Hai điều này thường bị nhầm lẫn với nhau: bảo mật công nghệ thông tin (CNTT) và bảo mật thông tin. Trong thời đại số hóa, thông tin thường được xử lý, lưu trữ hoặc vận chuyển với sự trợ giúp của CNTT - Về cơ bản, bảo mật CNTT và bảo mật thông tin có mối liên hệ khá chặt chẽ với nhau. Do đó, cần phải có một phương pháp tiếp cận có hệ thống để bảo vệ hiệu quả thông tin bí mật, cũng như bản thân CNTT.
CONTENT
- Bảo mật CNTT so với bảo mật thông tin
- Mục tiêu bảo vệ an toàn thông tin
- Bảo mật CNTT theo định nghĩa
- Bảo mật thông tin = Bảo mật CNTT cộng với X
- Bảo mật CNTT theo luật, một ví dụ từ Đức
- ISO 27001 - Tiêu chuẩn về bảo mật thông tin
- Bảo mật thông tin thường liên tục hơn chúng ta nghĩ
- Bảo mật CNTT so với Bảo mật thông tin - Kết luận
- Những gì bạn có thể mong đợi từ chúng tôi
Bảo mật CNTT so với bảo mật thông tin
Bảo mật thông tin không chỉ là bảo mật CNTT. Nó tập trung vào toàn bộ công ty. Xét cho cùng, việc bảo mật thông tin bí mật không chỉ nhằm vào dữ liệu được xử lý bởi các hệ thống điện tử. Bảo mật thông tin bao gồm tất cả các tài sản của công ty cần được bảo vệ, bao gồm cả những tài sản trên các nhà cung cấp dữ liệu tương tự như giấy.
"Bảo mật CNTT và bảo mật thông tin là hai thuật ngữ không (chưa) có thể thay thế cho nhau."
Mục tiêu bảo vệ an toàn thông tin
Ba mục tiêu bảo vệ cơ bản của an toàn thông tin - tính bí mật, tính khả dụng và tính toàn vẹn - do đó cũng áp dụng cho một bức thư chứa các tài liệu hợp đồng quan trọng, phải đến tay người nhận đúng thời gian, đáng tin cậy và nguyên vẹn, được vận chuyển bằng chuyển phát nhanh. Và các mục tiêu bảo vệ này cũng áp dụng tương tự cho một tờ giấy có chứa thông tin bí mật, nhưng nó nằm trên bàn không có người giám sát mà bất kỳ ai nhìn thấy hoặc đang đợi trong máy photocopy, có thể truy cập tự do, để truy cập trái phép.
Như vậy, bảo mật thông tin có phạm vi rộng hơn bảo mật CNTT. Mặt khác, bảo mật CNTT "chỉ" đề cập đến việc bảo vệ thông tin trên hệ thống CNTT.
Bảo mật CNTT theo định nghĩa
Các cơ quan chính thức nói gì? Bảo mật CNTT là "trạng thái trong đó các rủi ro hiện hữu trong việc sử dụng công nghệ thông tin do các mối đe dọa và lỗ hổng bảo mật được giảm xuống mức có thể chấp nhận được bằng các biện pháp thích hợp. Do đó, bảo mật CNTT là trạng thái trong đó tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin và thông tin công nghệ được bảo vệ bằng các biện pháp thích hợp. " Theo Văn phòng Liên bang Đức về An toàn Thông tin (BSI).
Bảo mật thông tin = Bảo mật CNTT cộng với X
Trong thực tế, một cách tiếp cận khác đôi khi được thực hiện, sử dụng quy tắc chung "bảo mật thông tin = bảo mật CNTT + bảo vệ dữ liệu". Tuy nhiên, tuyên bố này, được viết ra dưới dạng một phương trình, khá nổi bật. Phải thừa nhận rằng vấn đề bảo vệ dữ liệu theo GDPR của Châu Âu là về bảo vệ quyền riêng tư, đòi hỏi người xử lý dữ liệu cá nhân phải có cả CNTT an toàn và ví dụ, một môi trường xây dựng an toàn - từ đó loại trừ quyền truy cập vật lý vào hồ sơ dữ liệu khách hàng. Tuy nhiên, điều này loại bỏ dữ liệu quan trọng tương tự không yêu cầu quyền riêng tư cá nhân. Ví dụ, kế hoạch xây dựng công ty và nhiều hơn nữa.
Thuật ngữ bảo mật thông tin bao gồm các tiêu chí cơ bản vượt ra ngoài các khía cạnh CNTT thuần túy, nhưng luôn bao gồm chúng. Do đó, so sánh, ngay cả các biện pháp kỹ thuật hoặc tổ chức đơn giản trong phạm vi bảo mật CNTT luôn được thực hiện dựa trên nền tảng của bảo mật thông tin thích hợp. Ví dụ về điều này có thể là:
- Bảo vệ nguồn điện cho phần cứng
- Các biện pháp chống quá nhiệt của phần cứng
- Quét vi-rút và các chương trình an toàn
- Tổ chức cấu trúc thư mục
- Thiết lập và cập nhật tường lửa
- Đào tạo nhân viên,vv...
Rõ ràng là bản thân các máy tính và hệ thống CNTT hoàn chỉnh sẽ không cần được bảo vệ. Nếu không có thông tin được xử lý hoặc vận vận hành kỹ thuật số, phần cứng và phần mềm sẽ trở nên vô dụng.
Bảo mật CNTT theo luật, một ví dụ từ Đức
Chủ đề của CRITIS: Luật an ninh CNTT tập trung vào các cơ sở hạ tầng quan trọng từ nhiều lĩnh vực khác nhau, chẳng hạn như cung cấp điện, khí đốt và nước, giao thông vận tải, tài chính, thực phẩm và y tế. Ở đây, trọng tâm chính là bảo vệ cơ sở hạ tầng CNTT chống lại tội phạm mạng nhằm duy trì tính khả dụng và bảo mật của các hệ thống CNTT. Đặc biệt, các hệ thống điều khiển từ xa được điều khiển bằng kỹ thuật số ngày nay phải được bảo vệ.
Các mục tiêu bảo vệ này được đặt lên hàng đầu (phần trích dẫn):
- Xem xét các rủi ro bảo mật CNTT
- Tạo ra các khái niệm bảo mật CNTT
- Lập kế hoạch khẩn cấp
- Thực hiện các biện pháp phòng ngừa an ninh chung
- Kiểm soát bảo mật Internet
- Sử dụng các phương pháp mật mã, v.v.
ISO 27001 - Tiêu chuẩn về bảo mật thông tin
ISO 27001 nói gì? Tiêu chuẩn được công nhận toàn cầu cho hệ thống quản lý an toàn thông tin (ISMS), với các dẫn xuất của nó là ISO 27019, ISO 27017 và ISO 27701, được gọi là:
ISO/IEC 27001:2013 -
Công nghệ thông tin - Kỹ thuật bảo mật - Hệ thống quản lý an toàn thông tin - Yêu cầu (ISO / IEC 27001: 2013 bao gồm Cor 1: 2014 và Cor 2: 2015).
Phiên bản sửa đổi được xuất bản vào ngày 25 tháng 10 năm 2022. Chúng tôi sẽ tiếp tục bổ sung thông tin về những thay đổi khi có sẵn.
Tiêu đề của tiêu chuẩn quan trọng này cho thấy rõ rằng bảo mật CNTT đóng một vai trò quan trọng trong bảo mật thông tin ngày nay và sẽ tiếp tục phát triển tầm quan trọng trong tương lai. Tuy nhiên, các yêu cầu đặt ra trong ISO 27001 không chỉ nhắm trực tiếp vào các hệ thống CNTT kỹ thuật số. Ngược lại:
"Xuyên suốt ISO / IEC 27001," thông tin "được đề cập đến trên toàn diện, không có ngoại lệ."
Về nguyên tắc, không có sự phân biệt nào về cách thức tương tự hoặc kỹ thuật số mà thông tin này được xử lý hoặc được bảo vệ.
Để có thêm kiến thức quý giá về bảo mật thông tin và khả năng đánh giá, hãy tìm hiểu chứng nhận ISO 27001.
ISMS được triển khai thành công hỗ trợ một chiến lược bảo mật toàn diện: nó bao gồm các biện pháp tổ chức, quản lý nhân viên có ý thức bảo mật, bảo mật của cấu trúc CNTT đã triển khai và tuân thủ các yêu cầu pháp lý.
Bí quyết có giá trị: Hướng dẫn đánh giá DQS
Hướng dẫn đánh giá của chúng tôi ISO 27001 - Phụ lục A do các chuyên gia hàng đầu tạo ra như một công cụ hỗ trợ triển khai thực tế và lý tưởng để hiểu rõ hơn các yêu cầu tiêu chuẩn đã chọn. Hướng dẫn này dựa trên tiêu chuẩn ISO/IEC 27001:2017. Vì phiên bản sửa đổi được xuất bản vào ngày 25 tháng 10 năm 2022 nên chúng tôi sẽ bổ sung thông tin về các thay đổi ngay khi có.
Bảo mật thông tin thường liên lục hơn chúng ta nghĩ.
Bất kỳ ai muốn áp dụng đều có thể áp dụng các yêu cầu tiêu chuẩn của ISO 27001 trên một hệ thống hoàn toàn tương tự và hoàn thành bằng những người áp dụng các yêu cầu cho một hệ thống kỹ thuật số hoàn chỉnh. Chỉ trong Phụ lục A của tiêu chuẩn ISMS nổi tiếng, trong đó có các mục tiêu và biện pháp đo lường cho người sử dụng, các thuật ngữ như thiết bị điện tử hoặc thiết bị di động mới xuất hiện. Nhưng ngay cả các biện pháp trong Phụ lục A của tiêu chuẩn cũng nhắc nhở chúng ta rằng vẫn có những quy trình và tình huống tương tự trong mọi công ty phải được tính đến liên quan đến bảo mật thông tin.
Bất cứ ai nói to về các chủ đề nhạy cảm qua điện thoại thông minh ở nơi công cộng, chẳng hạn như trên tàu, có thể đang sử dụng các kênh liên lạc kỹ thuật số, nhưng hành vi sai này của thường liên tục. Và bất cứ ai không dọn dẹp bàn làm việc của họ tốt hơn nên khóa văn phòng của họ để giữ bí mật. Ít nhất trước đây một trong những biện pháp đơn lẻ hiệu quả nhất để bảo vệ an toàn thông tin, vẫn thường được thực hiện bằng tay...
Bảo mật CNTT so với Bảo mật thông tin - Kết luận
Bảo mật CNTT và bảo mật thông tin là hai thuật ngữ không (chưa) có thể thay thế cho nhau. Thay vào đó, bảo mật CNTT là một thành phần của bảo mật thông tin, do đó cũng bao gồm các dữ kiện, quy trình và giao tiếp tương tự - mà tình cờ, vẫn còn phổ biến trong nhiều trường hợp ngày nay. Tuy nhiên, việc số hóa ngày càng tăng đang khiến các thuật ngữ này xích lại gần nhau hơn, do đó sự khác biệt về ý nghĩa có thể sẽ trở nên gần hơn trong dài hạn.
Những gì bạn có thể mong đợi từ chúng tôi
DQS là chuyên gia của bạn về đánh giá và chứng nhận - cho các hệ thống và quy trình quản lý . Với 35 năm kinh nghiệm và bí quyết của 2.500 đánh giá trên toàn thế giới, chúng tôi là đối tác chứng nhận có năng lực của bạn về tất cả các mặt cạnh của an ninh thông tin và dữ liệu bảo vệ.
Nếu bạn có bất kỳ câu hỏi nào
Vui lòng liên hệ với chúng tôi!
Chúng tôi không chỉ trao đổi về năng lực chuyên môn: Bạn có thể mong đợi từ chuyên môn thực tế từ tất cả các đánh giá viên DQS của chúng tôi.Chuyên môn được thu thập trong các tổ chức thuộc mọi quy mô và mọi ngành. Với sự đa dạng này, đảm bảo đánh giá viên trưởng DQS sẽ thấu hiểu với tình hình công ty và văn hóa quản lý cá nhân của bạn. Các đánh giá viên của chúng tôi biết các hệ thống quản lý từ kinh nghiệm của chính họ, tức là họ đã tự thiết lập, quản lý và phát triển thêm ISMS - và họ không ngừng trau dồi kinh nghiệm. Chúng tôi rất hân hạnh được trao đổi với bạn.
Bản tin DQS
André Saeckel
Giám đốc sản phẩm tại DQS về quản lý bảo mật thông tin. Là một chuyên gia tiêu chuẩn cho lĩnh vực bảo mật thông tin và danh mục bảo mật CNTT (cơ sở hạ tầng quan trọng), André Säckel chịu trách nhiệm về các tiêu chuẩn sau và tiêu chuẩn ngành cụ thể, trong số những tiêu chuẩn khác: ISO 27001, ISIS12, ISO 20000-1, KRITIS và TISAX ( an toàn thông tin trong ngành công nghiệp ô tô). Ông cũng là thành viên của nhóm công tác ISO / IEC JTC 1 / SC 27 / WG 1 với tư cách là đại biểu quốc gia của Viện Tiêu chuẩn hóa Đức DIN.