ISMS là gì?
Hệ thống quản lý an toàn thông tin – ISMS (information security management system) là một tập hợp các chính sách và thủ tục để quản lý một cách có hệ thống dữ liệu nhạy cảm của một tổ chức. Mục tiêu của ISMS là giảm thiểu rủi ro và đảm bảo tính liên tục của hoạt động kinh doanh bằng cách chủ động hạn chế tác động của vi phạm bảo mật.
ISMS thường đề cập đến hành vi và quy trình của chuyên viên cũng như dữ liệu và công nghệ. Nó có thể được nhắm mục tiêu đến một loại dữ liệu cụ thể, chẳng hạn như dữ liệu khách hàng, hoặc nó có thể được triển khai một cách toàn diện trở thành một phần văn hóa của công ty.
Mục tiêu của ISMS
Theo bộ tiêu chuẩn quốc tế ISO 27000, các mục tiêu bảo vệ của an ninh thông tin bao gồm ba khía cạnh chính:
- Tính bảo mật: Thông tin bí mật chỉ có thể được xem và tiết lộ bởi những người có thẩm quyền. Do đó, quyền truy cập vào thông tin này phải được bảo mật một cách thích hợp. Ví dụ: tính bảo mật bị vi phạm nếu kẻ tấn công có thể nghe trộm thông tin liên lạc.
- Tính toàn vẹn: Thông tin phải được bảo vệ khỏi sự thao túng không bị phát hiện để duy trì tính chính xác và trọn vẹn của nó. Tính toàn vẹn bị vi phạm, ví dụ, nếu kẻ tấn công có thể sửa đổi dữ liệu nghiên cứu mà không bị phát hiện.
- Tính khả dụng: Thông tin, dịch vụ hoặc tài nguyên phải luôn sẵn có và có thể sử dụng được cho người dùng hợp pháp. Tính khả dụng có thể bị gián đoạn, ví dụ, bởi một cuộc tấn công DDoS cố tình làm quá tải hệ thống.
Các khía cạnh khác là tính xác thực, trách nhiệm giải trình, cam kết và độ tin cậy. Mức độ an toàn thông tin đạt được có thể được xác định trên cơ sở mức độ hoàn thành các mục tiêu bảo vệ này.