Mục lục
7.4 Trao đổi thông tin
Tổ chức phải xác định nhu cầu trao đổi thông tin nội bộ và bên ngoài liên quan đến hệ thống quản lý an toàn thông tin bao gồm:
“dịch từ tiêu chuẩn ISO/IEC 27001:2022”
a) về nội dung giao tiếp;
b) khi nào thì giao tiếp;
c) giao tiếp với ai;
d) cách giao tiếp.
Khía cạnh truyền thông của hệ thống quản lý an ninh thông tin (ISMS) yêu cầu tổ chức xác định nhu cầu truyền thông nội bộ và bên ngoài liên quan đến ISMS. Đây là một ví dụ về kế hoạch truyền thông ISMS hàng năm:
Truyền thông nội bộ:
Email nhận thức bảo mật hàng tháng cho tất cả nhân viên, nêu bật các mối đe dọa hiện tại và các phương pháp hay nhất để giảm thiểu chúng
Các cuộc họp của bộ phận hàng quý để thảo luận về các cập nhật đối với các chính sách và thủ tục cũng như để củng cố tầm quan trọng của bảo mật thông tin
Đào tạo hai năm một lần trên toàn công ty về kỹ thuật xã hội và các cuộc tấn công lừa đảo
Liên lạc đột xuất trong trường hợp xảy ra sự cố bảo mật nghiêm trọng
Truyền thông bên ngoài:
Thông báo bảo mật hàng năm cho khách hàng giải thích cách dữ liệu của họ được thu thập, sử dụng và bảo vệ
Cập nhật thường xuyên lên trang web của công ty thông tin về các sự cố bảo mật, vi phạm và các nỗ lực khắc phục
Liên lạc đột xuất với khách hàng và đối tác trong trường hợp xảy ra sự cố hoặc vi phạm bảo mật ảnh hưởng đến dữ liệu của họ
Tần suất và hình thức truyền thông sẽ phụ thuộc vào quy mô, ngành và các yếu tố khác của tổ chức. Điều quan trọng là ghi lại kế hoạch truyền thông và đảm bảo rằng nó được tuân thủ một cách nhất quán.
Ví dụ mẫu quy trình 7.4 Trao đổi thông tin theo iso 27001:2022
Đây là mẫu cho Quy trình truyền thông bảo mật thông tin:
Xác định nhu cầu giao tiếp:
Xác định thông tin cần truyền đạt.
Xác định đối tượng mục tiêu.
Xác định tần suất giao tiếp.
Phát triển thông điệp:
Chuẩn bị một thông điệp rõ ràng và súc tích, đáp ứng nhu cầu giao tiếp đã xác định.
Đảm bảo thông điệp phù hợp với đối tượng mục tiêu.
Đảm bảo thông điệp nhất quán với chính sách và mục tiêu bảo mật thông tin của tổ chức.
Chọn kênh truyền thông:
Xác định các kênh truyền thông hiệu quả nhất cho đối tượng mục tiêu.
Xem xét các yếu tố như khả năng tiếp cận, tính kịp thời và bản chất của thông tin được truyền đạt.
Truyền tải thông điệp:
Lên lịch và phân phối thông tin liên lạc bằng cách sử dụng các kênh đã chọn.
Đảm bảo thông điệp được tiếp nhận bởi đối tượng mục tiêu.
Tạo cơ hội cho phản hồi hoặc câu hỏi.
Theo dõi và đánh giá:
Theo dõi hiệu quả của quá trình truyền thông.
Đánh giá tác động của truyền thông đối với nhận thức và hành vi về an toàn thông tin.
Thực hiện các điều chỉnh cho quá trình giao tiếp khi cần thiết.
Ví dụ về một số đe dọa về an ninh thông tin trong trao đổi thông tin trong tổ chức
Có một số mối đe dọa an ninh thông tin có thể ảnh hưởng đến việc giao tiếp trong một tổ chức hoặc với bên ngoài. Một số ví dụ bao gồm:
Tấn công lừa đảo (phishing): Các cuộc tấn công này liên quan đến việc gửi email hay tin nhắn giả mạo với hình thức như từ một nguồn đáng tin cậy, nhằm mục đích lấy cắp thông tin nhạy cảm như thông tin đăng nhập hoặc dữ liệu tài chính.
Tấn công man-in-the-middle: Loại tấn công này liên quan đến việc chặn lại giao tiếp giữa hai bên, cho phép kẻ tấn công nghe lén hoặc thay đổi nội dung giao tiếp.
Nghe trộm: Là hành động nghe trộm và theo dõi giao tiếp giữa hai bên mà không có sự đồng ý của họ.
Tấn công từ chối dịch vụ: Những cuộc tấn công này liên quan đến việc tràn ngập một mạng hoặc máy chủ bằng lưu lượng truy cập, làm cho nó không thể sử dụng được cho người dùng hợp lệ.
Phần mềm độc hại: Phần mềm độc hại có thể được sử dụng để lây nhiễm vào các kênh giao tiếp và đánh cắp dữ liệu, làm gián đoạn giao tiếp hoặc truy cập trái phép vào hệ thống.
Mối đe dọa nội bộ: Đây là những mối đe dọa do nhân viên hoặc nhà thầu có quyền truy cập vào thông tin nhạy cảm và có thể tiết lộ hoặc rò rỉ thông tin theo ý chí hoặc vô ý.
Quan trọng là các tổ chức phải có các biện pháp để giảm thiểu các mối đe dọa này, chẳng hạn như triển khai các giao thức giao tiếp an toàn, đào tạo nhân viên về cách nhận biết và phản ứng với các mối đe dọa, và thường xuyên theo dõi và kiểm tra các kênh giao tiếp.
Các biên pháp để ngăn chặn các đe dọa an ninh thông tin trong trao đổi thông tin trong tổ chức
Để ngăn chặn các mối đe dọa về an ninh thông tin trong việc giao tiếp, các tổ chức có thể thực hiện một số biện pháp, bao gồm:
- Triển khai các giao thức giao tiếp an toàn: Điều này bao gồm sử dụng các kênh truyền thông được mã hóa, chẳng hạn như HTTPS hoặc VPN, để đảm bảo rằng thông tin nhạy cảm được bảo vệ trong quá trình truyền tải.
- Đào tạo nhân viên: Nhân viên nên được đào tạo về cách nhận ra và đáp ứng với các mối đe dọa, chẳng hạn như email lừa đảo hoặc các tin nhắn đáng ngờ, và nên được cung cấp các hướng dẫn về cách giao tiếp một cách an toàn.
- Triển khai kiểm soát truy cập: Kiểm soát truy cập có thể được sử dụng để giới hạn truy cập vào thông tin nhạy cảm và các kênh giao tiếp chỉ cho các cá nhân được ủy quyền, giảm thiểu nguy cơ về mối đe dọa bên trong và truy cập trái phép.
- Sử dụng phần mềm chống malware: Phần mềm chống malware có thể giúp phát hiện và ngăn chặn malware khỏi lây nhiễm các kênh giao tiếp và làm mất thông tin quan trọng.
- Định kỳ theo dõi và kiểm tra các kênh giao tiếp: Việc định kỳ theo dõi và kiểm tra các kênh giao tiếp có thể giúp phát hiện và phản ứng kịp thời với các mối đe dọa, giảm thiểu tác động tiềm năng của một vụ vi phạm bảo mật.
- Triển khai chính sách giao tiếp an toàn: Các tổ chức nên có một chính sách rõ ràng về giao tiếp an toàn, đề xuất các quy tắc sử dụng chấp nhận được của các kênh giao tiếp và hậu quả của việc vi phạm chính sách.