Page 140 - Hướng Dẫn Cách Phòng Thủ Và Khắc Phục Sự Cố Máy Tính
P. 140
trúc hệ thống và cơ sở dữ liệu của riêng mình. Trình độ
nhận thức về an toàn thông tin cũng rất chênh lệch. Chính
vì vậy khi thiết lập các chính sách, nhà quản lý cần xác
định rõ mục đích của chính sách được thiết lập, đối tượng
thực thi, phạm vi tác động...
Lớp thứ hai trên mô hình mô tả các quy tắc, quy định
thực thi các chính sách . Để thực hiện các chính sách ta
phải làm gì? Hệ thống các quy tắc ATTT được thể hiện
trên 10 lĩnh vực lớn bao hàm các quy định từ tổ chức, con
người, an ninh vật lý đến các công cụ kỹ thuật an toàn
thông tin. Các quy tắc được xây dựng trên mô hình IT
chuẩn của tổ chức và thể hiện được tính đặc thù của tổ
chức đó. Thông qua việc thực thi các quy tắc, có thể đánh
giá chất lượng an toàn thông tin của một tô chức thông
qua kiểm toán (Audit).
Lớp thứ ba là lớp cuốĩ cùng của mô hình. Đây là các
quy trình, các giải pháp hỗ trỢ thực thi các quy tắc, quy
định trên. Nó trả lời cho câu hỏi làm như thế nào để thực
thi các quy định trên? Các nhà quản trị an toàn thông tin
(CSO) cùng các quản trị IT thiết lập các quy trình này và
phổ biến đến mọi nhân viên trong tổ chức, ví dụ “Quy
trình thay đổi mật khẩu”, “Quy trình cài đặt các chương
trình diệt virut, chống các chương trình độc hại”. Các quy
trình này có thể liên quan đến nhiều chính sách và đôl
tượng sử dụng khác nhau.
Việc áp dụng ISO 17799 đem lại lọi ích gi cho tổ chức?
Việc áp dụng các tiêu chuẩn về ATTT theo ISO 17799
làm tăng nhận thức cho đội ngũ cán bộ nhân viên về
ATTT. Xây dựng một môi trường an toàn, có khả năng
miễn dịch trước các rủi ro, giảm thiểu các nguy cơ do con
người gây ra. Tiêu chuẩn ISO 17799 đề ra những nguyên
tắc chung trong quá trình thiết kế, xây dựng hệ thống
141
