An toàn thông tin là gì?
I. Khái quát về an toàn thông tin
1.1. Thông tin được lưu trữ ở đâu:
Thông tin được lưu trữ dưới nhiều dạng, trong đó có 3 dạng phổ biến:
- Dữ liệu điện tử: các tệp dữ liệu được lưu trên các phương tiện thông tin điện tử
- Văn bản giấy: thông tin được in, được viết ra
- Bộ não con người: kiến thức của người lao động
1.2. Có cần thiết phải bảo vệ thông tin
Mọi thông tin là có giá trị đối với tổ chức, do đó chúng cần được bảo vệ đầy đủ và phù hợp. Bên cạnh đó các thông tin luôn phải đối mặt với các nguy hiểm từ những mối đe dọa và các lỗ hổng bảo mật như: hackers, viruses, trộm, sự cố máy tính, gián điệp,...
II. An toàn thông tin
An toàn thông tin là bảo vệ thông tin và hệ thống thông tin nói chung khỏi các truy cập trái phép, sử dụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không được phép…
An toàn thông tin là quá trình bảo tồn toàn vẹn 3 thuộc tính của thông tin: tính bảo mật (confidentiality); tính toàn vẹn (intergrity); tính sẵn có (availability) - CIA
Trong đó:
- Tính bảo mật (confidentiality): Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính) được cấp phép. Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thông tin từ xa qua môi trường mạng
- Tính toàn vẹn (intergrity): Trong an toàn thông tin, tính toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa mà không bị phát hiện, thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được cho phép và phải đảm bảo có lưu vết thông tin chỉnh sửa và người đã chỉnh sửa
- Tính sẵn có (availability): là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn, thông tin phải luôn luôn sẵn sàng khi cần thiết.
An toàn thông tin trong tổ chức là việc nhận định các rủi ro thông tin và kiểm soát các rủi ro đó với mục đích duy trì sản xuất liên tục; đồng thời giảm thiểu các hậu quả của các sự cố an toàn thông tin
An toàn thông tin đạt được thông qua việc triển khai tập hợp các biện pháp kiểm soát được chọn thông qua quá trình quản lý rủi ro và được quản lý bao gồm các chính sách, quá trình, quy trình, cấu trúc tổ chức, phần mềm, phần cứng,... để bảo vệ các tài sản thông tin đã được nhận diện.
Các kiểm soát này cần được quy định, triển khai, soát xét, cải tiến (PDCA) để đảm bảo các mục tiêu về an toàn thông tin và đáp ứng các nghiệp vụ của tổ chức. Các kiểm soát an toàn thông tin cần được tích hợp vào các quá trình nghiệp vụ và kinh doanh của doanh nghiệp, tổ chức.