Mục lục
Tổng quát về hướng dẫn thực hiện xử lý phương tiện truyền thông theo phụ lục A.8.3 ISO/IEC 27001:2013
Phụ lục A.8.3 về xử lý phương tiện truyền thông có 3 biện pháp kiểm soát
Nội dung của phụ lục đề cập đến việc kiểm soát xử lý phương tiện, đảm bảo rằng dữ liệu nhạy cảm không bị tiết lộ, sửa đổi, loại bỏ hoặc phá hủy trái phép.
Vậy làm thế nào để thực hiện xử lý phương tiện truyền thông theo phụ lục A.8.3 ISO/IEC 27001:2013? Chúng ta cùng SIS CERT tìm hiểu thông qua bài viết ngày hôm nay nhé.
Làm thế nào để thực hiện xử lý phương tiện truyền thông theo phụ lục A.8.3 ISO/IEC 27001:2013
1. Tại sao phải thực hiện xử lý phương tiện truyền thông theo phụ lục A.8.3 ISO/IEC 27001:2013
Một tổ chức phải biết được tài nguyên, môi trường hoặc thông tin mà tổ chức đó nắm giữ, và có thể quản lý, bảo vệ chúng một cách hợp lý. Khi thông tin đó không còn giá trị nhưng cũng không thể để cho một bên khác biết thì chúng ta cần đảm bảo xử lý chúng để không bị tiết lộ hoặc phá hủy trái phép.
2. Các nội dung chính cần phải có trong xử lý phương tiện truyền thông theo phụ lục A.8.3 ISO/IEC 27001:2013
Phụ lục A.8.3 về xử lý phương tiện truyền thông có 3 biện pháp kiểm soát gồm:
A.8.3.1 Quản lý phương tiện di động
Các thủ tục phải được đưa ra để quản lý phương tiện di động phù hợp với sơ đồ phân loại. Việc sử dụng chung các phương tiện di động phải được đánh giá rủi ro và có thể cần thực hiện các đánh giá rủi ro theo mục đích sử dụng cụ thể hơn thế nữa. Phương tiện có thể tháo rời chỉ được phép nếu có lý do kinh doanh chính đáng. Nếu không còn cần thiết, nội dung của bất kỳ phương tiện có thể tái sử dụng nào sẽ không được khôi phục và hủy hoặc xóa một cách an toàn. Tất cả phương tiện phải được lưu trữ trong một môi trường an toàn, bảo mật, phù hợp với thông số kỹ thuật của nhà sản xuất và các kỹ thuật bổ sung như mật mã được xem xét khi thích hợp (tức là như một phần của đánh giá rủi ro). Khi cần thiết và thực tế, cần phải có sự cho phép đối với phương tiện được loại bỏ khỏi tổ chức và lưu hồ sơ để duy trì lộ trình đánh giá.
A.8.3.2 Vứt bỏ phương tiện
Khi không còn cần thiết, phương tiện truyền thông phải được xử lý an toàn bằng cách tuân theo các quy trình đã được lập thành văn bản. Các thủ tục này giảm thiểu nguy cơ rò rỉ thông tin bí mật cho các bên không được phép. Các thủ tục phải tỷ lệ thuận với độ nhạy của thông tin được xử lý. Những điều cần được xem xét bao gồm; phương tiện truyền thông có chứa thông tin bí mật hay không; và có các quy trình giúp xác định các hạng mục có thể. yêu cầu xử lý an toàn.
A.8.3.3 Truyền phương tiện vật lý
Bất kỳ phương tiện nào chứa thông tin cần được bảo vệ chống lại sự truy cập trái phép, lạm dụng hoặc tham nhũng trong quá trình vận chuyển (trừ khi đã được công bố rộng rãi). Những điều sau đây cần được xem xét để bảo vệ phương tiện khi vận chuyển; Nên sử dụng phương tiện vận tải hoặc giao thông viên đáng tin cậy – có lẽ nên thống nhất danh sách các giao thông viên được ủy quyền với ban giám đốc; Bao bì phải đủ để bảo vệ hàng hóa khỏi bất kỳ thiệt hại vật chất nào trong quá trình vận chuyển; và Nhật ký phải được lưu giữ, xác định nội dung của phương tiện và biện pháp bảo vệ được áp dụng. Cũng cần lưu ý rằng khi thông tin bí mật trên phương tiện không được mã hóa, cần xem xét thêm biện pháp bảo vệ vật lý cho phương tiện đó.
3. Làm thế nào để soạn thảo quy trình xử lý phương tiện truyền thông
A.8.3.1 Quản lý phương tiện di động
Kiểm soát
– Các thủ tục phải được thực hiện để quản lý phương tiện di động phù hợp với sơ đồ phân loại được tổ chức thông qua.
Hướng dẫn Thực hiện
– Các hướng dẫn sau đây cần được xem xét để quản lý phương tiện di động:
- Nếu không cần thiết, nội dung của bất kỳ phương tiện tái sử dụng nào sẽ được loại bỏ khỏi tổ chức phải không được phục hồi;
- Nếu có thể áp dụng và có thể thực hiện được, cần cho phép việc loại bỏ các phương tiện truyền thông khỏi công ty và hồ sơ về việc loại bỏ này phải được duy trì để duy trì dấu vết đánh giá;
- Tuân thủ các tiêu chuẩn của nhà sản xuất, tất cả các phương tiện phải được giữ trong một môi trường an toàn và bảo mật;
- Khi tính bảo mật hoặc tính toàn vẹn của dữ liệu là quan trọng, phải sử dụng các kỹ thuật mật mã để bảo mật dữ liệu trên phương tiện di động;
- Để giảm thiểu khả năng mất phương tiện khi dữ liệu lưu trữ vẫn còn cần thiết, dữ liệu nên được chuyển sang phương tiện mới trước khi không thể đọc được;
- Nhiều bản sao của dữ liệu quan trọng nên được lưu trữ trong các phương tiện khác nhau để giảm hơn nữa khả năng làm hỏng hoặc mất dữ liệu ngẫu nhiên;
- Đăng ký phương tiện di động cần được tính đến để hạn chế khả năng mất dữ liệu;
- Chỉ nên cho phép các ổ đĩa phương tiện di động nếu có mục đích kinh doanh;
- Khi có yêu cầu về việc sử dụng phương tiện dùng một lần, việc di chuyển dữ liệu đến phương tiện đó sẽ được giám sát.
- Khi có nhu cầu sử dụng phương tiện dùng một lần, quá trình chuyển đổi dữ liệu sang các thiết bị đó sẽ được giám sát. Các thủ tục và mức độ phê duyệt sẽ được báo cáo.
A.8.3.2 Vứt bỏ phương tiện
Kiểm soát
– Khi không được yêu cầu bởi các giao thức cụ thể, phương tiện phải được xử lý một cách an toàn.
Hướng dẫn Thực hiện
– Cần thiết lập các quy trình chính thức để xử lý an toàn các phương tiện truyền thông để giảm khả năng rò rỉ thông tin nhạy cảm cho những người không được phép. Các cách thức để xử lý an toàn các phương tiện thông tin nhạy cảm phải tương xứng với độ nhạy của tài liệu đó.
Cần lưu ý những điều sau:
- Phương tiện bí mật cần được xử lý và thải bỏ một cách an toàn, ví dụ như bằng cách đốt hoặc cắt nhỏ, hoặc xóa dữ liệu để ứng dụng khác trong tổ chức sử dụng.
- Cần có các thủ tục để xác định các vật phẩm có thể cần loại bỏ an toàn
- Thay vì cố gắng cô lập các đối tượng quan trọng, có thể tốt hơn là lập kế hoạch thu thập và vứt bỏ tất cả các vật phẩm phương tiện một cách an toàn;
- Nhiều tổ chức cung cấp dịch vụ thu thập và xử lý phương tiện; phải thận trọng để lựa chọn một bên bên ngoài phù hợp với đầy đủ các biện pháp kiểm soát và kinh nghiệm;
- Để duy trì dấu vết kiểm tra, việc xử lý các mục bí mật sẽ được ghi lại.
- Hiệu ứng tổng hợp cần được tính đến khi thu thập phương tiện để xử lý và một số lượng lớn thông tin nhạy cảm có thể trở nên dễ bị tổn thương.
Thông tin khác
– Các thiết bị bị hỏng có chứa dữ liệu nhạy cảm có thể yêu cầu đánh giá rủi ro để đánh giá tổn thất vật lý của các đối tượng thay vì được gửi đến chúng để sửa chữa hoặc xả.
A.8.3.3 Truyền phương tiện vật lý
Kiểm soát
– Phương tiện thông tin cần được bảo vệ khỏi bị truy cập trái phép, sử dụng sai mục đích hoặc tham nhũng trong quá trình vận chuyển.
Hướng dẫn Thực hiện
– Để đảm bảo an toàn cho các phương tiện chứa thông tin được vận chuyển, các hướng dẫn sau đây cần được xem xét:
- Vận tải đáng tin cậy hoặc sử dụng các giao thông viên;
- Ban quản lý nên thống nhất danh sách các giao thông viên được ủy quyền;
- các thủ tục cần được thiết lập để xác minh nhận dạng chuyển phát nhanh;
- Bao bì có lẽ phải đủ để bảo vệ nội dung khỏi bất kỳ thiệt hại vật lý nào có thể xảy ra trong quá trình vận chuyển và bảo vệ nội dung khỏi các yếu tố môi trường như tiếp xúc với nhiệt, độ ẩm hoặc trường điện từ có thể làm giảm hiệu quả thu hồi phương tiện.
- Các nhật ký cần được lưu giữ, nội dung của phương tiện truyền thông phải được thiết lập, áp dụng bảo mật và thời gian chuyển giao cho người trông coi và tiếp nhận phải được báo cáo tại điểm đến.
Thông tin khác
– Thông tin có thể dễ bị truy cập trái phép, sử dụng sai mục đích hoặc bị hỏng trong quá trình vận chuyển vật lý, ví dụ như khi gửi phương tiện qua đường bưu điện hoặc chuyển phát nhanh. Phương tiện bao gồm các tài liệu giấy trong điều khiển này. Khi thông tin bí mật trên phương tiện không được mã hóa, cần xem xét thêm biện pháp bảo vệ vật lý cho phương tiện đó.
4. Trách nhiệm soạn thảo, phê duyệt quy trình xử lý phương tiện truyền thông
Trách nhiệm soạn thảo quy trình xử lý phương tiện truyền thông sẽ do thư ký ISO soạn thảo. Trưởng ban ISO sẽ xem xét, rà lại. Lãnh đạo cao nhất sẽ phê duyệt, ký đóng dấu và ban hành nội bộ.
5. Mẫu xử lý phương tiện truyền thông an ninh thông tin tham khảo
Mẫu xử lý phương tiện truyền thông an ninh thông tin (tham khảo)
Tóm lược và khẳng định yêu cầu của việc hướng dẫn thực hiện xử lý phương tiện truyền thông theo phụ lục A.8.3 ISO/IEC 27001:2013
Các thủ tục để thực hiện xử lý phương tiên truyền thông theo phụ lục A.8.3 là rất quan trọng. Cần trao quyền giải quyết và thực hiện phân loại dữ liệu và đánh giá rủi ro để đảm bảo rằng các biện pháp kiểm tra được áp dụng để bảo vệ dữ liệu. Cần có những hành động để bảo vệ thông tin khỏi bị tiết lộ hoặc sử dụng trái phép. Hệ thống cũng dễ dàng bị tấn công bởi việc sử dụng trái phép tài liệu; nhiều loại thông tin này nên được xem xét và xử lý có quy trình rõ ràng.
ĐẠI DIỆN VIỆT NAM: CÔNG TY TNHH SIS CERT
Trụ sở: Tầng 14, tòa nhà HM TOWN, 412 Nguyễn Thị Minh Khai, phường 5, quận 3, Tp Hồ Chí Minh
Văn phòng làm việc: B3-49 chung cư cao tầng SKY 9, 61-63 đường số 1, khu phố 2, phường Phú Hữu, thành phố Thủ Đức, thành phố Hồ Chí Minh
Hotline: 0918 991 146
Liên hệ nhân viên kinh doanh:
Mr. Nhất Duy: 0932 321 236
Ms. Quỳnh Như: 0827 796 518
Ms. Thu Thúy: 0774 416 158
Email: info@isosig.com; Website: www.isosig.com
Chúng tôi có chuyên gia đào tạo và chứng nhận với hơn 15 năm kinh nghiệm. Chuyên gia của chúng tôi đều được đào tạo và có chứng chỉ đánh giá viên trưởng được công nhận quốc tế Examplar (Mỹ) hoặc IRCA (Anh). Chúng tôi thực hiện trọn gói đào tạo và chứng nhận với chi phí cạnh tranh nhất
Chúng tôi cung cấp nhiều dịch vụ chứng nhận ISO, CE, FDA, hỗ trợ thông tin pháp lý về tiêu chuẩn chất lượng ở các thị trường Châu Âu, Mỹ, Úc, Ả rập, UAE, Canada…