Professional Documents
Culture Documents
AISe C7 Handout
AISe C7 Handout
Tình huống:
Từ chiếc USB vô
chủ đến một công
việc mới
Chương 7- Vấn đề nhân sự trong
thực hiện an toàn thông tin
1 2
3 4
1
03/10/2023
Làm việc với chuyên gia an toàn thông tin để tích hợp
các khái niệm an toàn thông tin vào các thực hành quản
lý nhân viên trong doanh nghiệp
5 6
Information Technology
CIO/VP for IT I.2. TỔ CHỨC NHÂN SỰ VỊ
Department
TRÍ AN TOÀN THÔNG TIN
Information security
department CISO/CSO “Employment of information security analysts is
projected to grow 18 percent from 2014 to 2024,
much faster than the average for all occupations.
• Cơ cấu tổ chức trên thường dùng với doanh nghiệp lớn. Demand for information security analysts is
expected to be very high, as these analysts will be
• Cấu trúc trên ngụ ý là mục tiêu cụ thể của IT department và IS needed to create innovative solutions to prevent
department là riêng biệt nhưng phù hợp trên tổng thể hackers from stealing critical information or
causing problems for computer networks”.
• Cơ cấu này có thể thay đổi theo qui mô doanh nghiệp và theo quan U.S. Bureau of Labor Statistics (BLS)
điểm, khuynh hướng quản lý
7 8
2
03/10/2023
9 10
1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN Các hiểu biết mà ứng viên 1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN các vị trí an toàn thông tin THÔNG TIN Các hiểu biết mà ứng
thường cần viên các vị trí an toàn
• Cách hoạt động của tổ thông tin thường cần
chức ở mọi cấp độ • Vai trò của chính
• Vấn đề an toàn thông sách trong hướng
tin thường là vấn đề dẫn nỗ lực trong an
quản lý, hơn là chỉ là
vấn đề kỹ thuật
ninh; vai trò của đào
tạo và huấn luyện để
• Cách làm việc,hợp tác
giữa người LĐ, đặc đưa nhân viên và
biệt là với người dùng
người dung cuối trở
cuối (end-users); sự thành 1 phần của
quan trọng là các kỹ giải pháp, hơn là 1
năng truyền thông và phần của vấn đề
viết
11 12
3
03/10/2023
1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN Các hiểu biết mà ứng 1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
Các hiểu biết mà ứng
THÔNG TIN viên các vị trí an toàn THÔNG TIN viên các vị trí an toàn
thông tin thường cần
thông tin thường cần
• Hầu hết các CNTT
thông thường, • Cách bảo vệ tài sản
truyền thống thì ở của tổ chức trước
các cuộc tấn công an
cấp độ chung, không
nhất thiết là chuyên toàn thông tin
gia • Các giải pháp kinh
• Thuật ngữ IT và an doanh, bao gồm giải
toàn thông tin pháp dựa trên công
nghệ được áp dụng
• Các mối đe dọa và
để giải quyết các vấn
cách chúng trở đề an toàn thông tin
thành cuộc tấn công cụ thể
đối với tổ chức
13 14
15 16
4
03/10/2023
17 18
19 20
5
03/10/2023
21 22
23 24
6
03/10/2023
25 26
27 28
7
03/10/2023
Security Analyst (phân tích 1.3. Những lời khuyên cho người
• Luôn nhớ kinh doanh trước
viên an ninh) Nhiệm vụ:
• Thiết lập cấu hình các hệ
an toàn thông tin chuyên nghiệp công nghệ. Giải pháp công
nghệ chỉ là công cụ để giải
thống kỹ thuật để kiểm quyết vấn đề kinh doanh.
soát truy cập và tấn công • Công nghệ có thể cung cấp
giải pháp tốt cho một số vấn
tới hệ thống, triển khai
đề nhưng cũng có thể làm
phần mềm an ninh, chẩn trầm trọng thêm vấn đề
khác. Khi đánh giá vấn đề,
đoán và gỡ rối vấn đề.
xem nguồn gốc vấn đề trước,
• Hợp tác với người quản xác định các nhân tố ảnh
trị mạng và hệ thống để hưởng tới vấn đề và chính
sách của tổ chức có thể dẫn
đảm bảo công nghệ an tới thiết kế giải pháp độc lập
ninh của doanh nghiệp với công nghệ
được triển khai đúng
29 30
1.3. Những lời khuyên cho người 1.3. Những lời khuyên cho người • Biết nhiều, nói ít. Đừng cố
an toàn thông tin chuyên nghiệp • Nghề an toàn thông tin là an toàn thông tin chuyên nghiệp gắng dùng những kiến thức,
bảo vệ thông tin và nguồn kinh nghiệm chuyên môn
lực hệ thống thông tin của tổ
chức của mình để gây ấn tượng
• Bảo mật thông tin cần minh với những người không
bạch với người sử dụng. Các chuyên về kỹ thuật
hành động bảo vệ thông tin
không được can thiệp vào • Hãy sử dụng ngôn ngữ của
hành động của người sử
dụng (trừ 1 số trường hợp người sử dụng khi trao đổi
nhỏ) vấn đề
31 32
8
03/10/2023
33 34
Quy trình
Mô tả công Kiểm tra lý
Phỏng vấn
việc lịch
Mô tả công việc
Quy trình
• Xem xét, cập nhật, công bố mô
Hợp đồng Định hướng Huấn luyện an tả công việc, nhưng không tiết
tuyển dụng nhân viên mới ninh tại chỗ lộ các đặc quyền truy cập khi
quảng cáo tuyển dụng
35 36
9
03/10/2023
37 38
39 40
10
03/10/2023
41 42
43 44
11
03/10/2023
45 46
47 48
12
03/10/2023
49 50
51 52
13
03/10/2023
4. Chiến • Thực hiện kỳ nghỉ bắt buộc với nhân viên: một 4. Chiến • Đối với những vị trí người lao động có thông
tin đặc biệt hay rất quan trọng có tính độc
hình thức có người thay thế tạm công việc
lược kiểm nhằm phát hiện những bất thường. Nó cũng
đồng thời là KS ngăn ngừa nếu nhân viên biết
lược kiểm quyền,
• Có thể áp dụng chính sách “garden leave-
soát nội bộ chính sách này
• Giới hạn mức độ và phạm vi truy cập thông
soát nội bộ về vườn”: Công ty trả thêm lương 1 thời
gian nào đó sau khi nghỉ làm (vd 30 ngày)
và yêu cầu trong thời gian này nhân viên
tin cần thiết cho công việc (còn gọi “need to không đi làm ở công ty mới. Mục đích để
know” hoặc “least privilege”) nhân viên không có thông tin cập nhật
• Chỉ được phép truy cập và sử dụng thông mới.
tin trên cơ sở những gì cần nhằm đảm bảo • Hoặc yêu cầu không được làm cho đối thủ
không lo ngại về tính bảo mật, toàn vẹn và cạnh tranh trong khoảng thời gian bao
tính khả dụng nhiêu lâu sau khi nghỉ việc tại công ty
53 54
56
55 56
14