Professional Documents
Culture Documents
2
Nội dung
1. Luật, đạo đức & thực hành an toàn thông tin
2. Bộ quy tắc đạo đức của các tổ chức nghề nghiệp
3. Định vị và cung cấp nhân sự cho vị trí an toàn thông
tin
4. Chính sách và thực tiễn công việc
5. Các cân nhắc về an toàn đối với những người không
phải nhân viên của công ty
6. Các chiến lược kiểm soát nội bộ
7. Quyền riêng tư và bảo mật của dữ liệu nhân sự
3
Thuật ngữ
English Ref Vietnamese
Chief information officer (CIO) An executive- 588– Giám đốc thông tin (giám
level position that oversees the organization’s 590 đốc điều hành)
computing technology and strives
to create efficiency in the processing and
access of the organization’s information.
Chief Information Security Officer (CISO): 588- Giám đốc an toàn thông
Typically considered the top information 589 tin
security officer in an organization. The CISO is
usually not an executive-level position, and
frequently the person in this role reports to the
CIO.
Chief security Offices (CSO): Direct of 590- Phụ trách an toàn về
Corporate Security - physical security 591 trang thiết bị, cơ sở hạ
responsibilities tầng của doanh nghiệp
Community of interest. A group of individuals Một nhóm có lợi ích liên
who are united by similar interests or values quan
within an organization and who share a
common goal of helping the organization to
meet its objectives.
Thuật ngữ
English Ref Vietnamese
Information Systems Audit Hiệp hội kiểm toán và kiểm soát hệ thống
And Control Association- thông tin
ISACA
The International Information 594 Hiệp hội chứng nhận Bảo mật hệ thông tin
Systems Security quốc tế
Certification Consortium -
(𝑰𝑺𝑪)𝟐
System Administration, Viện quản trị hệ thống, mạng và an ninh
Networking, and Security
Institute – SANS
EC-Council EC-Council được biết đến trên toàn thế giới
là đơn vị dẫn đầu về giáo dục, đào tạo và
cung cấp chứng chỉ an toàn thông tin.
(http://ipmac.vn/technology-corner/tong-quan-
he-thong-chung-chi-ec-council
Thuật ngữ
English Ref Vietnamese
Specialist
Generelist
1. Luật, đạo đức & thực hành an toàn
thông tin
• Phân biệt giữa luật và đạo đức trong an toàn
thông tin
• Chính sách và luật trong an toàn thông tin
• Đạo đức và an toàn thông tin
• Sự khác biệt về đạo đức giữa các nền văn hóa
• Đạo đức và giáo dục
• Ngăn chặn hành vi phi đạo đức và bất hợp
pháp
8
1. Luật, đạo đức & thực hành an toàn
thông tin
• Bằng cách giáo dục ban quản lý và nhân viên
của một tổ chức về các nghĩa vụ pháp lý
(thông qua việc nắm và hiểu luật), và đạo đức
cần có, cũng như việc sử dụng phù hợp các
thực hành an toàn thông tin, chuyên gia bảo
mật có thể giúp tổ chức tập trung vào các mục
tiêu kinh doanh chính của mình.
9
1.1 Phân biệt giữa luật và đạo đức trong an
toàn thông tin
• Luật: là các quy tắc bắt buộc hoặc nghiêm cấm các hành vi
xã hội nhất định và được thực thi bởi nhà nước
• Đạo đức: là nhánh của triết học xem xét bản chất, tiêu chí,
nguồn gốc, tính logic, và hiệu lực của phán đoán đạo đức
• Phong tục, văn hóa truyền thống: quan điểm đạo đức cố
định hoặc phong tục của một nhóm cụ thể
• Quy tắc mà các thành viên của xã hội tạo ra để cân bằng
giữa quyền tự quyết của cá nhân so với nhu cầu của toàn xã
hội gọi là luật. Điểm khác biệt chính giữa luật và đạo đức là?
10
1.2 Chính sách và luật trong an toàn thông tin
• Chính sách: các hướng dẫn quy định hành vi nhất định trong tổ
chức
• Trong một tổ chức, chuyên gia bảo mật thông tin giúp duy trì an
toàn thông tin qua việc thiết lập, và thực thi chính sách. Các chính
sách này hoạt động như luật tổ chức, hoàn chỉnh với các hình phạt,
thực tiễn tư pháp và các biện pháp trừng phạt để yêu cầu tuân thủ.
Tuy nhiên, sự khác biệt giữa chính sách và luật pháp là gì?
• Một chính sách có hiệu lực thi hành cần đáp ứng 5 tiêu chí:
– Phổ biến: thông qua bản in cứng và phân phối điện tử
– Đánh giá dễ đọc bằng cách chính sách được ghi lại bằng tiếng Anh và các
ngôn ngữ thay thế khác.
– Dễ hiểu bằng cách phát hành các câu đố và các bài đánh giá khác
– Tuân thủ bằng cách khi đăng nhập, yêu cầu một hành động cụ thể (nhấp
chuột) để cho thấy người dùng đã đọc, hiểu và đồng ý tuân thủ chính sách
– Thực thi thống nhất (bất kể tình trạng hoặc sự phân công của nhân viên)
11
1.3 Đạo đức và an toàn thông tin
10 điều răn về Đạo đức máy tính từ Viện đạo đức máy tính
1. Không được dùng máy tính để làm hại người khác
2. Không nên can thiệp vào công việc máy tính của người khác
3. Không được rình mò các tệp máy tính của người khác
4. Không được dùng máy tính để ăn trộm
5. Không được sử dụng máy tính để làm chứng dối
6. Không được sao chép hoặc sử dụng phần mềm độc quyền mà
bạn chưa trả tiền
7. Không được sử dụng tài nguyên máy tính của người khác mà
không được phép hoặc bồi thường thích đáng
8. Không nên chiếm đoạt sản phẩm trí tuệ của người khác
9. Nên nghĩ về hậu quả xã hội của chương trình bạn đang viết
10. Cần phải luôn sử dụng máy tính theo cách đảm bảo sự thận
trọng và tôn trọng đối với nhân loại
12
1.4 Sự khác biệt về đạo đức giữa các nền
văn hóa
• Sự khác biệt về văn hóa gây khó khăn trong việc
xác định hành vi đạo đức, hành vi không đạo đức,
đặc biệt khi nói đến việc sử dụng máy tính. (SV
tìm thêm vd cụ thể)
• Khó khăn này càng tăng cao khi hành vi đạo đức
của một quốc gia mâu thuẫn với bộ quy tắc đạo
đức của nhóm quốc gia khác. Ví dụ: văn hóa của
người Châu Á khi sử dụng các công nghệ máy tính
thường không tôn trọng bản quyền phần mềm.
Xung đột đạo đức này nảy sinh từ truyền thống
Châu Á về sở hữu tập thể, xung đột với việc bảo
vệ tài sản trí tuệ
13
1.5 Đạo đức và giáo dục
• Giáo dục là yếu tố quan trọng hàng đầu trong
việc nâng cao nhận thức đạo đức
• Nhân viên phải được đào tạo về các hành vi
đạo đức được kỳ vọng, đặc biệt trong lĩnh vực
an toàn thông tin
• Việc đào tạo hành vi đạo đức phù hợp sẽ quan
trọng để hình thành nên người dùng hệ thống
có tư duy
14
1.6 Ngăn chặn hành vi phi đạo đức và bất
hợp pháp
• Phương pháp tốt nhất để ngăn cản các hành vi phi
đạo đức và bất hợp pháp là thực thi luật, chính
sách và các kiểm soát kỹ thuật, giáo dục và đào
tạo.
• Luật và chính sách, các hình phạt đi kèm chỉ mang
lại hiệu quả nếu 3 điều kiện sau hiện hữu:
– Nỗi sợ bị phạt
– Khả năng bị bắt
– Khả năng hình phạt được áp dụng
15
2. Bộ quy tắc đạo đức của các tổ chức nghề
nghiệp
16
2. Bộ quy tắc đạo đức của các tổ chức nghề
nghiệp
Các tổ chức nghề nghiệp
• Hiệp hội máy tính (Association of Computing Machinery)
• Hiệp hội kiểm tra và kiểm soát hệ thống thông tin
(Information Systems Audit and Control Association)
• Hiệp hội an toàn hệ thống thông tin (Information Systems
Security Association)
• Tổ chức chứng nhận bảo mật hệ thống thông tin quốc tế
(International Information Systems Security Ceritification
Consortium)
• Chứng nhận bảo đảm thông tin toàn cầu của viện SANS
(SANS Institute’s Globacl Information Assurance
Certification)
17
2.1 Hiệp hội máy tính (Association of
Computing Machinery)
• www.acm.org
• Hiệp hội xây dựng bộ quy tắc gồm 24 mệnh
lệnh và trách nhiệm đạo đức cá nhân đối với
các chuyên gia bảo mật
• Tổ chức này nhấn mạnh vào đạo đức của các
chuyên gia bảo mật
18
2.2 Hiệp hội kiểm tra và kiểm soát hệ thống thông tin
(Information Systems Audit and Control Association)
• www.isaca.org
• Hiệp hội tập trung vào kiểm toán, bảo mật
thông tin, phân tích quy trình kinh doanh và
lập kế hoạch hệ thống thông tin thông qua các
chứng chỉ CISA và CISM
• Tổ chức này nhấn mạnh nhiệm vụ và kiến
thức cần thiết của chuyên gia kiểm toán hệ
thống thông tin
19
2.3 Hiệp hội an toàn hệ thống thông tin
(Information Systems Security Association)
• www.issa.org
• Hiệp hội nghề nghiệp của các chuyên gia bảo
mật hệ thống thông tin, cung cấp diễn đàn
giáo dục, ấn phẩm và mạng ngang hàng cho
các thành viên
• Tổ chức này nhấn mạnh đến việc chia sẻ an
toàn thông tin một cách chuyên nghiệp
20
2.4 Tổ chức chứng nhận bảo mật hệ thống
thông tin quốc tế (International Information
Systems Security Ceritification Consortium)
• www.isc2.org
• Đây là tập đoàn quốc tế chuyên nâng cao chất
lượng các chuyên gia bảo mật thông qua các
chứng chỉ SSCP và CISSP
• Tổ chức này đòi hỏi cá nhân có chứng chỉ phải
tuân theo bộ quy tắc đạo đức đã ban hành
21
2.5 Chứng nhận bảo đảm thông tin toàn cầu của
viện SANS (SANS Institute’s Global Information
Assurance Certification)
• www.giac.org
• Chứng chỉ GIAC tập trung vào bốn lĩnh vực bảo
mật: quản trị bảo mật, quản lý bảo mật, kiểm toán
CNTT và bảo mật phần mềm, những lĩnh vực này
có cấp độ tiêu chuẩn vàng và chuyên nghiệp.
• Tổ chức này yêu cầu cá nhân có chứng chỉ phải
tuân theo bộ quy tắc đạo đức đã được ban hành
22
Nội dung
1. Luật, đạo đức & thực hành an toàn thông tin
2. Bộ quy tắc đạo đức của các tổ chức nghề nghiệp
3. Định vị và cung cấp nhân sự cho vị trí an toàn
thông tin
4. Chính sách và thực tiễn công việc
5. Các cân nhắc về an toàn đối với những người
không phải nhân viên của công ty
6. Các chiến lược kiểm soát nội bộ
7. Quyền riêng tư và bảo mật của dữ liệu nhân
sự
23
Giới thiệu
Khi thực hiện an toàn thông tin, cần:
❖Định vị vị trí an toàn thông tin
❖Lập kế hoạch tuyển dụng cho các vị trí định
vị hoặc điều chỉnh kế hoạch tuyển dụng
❖Xác định mức độ yêu cầu an toàn thông tin
với các vị trí chức năng đã định vị. Điều chỉnh
các mô tả công việc và yêu cầu thực hành
❖Làm việc với chuyên gia an toàn thông tin để
tích hợp các khái niệm an toàn thông tin vào
các thực hành quản lý nhân viên trong doanh
nghiệp
3- Định vị và cung cấp nhân sự cho
vị trí an toàn thông tin
Information Technology
CIO/VP for IT
Department
Information security
department CISO/CSO
• Các nhóm người không phải nhân viên chính thức công
ty nhưng do đặc thù quan hệ công việc họ vẫn có quyền
truy cập những thông tin quan trọng của đơn vị, gồm:
Nhân viên tạm thời, nhân viên hợp đồng, tư vấn, v.v..
• Những nhân viên này vẫn cần được quản lý cẩn thận để
để tránh rỏ rỉ, đánh cắp thông tin
3. CÂN NHẮC AN TOÀN THÔNG TIN VỚI
NHỮNG NGƯỜI KHÔNG PHẢI NHÂN VIÊN
CHÍNH THỨC CÔNG TY
• Thực hiện kỳ nghỉ bắt buộc với nhân viên: một hình thức có
người thay thế tạm công việc nhằm phát hiện những bất
thường. Nó cũng đồng thời là KS ngăn ngừa nếu nhân viên
biết chính sách này
• Giới hạn mức độ và phạm vi truy cập thông tin cần thiết
cho công việc (còn gọi “need to know” hoặc “least privilege”)
– Chỉ được phép truy cập và sử dụng thông tin trên cơ sở những gì
cần nhằm đảm bảo không lo ngại về tính bảo mật, toàn vẹn và tính
khả dụng
4. Chiến lược kiểm soát nội bộ (tiếp)
• Đối với những vị trí người lao động có thông tin đặc
biệt hay rất quan trọng có tính độc quyền,
– Có thể áp dụng chính sách “garden leave- về vườn”:
Công ty trả thêm lương 1 thời gian nào đó sau khi
nghỉ làm (vd 30 ngày) và yêu cầu trong thời gian này
nhân viên không đi làm ở công ty mới. Mục đích để
nhân viên không có thông tin cập nhật mới.
– Hoặc yêu cầu không được làm cho đối thủ cạnh tranh
trong khoảng thời gian bao nhiêu lâu sau khi nghỉ
việc tại công ty
4. Quyền riêng tư và bảo mật dữ liệu nhân sự