ICTnews – Nhờ tư vấn cách kiểm soát các thiết bị cá nhân như USB, laptop và các thiết bị lưu trữ khác trong công ty nhằm tránh thất thoát dữ liệu? Công ty chúng tôi đang có dự định ứng dụng ISO bảo mật 2700.

Việc kiểm soát các thiết bị cá nhân như máy tính xách tay, USB nhằm tránh thất thoát dữ liệu mà bạn nêu ra cũng là một trong những nội dung kiểm soát mà ISO 27001 có đề cập tới. Tuy nhiên, với ISO 27001, các biện pháp kiểm soát cụ thể sẽ khác nhau đối với từng công ty/tổ chức. Quá trình triển khai ISO 2700 theo phương pháp phân tích rủi ro sẽ giúp chỉ ra các biện pháp kiểm soát đó một cách đầy đủ và khoa học. Với phương pháp phân tích rủi ro, quá trình phân tích sẽ chỉ ra tất cả các rủi ro có thể dẫn tới thất thoát dữ liệu đối với các thiết bị cá nhân, ví dụ như bị bị mất trộm, bị sao chép trái phép… Sau đó, đối với từng rủi ro, sẽ tiến hành đánh giá và đưa ra các biện pháp khắc phục để hạn chế đến mức tối thiểu các rủi ro này, chẳng hạn để xử lý rủi ro bị mất máy tính xách tay, có thể áp dụng biện pháp tất cả dữ liệu lưu trữ trên ổ cứng của máy tính xách phải được mã hóa. Với phương pháp phân tích này, chúng ta có thể thấy các biện pháp kiểm soát có thể khác nhau, phụ thuộc vào chính sách, yêu cầu an ninh và đặc thù của từng đơn vị. Ví dụ, đối với cùng một việc là kiểm soát sử dụng USB, một công ty trong lĩnh vực truyền thông có thể cho phép nhân viên sử dụng có kiểm soát USB để trao đổi dữ liệu có kích thước lớn (ảnh, video)... trong khi đó, các đơn vị khác có yêu cầu cao hơn về an ninh có thể sử dụng biện pháp kiểm soát là cấm hoàn toàn việc sử dụng USB, chẳng hạn tại Bộ Quốc Phòng Mỹ, để giảm thiểu sự lây lan của virus máy tính, một lệnh cấm đã được ban hành, theo đó việc sử dụng các thiết bị lưu trữ như USB/ổ cứng di động bị cấm hoàn toàn. Do đó, để có được các biện pháp kiểm soát phù hợp nhất, bạn hãy tiến hành phân tích rủi ro, kết quả quá trình này bạn sẽ có được các biện pháp phù hợp với chính sách và yêu cầu về mức độ an ninh của công ty/tổ chức bạn. Ngoài ra, để triển khai ISO 27001 hiệu quả, bạn nên sử dụng dịch vụ của các công ty chuyên về lĩnh vực này, các công ty này sẽ tư vấn giúp bạn xác định chính xác mục tiêu, chính sách an ninh cũng như lộ trình phù hợp để xây dựng và vận hành hệ thống ISO 27001 hiệu quả nhất. Tại Việt Nam, bạn có thể tham khảo dịch vụ của các công ty BVC, Bkis hay TUV NORD.