-
08/10/2013
-
400
-
985 bài viết
12 lĩnh vực về an ninh mạng
Được đề cập trong tiêu chuẩn ISO/IEC 27002, 12 lĩnh vực về an ninh mạng đóng vai trò là một cái nhìn tổng thể, giúp cho những người theo đuổi an ninh mạng có thể nắm được tổng quan và đi theo các lĩnh vực chuyên sâu. Bên cạnh đó, việc đưa ra 12 lĩnh vực về an ninh mạng còn giúp cho các tổ chức có thể xây dựng những tiêu chuẩn, những quy tắc thực thi tốt nhất, thúc đẩy sự trao đổi thông tin giữa các tổ chức.
- Chính sách an ninh (Security Policy): là một văn bản quy định các vấn đề liên quan đến việc đảm bảo an toàn khi sử dụng hệ thống công nghệ thông tin trong doanh nghiệp. Chính sách an ninh chỉ ra cách thức truy cập dữ liệu như thế nào và những dữ liệu nào được phép truy cập và truy cập bởi những ai.
- Quản lý sự cố về an ninh: mô tả cách thức đối phó và xử lý những lỗ hổng về an ninh có thể xảy ra.
- Hợp chuẩn (compliance): mô tả quá trình nhằm đảm bảo rằng hệ thống là tuân thủ các chính sách an ninh, các tiêu chuẩn, các quy tắc đặt ra từ trước.
- Điều khiển truy cập (Access Control): mô tả những quy tắc giới hạn việc truy cập vào mạng, hệ thống, ứng dụng, chức năng, và dữ liệu.
- Đánh giá rủi ro (risk assessment): là bước đầu tiên trong quá trình quản lý rủi ro. Nó ước tính về giá trị, số lượng tài sản gặp rủi ro trong những tình huống mất an ninh xảy ra.
- Tổ chức an toàn thông tin (Organization of Information Security): là mô hình mà tổ chức đề ra nhằm đảm bảo an toàn thông tin.
- Xây dựng hệ thống thông tin, phát triển và bảo trì: mô tả cách thức tích hợp yếu tố an ninh vào các ứng dụng.
- Quản lý việc truyền thông và hoạt động: mô tả việc quản lý các khía cạnh kỹ thuật về an ninh trong hệ thống và mạng.
- An ninh nguồn nhân lực: mô tả các thủ tục nhằm đảm bảo tính an ninh trong việc tuyển dụng nhân sự, điều động nhân sự nội bộ và nghỉ việc của nhân viên, trong một tổ chức.
- Quản lý tài sản thông tin: là bản kiểm kê, có sự phân loại các tài sản thông tin.
- An ninh vật lý và môi trường: mô tả việc bảo vệ về mặt vật lý cho hệ thống máy tính trong một tổ chức.
- Quản lý tính liên tục trong kinh doanh: mô tả việc bảo vệ, bảo trì và khôi phục những nghiệp vụ kinh doanh và hệ thống cốt lõi .
- Chính sách an ninh (Security Policy): là một văn bản quy định các vấn đề liên quan đến việc đảm bảo an toàn khi sử dụng hệ thống công nghệ thông tin trong doanh nghiệp. Chính sách an ninh chỉ ra cách thức truy cập dữ liệu như thế nào và những dữ liệu nào được phép truy cập và truy cập bởi những ai.
- Quản lý sự cố về an ninh: mô tả cách thức đối phó và xử lý những lỗ hổng về an ninh có thể xảy ra.
- Hợp chuẩn (compliance): mô tả quá trình nhằm đảm bảo rằng hệ thống là tuân thủ các chính sách an ninh, các tiêu chuẩn, các quy tắc đặt ra từ trước.
- Điều khiển truy cập (Access Control): mô tả những quy tắc giới hạn việc truy cập vào mạng, hệ thống, ứng dụng, chức năng, và dữ liệu.
- Đánh giá rủi ro (risk assessment): là bước đầu tiên trong quá trình quản lý rủi ro. Nó ước tính về giá trị, số lượng tài sản gặp rủi ro trong những tình huống mất an ninh xảy ra.
- Tổ chức an toàn thông tin (Organization of Information Security): là mô hình mà tổ chức đề ra nhằm đảm bảo an toàn thông tin.
- Xây dựng hệ thống thông tin, phát triển và bảo trì: mô tả cách thức tích hợp yếu tố an ninh vào các ứng dụng.
- Quản lý việc truyền thông và hoạt động: mô tả việc quản lý các khía cạnh kỹ thuật về an ninh trong hệ thống và mạng.
- An ninh nguồn nhân lực: mô tả các thủ tục nhằm đảm bảo tính an ninh trong việc tuyển dụng nhân sự, điều động nhân sự nội bộ và nghỉ việc của nhân viên, trong một tổ chức.
- Quản lý tài sản thông tin: là bản kiểm kê, có sự phân loại các tài sản thông tin.
- An ninh vật lý và môi trường: mô tả việc bảo vệ về mặt vật lý cho hệ thống máy tính trong một tổ chức.
- Quản lý tính liên tục trong kinh doanh: mô tả việc bảo vệ, bảo trì và khôi phục những nghiệp vụ kinh doanh và hệ thống cốt lõi .