Trong phần Hỏi & Đáp này, chúng tôi trả lời các câu hỏi mà bạn có thể có về tầm quan trọng của chính sách bảo mật trong công ty của bạn.
Chính sách bảo mật hoặc chính sách bảo mật cho thấy một cách có cấu trúc công ty của bạn có giá trị như thế nào tài sản (dữ liệu, cũng như các quy trình) được bảo vệ tốt nhất. Chính sách bảo mật chung như vậy khá rộng. Nó bao gồm kiểm soát truy cập vật lý qua các cửa ra vào và ai sẽ lấy chìa khóa của tòa nhà nào cũng như chính sách CNTT.
Khi nói cụ thể đến việc bảo vệ dữ liệu, mọi người thường nói về nó chính sách bảo mật thông tin. Chính sách này bao gồm các chính sách về mật khẩu và tường lửa cũng như ai có quyền truy cập vào trang web, hệ thống và quy trình nào, cách lưu trữ dữ liệu, ai được phép truy cập mạng WiFi của công ty, v.v. Ngoài ra, đừng bao giờ quên khía cạnh vật lý: nếu máy chủ chính của bạn ở một nơi không được bảo vệ mà người ngoài có thể truy cập, dữ liệu của bạn sẽ không an toàn, cho dù bạn có sử dụng bao nhiêu tường lửa.
Tại sao tôi cần một chính sách bảo mật toàn diện?
Các báo cáo luôn xuất hiện trên các phương tiện truyền thông về thông tin bí mật đã bị mất hoặc bị công khai. Đặc biệt, sự gia tăng tính di động của dữ liệu thông qua việc sử dụng các phương tiện di động như USB, smartphonesmáy tính bảng và máy tính xách tay tiềm ẩn nhiều rủi ro hơn.
Và với sự phổ biến ngày càng tăng của hình thức làm việc tại nhà và BYOD (mang thiết bị của riêng bạn), bảo mật bổ sung thậm chí còn phù hợp hơn. Do đó, điều quan trọng nhất đối với công ty là phải mô tả rõ ràng tầm nhìn của mình về bảo mật và xây dựng tầm nhìn đó, chẳng hạn như ai có quyền truy cập vào dữ liệu nào và biện pháp bảo mật nào phải được thực hiện cho việc này.
Một chính sách tốt không chỉ đặt ra các quy tắc mà còn giúp nhân viên luôn cảnh giác và nhận thức được sự an toàn. Cuối cùng, các em nên nhớ không sử dụng tên riêng của mình làm mật khẩu hoặc không viết mật khẩu của mình ra một tờ giấy rồi đặt trên bàn làm việc.
Một chính sách bảo mật tốt bao gồm những gì?
Chính sách bảo mật trước hết phải trả lời một số câu hỏi cụ thể: ai chịu trách nhiệm cho quy trình nào và do đó ai sẽ can thiệp trong trường hợp có vấn đề? Những quy trình và hệ thống CNTT nào quan trọng trong kinh doanh và không bao giờ bị lỗi? Ai có thể sử dụng chúng? và kể từ đó trở đi.
Các chính sách bảo mật sâu rộng cũng quy định cách xử lý hoặc tiêu hủy phần cứng để dữ liệu trên đó chắc chắn bị xóa. Họ cũng sẽ xây dựng các biện pháp mã hóa và bảo mật cho các thiết bị như Blackberry và máy tính xách tay. Ngày càng có nhiều công ty bổ sung các điều khoản về mạng xã hội vào chính sách của mình, chẳng hạn như Facebook.
Liên kết yếu nhất là gì?
Hầu như không có ngoại lệ: nhân viên của bạn. Miễn là họ không hiểu rằng trình quét vi-rút làm được nhiều việc hơn là làm chậm máy tính xách tay, họ có thể cố gắng vô hiệu hóa nó. Và nếu không có thông tin liên lạc rõ ràng về máy nghe nhạc MP3, USB và máy ảnh kỹ thuật số, bạn sẽ không ngạc nhiên nếu ai đó vô tình đưa vi-rút vào theo cách này. của các giải pháp kỹ thuật.
Làm thế nào một chính sách như vậy được thiết lập?
Bước đầu tiên là tập hợp tất cả những người tham gia vào nhóm làm việc, có hoặc không có sự hiện diện của chuyên gia tư vấn bên ngoài. Nhóm làm việc này thường bao gồm tám người: một thành viên hội đồng quản trị, giám đốc nhân sự, giám đốc CNTT, giám đốc kinh doanh từ các bộ phận khác nhau, cũng có thể là đại diện theo pháp luật và tất nhiên là đại diện của người dùng. Sử dụng một danh sách kiểm tra như ISO 27002 nhu cầu của toàn bộ công ty sau đó được bộc lộ.
Cái gì với ISO 27002 và 27001?
ISO 27002 là tiêu chuẩn được quốc tế công nhận nhằm xây dựng các biện pháp thực tế trong lĩnh vực bảo mật thông tin. Nó chứa một số lượng lớn các biện pháp cụ thể và do đó tạo thành một danh sách kiểm tra hữu ích, để tổ chức của bạn không bỏ qua bất kỳ khía cạnh nào của bảo mật CNTT. Bạn phải ISO 27002 không thể tuân theo theo nghĩa đen và bạn cũng không thể chứng nhận bản thân mình trong đó. Trở thành vì điều đó ISO 27001 được tạo. Sau này đưa ra các yêu cầu để triển khai, thực thi và kiểm tra hệ thống quản lý bảo mật thông tin được ghi lại và bạn có thể được chứng nhận theo tiêu chuẩn đó.
Phần hỏi đáp này nằm trong Niên giám CNTT về Chiến lược Kinh doanh Thông minh 2013 – 2014. Bạn có thể tải xuống miễn phí phiên bản PDF của Niên giám thông qua liên kết này. Phiên bản giấy dành cho 7,5 euro để bán trong cửa hàng của chúng tôi.
