ISO 27001 chính sách phát triển hệ thống thông tin an toàn

ISO 27001 chính sách phát triển hệ thống thông tin an toàn

ISO 27001 chính sách phát triển hệ thống thông tin an toàn

Để giúp các công ty có thể hình dung về hệ thống quản lý an ninh thông tin, chúng tôi sẽ tạo một số bài viết về các chính sách an ninh thông tin phù hợp cho chứng nhận ISO 27001. Các tài liệu chúng tôi đưa ra mang tính chất tham khảo, không phải là mẫu chuẩn.

Chính sách là tài liệu thể hiện cam kết của lãnh đạo và là định hướng mà tất cả các hoạt động trong phạm vi áp dụng sẽ hướng theo chính sách này.

CHÍNH SÁCH PHÁT TRIỂN HỆ THỐNG THÔNG TIN AN TOÀN

 

Mã số:  CS09

Lần ban hành: 01

  1. Mục đích:

Xem xét tính an toàn an ninh ở tất cả các giai đoạn của vòng đời của một hệ thống thông tin (ví dụ, tính khả thi, lập kế hoạch, phát triển, triển khai, bảo trì, và kết thúc) để:

– Đảm bảo sự phù hợp với tất cả các yêu cầu về an ninh thông tin;

– Bảo vệ thông tin nhạy cảm trong suốt vòng đời của hệ thống;

– Tạo thuận lợi cho việc thực hiện kiểm soát an ninhhiệu quả;

– Ngăn chặn sự phát sinh những rủi ro mới khi hệ thống được sửa đổi;

– Đảm bảo loại bỏ đúng dữ liệu cuối vòng đời của hệ thống.

  1. Phạm vi áp dụng

Áp dụng đối với các hệ thống thông tin của Trung tâm tích hợp dữ liệu.

  1. Định nghĩa:

Hệ thống thông tin: một tập hợp các phần cứng, phần mềm, hệ mạng truyền thông được xây dựng và sử dụng để thu thập, thiết lập, phân phối và chia sẻ dữ liệu thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức.

  1. Nội dung:

4.1 Giai đoạn tài liệu và hoạch định hệ thống:

– Phải bảo vệ các kế hoạch, tài liệu hoạch định, xây dựng và phát triển hệ thống thông tin ngăn ngừa việc mất mát, lạm dụng, truy cập trái phép hoặc sửa đổi.

– Xem xét các yêu cầu an ninh của hệ thống thông tin trong các giai đoạn hoạch định,xây dựng và phát triển.

– Khi hệ thống thông tin được sửa đổi có ảnh hưởng đến an ninh thông tin thì tài liệu phải được cập nhật cho phù hợp.

4.2 Phát triển riêng biệt, thử nghiệm, môi trường phát triển: phát triển hệ thống, thử nghiệm, sản xuất phải được thực hiện trong môi trường riêng biệt.

4.3 Dữ liệu kiểm tra:

– Việc kiểm tra các hệ thống thông tin được thực hiện bằng dữ liệu tự tạo (để mô phỏng các đặc tính của dữ liệu thực sự) hoặc thực hiện trên các bản sao của dữ liệu thực tế.

– Việc thử nghiệm không nên thực hiện trên dữ liệu trực tiếp do các mối đe dọa bảo mật và tính toàn vẹn của dữ liệu.Khi cần thiết sẽ thực hiện kiểm tra trực tiếp trên dữ liệu gốc phải có cơ chế kiểm soát an ninh phù hợp.

4.4 Quản lý các điểm yếu:

– Đánh giá các điểm yếu,các biện pháp kiểm soát an ninh của hệ thống thông tin để tìm cách xác định những điểm yếu có thể bị tấn công trước khi đưa vào sử dụng.

– Định kỳ đánh giá các điểm yếu, các biện pháp kiểm soát an ninh của hệ thống thông tin để giải quyết các rủi ro liên quan đến các điểm yếu đã được xác định.

– Theo dõi và đánh giá các thông báo điểm yếu từ các nhà cung cấp, các nguồn được tin cậy khác cho tất cả các hệ thống thông tin và các ứng dụng liên quan.

4.5 Mua lại từ nhà cung cấp:

Nếu một hệ thống thông tin hoặc các thành phần của hệ thống thông tin được mua lại từ một nhà cung cấp bên ngoài thì tài liệu hướng dẫn phải được cung cấp để xác định các sản phẩm đáp ứng yêu cầu an ninh của chính sách này và yêu cầu bảo mật của hệ thống thông tin.

Thực hiện kiểm soát, thử nghiệm an ninh của hệ thống thông tin được mua lại từ các nhà cung cấp hoặc thuê bên thứ ba thực hiện nếu cần thiết.

chứng nhận iso 27001

Liên lạc với chúng tôi để chúng tôi hỗ trợ bạn trong việc triển khai ISO 27001 và chứng nhận bởi TNV-SIGMA CERT.