ISO 27001 chính sách phát triển hệ thống an toàn

ISO 27001 chính sách phát triển hệ thống thông tin an toàn

Để giúp các công ty có thể hình dung về hệ thống quản lý an ninh thông tin, chúng tôi sẽ tạo một số bài viết về các chính sách an ninh thông tin phù hợp cho chứng nhận ISO 27001. Các tài liệu chúng tôi đưa ra mang tính chất tham khảo, không phải là mẫu chuẩn.

Chính sách là tài liệu thể hiện cam kết của lãnh đạo và là định hướng mà tất cả các hoạt động trong phạm vi áp dụng sẽ hướng theo chính sách này.

CHÍNH SÁCH PHÁT TRIỂN HỆ THỐNG THÔNG TIN AN TOÀN

Mã số: CS09

Lần ban hành: 01

Mục đích:

Xem xét tính an toàn an ninh ở tất cả các giai đoạn của vòng đời của một hệ thống thông tin (ví dụ, tính khả thi, lập kế hoạch, phát triển, triển khai, bảo trì, và kết thúc) để:

– Đảm bảo sự phù hợp với tất cả các yêu cầu về an ninh thông tin;

– Bảo vệ thông tin nhạy cảm trong suốt vòng đời của hệ thống;

– Tạo thuận lợi cho việc thực hiện kiểm soát an ninhhiệu quả;

– Ngăn chặn sự phát sinh những rủi ro mới khi hệ thống được sửa đổi;

– Đảm bảo loại bỏ đúng dữ liệu cuối vòng đời của hệ thống.

Phạm vi áp dụng

Áp dụng đối với các hệ thống thông tin của Trung tâm tích hợp dữ liệu.

Định nghĩa:

Hệ thống thông tin: một tập hợp các phần cứng, phần mềm, hệ mạng truyền thông được xây dựng và sử dụng để thu thập, thiết lập, phân phối và chia sẻ dữ liệu thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.

Nội dung:

4.1 Giai đoạn tài liệu và hoạch định hệ thống:

– Phải bảo vệ các kế hoạch, tài liệu hoạch định, xây dựng và phát triển hệ thống thông tin ngăn ngừa việc mất mát, lạm dụng, truy cập trái phép hoặc sửa đổi.

– Xem xét các yêu cầu an ninh của hệ thống thông tin trong các giai đoạn hoạch định,xây dựng và phát triển.

– Khi hệ thống thông tin được sửa đổi có ảnh hưởng đến an ninh thông tin thì tài liệu phải được cập nhật cho phù hợp.

4.2 Phát triển riêng biệt, thử nghiệm, môi trường phát triển: phát triển hệ thống, thử nghiệm, sản xuất phải được thực hiện trong môi trường riêng biệt.

4.3 Dữ liệu kiểm tra:

– Việc kiểm tra các hệ thống thông tin được thực hiện bằng dữ liệu tự tạo (để mô phỏng các đặc tính của dữ liệu thực sự) hoặc thực hiện trên các bản sao của dữ liệu thực tế.

– Việc thử nghiệm không nên thực hiện trên dữ liệu trực tiếp do các mối đe dọa bảo mật và tính toàn vẹn của dữ liệu.Khi cần thiết sẽ thực hiện kiểm tra trực tiếp trên dữ liệu gốc phải có cơ chế kiểm soát an ninh phù hợp.

4.4 Quản lý các điểm yếu:

– Đánh giá các điểm yếu,các biện pháp kiểm soát an ninh của hệ thống thông tin để tìm cách xác định những điểm yếu có thể bị tấn công trước khi đưa vào sử dụng.

– Định kỳ đánh giá các điểm yếu, các biện pháp kiểm soát an ninh của hệ thống thông tin để giải quyết các rủi ro liên quan đến các điểm yếu đã được xác định.

– Theo dõi và đánh giá các thông báo điểm yếu từ các nhà cung cấp, các nguồn được tin cậy khác cho tất cả các hệ thống thông tin và các ứng dụng liên quan.

4.5 Mua lại từ nhà cung cấp:

Nếu một hệ thống thông tin hoặc các thành phần của hệ thống thông tin được mua lại từ một nhà cung cấp bên ngoài thì tài liệu hướng dẫn phải được cung cấp để xác định các sản phẩm đáp ứng yêu cầu an ninh của chính sách này và yêu cầu bảo mật của hệ thống thông tin.

Thực hiện kiểm soát, thử nghiệm an ninh của hệ thống thông tin được mua lại từ các nhà cung cấp hoặc thuê bên thứ ba thực hiện nếu cần thiết.