Các mục tiêu bảo vệ của an toàn thông tin là những điểm mấu chốt cơ bản để bảo vệ thông tin. Thông tin đại diện cho một giá trị kinh tế quan trọng đối với mọi công ty và không chỉ ngày nay. Đó là nền tảng tồn tại của họ và do đó là tiền đề thiết yếu để kinh doanh thành công. Do đó, hiển nhiên - hoặc ít nhất là mong muốn - rằng thông tin phải được bảo vệ. Tuy nhiên, giữa mong muốn và thực tế vẫn còn một khoảng cách rất xa.

Loading...

Các mục tiêu bảo vệ của an toàn thông tin là gì?

Do không đủ bảo mật trong xử lý thông tin, hàng năm gây ra thiệt hại hàng tỷ đô la. Nhưng làm thế nào để có thể đạt được sự bảo vệ đầy đủ đối với tài sản của tổ chức? Và cách tốt nhất để một công ty bắt đầu về chủ đề bảo mật thông tin là gì?

Hệ thống quản lý an ninh thông tin có cấu trúc tốt (ISMS) theo ISO / IEC 27001 cung cấp cơ sở tối ưu cho việc triển khai hiệu quả chiến lược bảo mật toàn diện. Tiêu chuẩn cung cấp một mô hình cho việc giới thiệu, thực hiện, giám sát và cải thiện mức độ bảo vệ. Để đạt được điều này, trước tiên các công ty và tổ chức cần giải quyết ba mục tiêu bảo vệ cơ bản của an ninh thông tin:

  • Bảo mật
  • Sự toàn vẹn
  • Khả dụng

Bảo mật thông tin

Mục tiêu là bảo vệ dữ liệu bí mật khỏi bị truy cập trái phép, cho dù vì lý do luật bảo vệ dữ liệu hay trên cơ sở bí mật thương mại được đề cập, ví dụ: theo Đạo l Bí mật Thương mại. Do đó, tính bảo mật của thông tin và dữ liệu nhạy cảm được đảm bảo nếu chỉ những người có quyền truy cập vào nó, những người có thẩm quyền (ủy quyền) làm như vậy. Access có nghĩa là, ví dụ, đọc, chỉnh sửa (thay đổi) hoặc thậm chí xóa.

Do đó, các biện pháp được thực hiện phải đảm bảo rằng chỉ những người được ủy quyền mới có quyền truy cập vào thông tin bí mật - những người không được ủy quyền trong mọi trường hợp. Điều này cũng áp dụng cho thông tin trên giấy, có thể không được bảo vệ trên bàn và mời đọc, hoặc truyền dữ liệu không thể truy cập được trong quá trình xử lý.

Hướng dẫn Đánh giá của chúng tôi ISO 27001 - Phụ lục A được tạo ra bởi các chuyên gia hàng đầu như một trợ giúp triển khai thực tế và lý tưởng để hiểu rõ hơn các yêu cầu tiêu chuẩn đã chọn. Hướng dẫn này dựa trên ISO / IEC 27001: 2017, với việc sửa đổi tiêu chuẩn ISO dự kiến vào cuối năm 2022.

 

Việc thực hiện và hiệu quả của các biện pháp mà một công ty áp dụng để đạt được các mục tiêu bảo vệ này là đặc điểm chính của mức độ an toàn thông tin của công ty đó.

Rất hữu ích cho người sử dụng (hoặc quan tâm đến) tiêu chuẩn an toàn thông tin được quốc tế công nhận ISO 27001 là Phụ lục A. Phụ lục này cung cấp các mục tiêu và các biện pháp tham khảo cho các tình huống quan trọng nhất liên quan đến an toàn thông tin.

Đối với những người được ủy quyền, cũng cần nêu rõ loại quyền truy cập mà họ nên có, những gì họ được phép hoặc bắt buộc phải làm và những gì họ không được phép làm. Nó phải được đảm bảo rằng họ không thể làm những gì họ không được phép làm. Các phương pháp và kỹ thuật được sử dụng trong quá trình này rất đa dạng và trong một số trường hợp là dành riêng cho từng công ty.

Ví dụ, nếu nó là "chỉ" về việc xem hoặc tiết lộ thông tin trái phép (cũng như trong quá trình truyền : lưu lượng e-mail!), Thì các biện pháp mật mã có thể được sử dụng để bảo vệ tính bí mật. Nếu mục tiêu là ngăn chặn việc sửa đổi trái phép thông tin, thì mục tiêu bảo vệ "tính toàn vẹn" sẽ phát huy tác dụng ..

ISO/IEC 27001:2022 - Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư - Hệ thống quản lý an ninh thông tin - Yêu cầu

Tiêu chuẩn ISO sửa đổi đã được xuất bản vào ngày 25.10.2022. ISO / IEC 27001: 2013 vẫn có hiệu lực trong thời gian chuyển tiếp là ba năm cho đến tháng 10 năm 2025.

Tiêu chuẩn có sẵn từ trang web của ISO.

Mục tiêu bảo vệ của an toàn thông tin: Tính toàn vẹn của thông tin

Tính toàn vẹn của thuật ngữ kỹ thuật được liên kết với một số yêu cầu cùng một lúc:

  • Những thay đổi không chủ ý đối với thông tin phải là không thể, hoặc ít nhất là có thể phát hiện và theo dõi được. Trong thực tế, sự phân cấp sau đây được áp dụng:
    - Tính toàn vẹn cao (mạnh) ngăn chặn những thay đổi không mong muốn.
    - Tính toàn vẹn thấp (yếu) có thể không ngăn cản các thay đổi, nhưng đảm bảo rằng các thay đổi (không chủ ý) có thể được phát hiện và nếu cần thiết sẽ được truy nguyên (xác định nguồn gốc).
  • Độ tin cậy của dữ liệu và hệ thống phải được đảm bảo.
  • Tính đầy đủ của thông tin phải được đảm bảo.

Do đó, các biện pháp nhằm tăng tính toàn vẹn của thông tin cũng nhắm đến vấn đề phân quyền truy cập cùng với việc bảo vệ chống lại các cuộc tấn công bên ngoài và bên trong.

"Trong khi các từ" tính bảo mật "và" tính khả dụng "dễ hiểu, gần như tự giải thích, xét về các mục tiêu bảo vệ của an toàn thông tin, thì thuật ngữ kỹ thuật" tính toàn vẹn "yêu cầu một số giải thích. Nghĩa là tính đúng đắn (của dữ liệu và hệ thống), tính đầy đủ hoặc khả năng xác định nguồn gốc (thay đổi). "

Mục tiêu bảo vệ của an toàn thông tin: Tính sẵn có của thông tin

Sự sẵn có của thông tin có nghĩa là thông tin này, bao gồm các hệ thống CNTT được yêu cầu, phải có thể truy cập được cho bất kỳ người được ủy quyền nào vào bất kỳ lúc nào và có thể sử dụng (chức năng) trong phạm vi được yêu cầu. Nếu một hệ thống bị lỗi hoặc một tòa nhà không thể truy cập được, thông tin cần thiết sẽ không có sẵn. Trong một số trường hợp nhất định, điều này có thể dẫn đến sự gián đoạn với những hậu quả sâu rộng, ví dụ như trong việc duy trì các quy trình.

Do đó, thực hiện phân tích rủi ro nhằm xác định khả năng xảy ra lỗi hệ thống, thời gian có thể xảy ra và bất kỳ thiệt hại nào do thiếu an toàn CNTT gây ra là rất hợp lý. Các biện pháp đối phó hiệu quả có thể được rút ra từ kết quả và thực hiện nếu điều tồi tệ nhất đến.

Các mục tiêu bảo vệ "mở rộng" là gì?

Ngoài các mục tiêu bảo mật về tính bảo mật, tính toàn vẹn và tính sẵn sàng, có ba mục tiêu bảo mật bổ sung. Chúng bao gồm hai khía cạnh "cam kết" và "trách nhiệm giải trình", chúng bổ sung cho nhau. Điều đầu tiên có nghĩa là đảm bảo rằng một ai đó không thể từ chối hành động của họ, thứ sau rằng hành động này có thể được quy cho họ một cách đáng tin cậy. Cả hai đều tập trung vào khả năng nhận dạng duy nhất của các tác nhân và việc cấp mật khẩu duy nhất là yêu cầu tối thiểu cho việc này.

Mục tiêu bảo vệ mở rộng thứ ba là "tính xác thực", tức là tính xác thực. Một câu hỏi đơn giản trong ngữ cảnh này là: Thông tin có chính thống  không - nó có thực sự đến từ nguồn được chỉ định không? Mục tiêu bảo vệ này rất quan trọng để đánh giá mức độ đáng tin cậy của nguồn.

Man and a woman with a laptop in a server room
Loading...

Thông tin có giá trị là vàng ngày nay - và cũng là tài sản cần được bảo vệ cho công ty của bạn. Đọc câu trả lời cho những câu hỏi quan trọng nhất về ISO 27001 tại đây.

Mục tiêu bảo vệ an toàn thông tin: Kết luận

Ba mục tiêu bảo vệ quan trọng nhất của an toàn thông tin là “tính bảo mật”, “tính toàn vẹn” và “tính sẵn sàng”.

Bảo mật: Để có thể đảm bảo điều đó, bạn phải xác định rõ ai được phép truy cập vào dữ liệu nhạy cảm này và theo cách nào. Ví dụ, điều này được liên kết với các ủy quyền truy cập thích hợp và việc sử dụng các kỹ thuật mật mã.

Sự toàn vẹn có nghĩa là bảo vệ chống lại những thay đổi và xóa thông tin trái phép, cộng với độ tin cậy và đầy đủ của thông tin. Do đó, điều quan trọng là công ty của bạn phải thực hiện các biện pháp phòng ngừa để nhanh chóng phát hiện các thay đổi đối với dữ liệu hoặc ngăn chặn thao tác trái phép ngay từ đầu.

Khả dụng  có nghĩa là thông tin, hệ thống và tòa nhà phải luôn sẵn sàng cho những người có thẩm quyền. Vì các lỗi hệ thống, ví dụ, có liên quan đến các rủi ro lớn, nên phân tích rủi ro cần được thực hiện cho phức hợp các chủ đề này. Ghi lại ở đây xác suất hỏng hóc, thời gian ngừng hoạt động và khả năng hư hỏng của các hệ thống cần thiết nhất.

Cam kết, trách nhiệm giải trình và tính xác thực là các mục tiêu bảo vệ "mở rộng".

Cam kết được hiểu là để đảm bảo rằng một tác nhân không thể phủ nhận hành động của họ. Trách nhiệm giải trình bổ sung cho mục tiêu bảo vệ mở rộng này bằng cách xác định rõ ràng một tác nhân như vậy. Tính xác thực đặt ra câu hỏi: Một phần thông tin là chính hay đáng tin cậy?

DQS - Những gì bạn có thể mong đợi từ chúng tôi

Bảo mật thông tin là một chủ đề phức tạp vượt xa bảo mật CNTT. Nó bao gồm các khía cạnh kỹ thuật, tổ chức và cơ sở hạ tầng. Tiêu chuẩn quốc tế ISO / IEC 27001 phù hợp với các biện pháp bảo vệ hiệu quả dưới dạng hệ thống quản lý an ninh thông tin (ISMS).

DQS là chuyên gia của bạn để đánh giá và chứng nhận các hệ thống và quy trình quản lý. Với 35 năm kinh nghiệm và bí quyết của 2.500 đánh giá viên trên toàn thế giới, chúng tôi là đối tác chứng nhận có năng lực của bạn và cung cấp câu trả lời cho tất cả các câu hỏi liên quan đến ISO 27001 và hệ thống quản lý an ninh thông tin.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Chúng tôi rất vui khi được trả lời những câu hỏi của bạn

Bạn phải nỗ lực bao nhiêu để hệ thống quản lý an toàn thông tin của mình được chứng nhận theo tiêu chuẩn ISO 27001? 

Tin tưởng và chuyên môn

Các văn bản và tài liệu của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn hoặc đánh giá viên có nhiều năm kinh nghiệm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc các dịch vụ của chúng tôi đối với tác giả của chúng tôi, vui lòng gửi e-mail cho chúng tôi.

Tác giả
André Saeckel

Giám đốc sản phẩm tại DQS về quản lý bảo mật thông tin. Là một chuyên gia tiêu chuẩn cho lĩnh vực bảo mật thông tin và danh mục bảo mật CNTT (cơ sở hạ tầng quan trọng), André Säckel chịu trách nhiệm về các tiêu chuẩn sau và tiêu chuẩn ngành cụ thể, trong số những tiêu chuẩn khác: ISO 27001, ISIS12, ISO 20000-1, KRITIS và TISAX ( an toàn thông tin trong ngành công nghiệp ô tô). Ông cũng là thành viên của nhóm công tác ISO / IEC JTC 1 / SC 27 / WG 1 với tư cách là đại biểu quốc gia của Viện Tiêu chuẩn hóa Đức DIN.

Loading...