔng tin

                                1. yêu cầu trong Điều 5.2.d tiêu chuẩn iso 27001:2013
                                2. lãnh ạo cao nhất phải thiết lập, thực hiện và duy trì chính sách an toàn thông tin bao gồm việc cam kết cải tiến liên tục hỺ quthống quthống

                                  1. phân tích
                                  2. cải tiến hệ thống quản lý an toàn thông tin là một trong những yêu cầu bắt buộc của tiêu chuẩn iso 27001:2013. vì vậy, chính sách an toàn thông tin phải bao gồm cam kết này.

                                    1. giải pháp
                                      • cach dễ nhất và rõ ràng nhất ể làm điều này là sửng dụng những từ chynh xác trong chính sác của tổc, mặc dù tổ chức cóc cóc cóc có d thể n diễn các c Camt this ví dụ như “công ty cam kết thúc đẩy hoạt động cải tiến liên tục hệ thống quản lý an toàn thông tin”.
                                      • Đồng thời lãnh đạo phải chứng minh được sự cải thiện trên hệ thống mà công ty đang áp dụng
                                      • chÍnh sÁch an toÀn thÔng tin phẢi sẴn cÓ vÀ duy trÌ bẰng thÔng tin dẠng vĂn bẢn

                                        1. yêu cầu trong Điều 5.2.e tiêu chuẩn iso 27001:2013
                                        2. chính sách an toàn thông tin phải sẵn có và được duy trì bằng thông tin dạng văn bản.

                                          1. phân tích
                                          2. chính sách an toàn thông tin sẽ không có giá trị nếu không được duy trì bằng thông tin dạng văn bản. từ “sẵn có” ở đây có nghĩa là phải có để ở nơi phù hợp để người lao động biết. cụm từ “duy trì dạng văn bản” có nghĩa là một dạng tài liệu phải được xem xét, cập nhật và kiểm soát sự thay đổi. vì thiết lập và quản lý chính sách an toàn thông tin là do lãnh ạo cao nhất, nên việc kiểm soát, cập nhật và xét phải là do do lãạo ẻ cao ẻ

                                            1. giải pháp
                                              • lãnh đạo cao nhất thiết lập chính sách dạng văn bản, sau đó phát cho các phòng ban.
                                              • Các văn bản này pHải ược pHê duyệt thỏa đáng trước khi ban hành, ược xét lại ịnh kỳ, ược kiểm bản sao và ảm bảo tất cả cán chí chí ứhh ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt ứt . /li>

                                                chÍnh sÁch an toÀn thÔng tin phẢi ĐƯỢc truyỀn thÔng trong phẠm vi tỔ chỨc

                                                1. yêu cầu trong Điều 5.2.f tiêu chuẩn iso 27001:2013
                                                2. chính sách an toàn thông tin phải được truyền thông trong phạm vi tổ chức.

                                                  1. phân tích
                                                  2. “truyền thông” ở đây bao gồm “truyền đạt”, “thấu hiểu” và “áp dụng”

                                                    thứ hai, chính sách phải được “thấu hiểu”, nghĩa là nói với mọi người về chính sách, giải thích ý nghĩa của nó và tại sau Đánh giá viên khi hỏi bất cứ người nào thuộc sự quản lý của tổ chức họ phải giải được nội dung chính sách. tiêu chuẩn không yêu cầu tất cả nhân sự công ty phải thuộc lòng, chỉ cần biết nó ở đâu và ý nghĩa của chính sách là gì.

                                                    1. giải pháp
                                                    2. cách để truyền đạt chính sách:

Related Articles

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Back to top button