Vấn đề và phương pháp phân loại, bảo vệ thông tin

Hiện nay rủi ro về thất thoát dữ liệu, thông tin khi lưu trữ, xử lý và truyền của các tổ chức ngày càng gia tăng. Vấn đề này đã được các nước trên thế giới xử lý rất tốt, thông tin là tài sản quốc gia và có giá trị đặc biệt quan trọng, đặc biệt thời kỳ công nghệ, thông tin có thể mang lại giá trị lớn cho tổ chức, một quốc gia, nhưng chính thông tin có thể đánh mất đi tài chính, uy tín thậm trí dẫn đến sụp đổ của một quốc gia, một tổ chức bất kỳ nếu bị thất thoát. Hiện nay các quốc gia trên thế giới tất cả lĩnh vực đều có bộ phận chuyên trách bảo vệ thông tin, trách rủi ro thất thoát của quốc gia đó và việc phân loại tài liệu thông tin để bảo vệ đã được các tổ chức của họ đặc biệt quan tâm và thực hiện. Đối với Việt Nam chúng ta, trong thời kỳ số và hội nhập 4.0 nhưng đa số các tổ chức chưa thực hiện phân loại, gán nhãn thông tin để phát hiện, cảnh báo, báo cáo một cách chủ động các tổn thất thông tin dẫn đến một số rủi ro cho hoạt động kinh doanh, như chuyển thông tin kinh doanh, thông tin về sản phẩm và thông tin khách hàng ra bên ngoài gây ảnh hưởng đến tài chính, uy tín và thương hiệu của các tổ chức .

 1. Nguyên tắc phân loại thông tin, các mức phân loại và cách thức phân loại.

Vậy làm thế nào để có thể thực hiện phân loại thông tin để đưa ra các biện pháp bảo vệ phù hợp, chúng ta đi tìm hiểu các nguyên tắc và các mức phân loại sau:

1.1. Nguyên tắc phân loại thông tin

– Tất cả các thông tin đều phải được phân loại để áp dụng các biện pháp quản lý, bảo vệ tương ứng với mức thông tin từ khi thông tin được khởi tạo cho tới khi thông tin bị hủy bỏ;

– Việc phân loại, phê duyệt phân loại thông tin phải được thực hiện đúng thẩm quyền theo quy định;

– Đối với thông tin được tổng hợp từ nhiều thông tin thành phần thuộc các mức khác nhau thì mức độ của thông tin sẽ thuộc mức không nhỏ hơn mức độ ảnh hưởng của thông tin thành phần;

– Đối với thông tin đã được phân loại, nếu bị tác động hoặc có sự thay đổi về nội dung thì cần phải được đánh giá về mức độ ảnh hưởng và phân loại lại;

– Đối với thông tin khi được phân loại phải xác định giới hạn thời gian duy trì và mức phân loại thông tin dự kiến sau giới hạn thời gian duy trì;

– Thông tin phải được phân loại lại ngay khi nhận thấy mức thông tin hiện tại không phù hợp.

1.2. Các mức phân loại thông tin

Thông tin được phân loại thường theo 5 mức: Tối mật, Mật, Hạn chế, Nội bộ và Công khai. Cụ thể:

– Tuyệt mật: Là những thông tin có mức độ ảnh hưởng cao nhất, có nội dung rất quan trọng mà nếu bị mất hoặc tiết lộ bất hợp pháp có thể gây thiệt hại rất nghiêm trọng đến các tổ chức hoặc ảnh hưởng rất nghiêm trọng đến bí mật nhà nước chỉ lưu hành trong phạm vi những người bắt buộc phải biết và được bảo vệ đặc biệt.

Vd:

* Tài liệu chưa công bố về phương án, kế hoạch phát hành tiền mặt vào lưu thông;

* Tài liệu về kế hoạch và tình hình thực hiện cung ứng tiền hàng năm;

* Đề án, phương án và kế hoạch thiết kế, chế bản mẫu tiền mới;

* Kế hoạch điều chuyển, lịch trình vận chuyển, điện báo vận chuyển, tài sản quý giá và giấy tờ có giá (ngày, giờ xuất phát , địa điểm đi , đến, tuyến đường, loại phương tiện, khối lượng, giá trị tài sản, loại tài sản) của các tổ chức;

* Mã hóa bảo mật để tạo chữ ký điện tử, khóa bí mật để tạo chữ ký số trong các hệ thống ứng dụng công nghệ thông tin, truyền thông các tổ chức;

* Tài liệu về thiết kế hệ thống, cài đặt hạng mục bảo đảm an ninh, bảo mật các hệ thống ứng dụng công nghệ thông tin, truyền thông của các tổ chức ….

– Mật: Là những thông tin có mức độ ảnh hưởng cao, có nội dung rất quan trọng, chỉ lưu hành trong phạm vi những người cần phải biết, nếu bị công khai hoặc chia sẻ cho những người không có thẩm quyền có thể gây ảnh hưởng đến khách hàng, tổ chức bộ máy và hoạt động của các tổ chức, ảnh hưởng đến công tác tổ chức bộ máy và hoạt động của các tổ chức  hoặc ảnh hưởng đến bí mật nhà nước. Vd:

* Tài liệu quy định về ký hiệu các loại tiền và giấy tờ có giá như tiền của các tổ chức;

* Tài liệu, hồ sơ, phương án, bản vẽ thiết kế và lắp đặt hệ thống thiết bị, phương tiện kỹ thuật đảm bảo an toàn kho tiền của các tổ chức;

* Mã khóa, chìa khóa cửa kho tiền, gian kho, két, tủ sắt bảo quản tiền mặt, tài sản

* Các thông tin, tài liệu chi tiết liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của các tổ chức  nhà nước;

* Mã hóa, ký hiệu mật dùng trong điện báo nghiệp vụ các tổ chức , mã hóa truyền dữ liệu của các tổ chức;

* Ký hiệu mật dùng trong thanh toán của chuyển tiền của Các tổ chức (Trừ ký hiệu mật dùng trong thanh toán chuyển tiền điện tử thuộc thông tin Tối mật);

* Mã số quy trình cho Khách hàng để xác định thẻ của người dùng thẻ thanh toán, thẻ tiến dụng của các loại thẻ khác dùng trong hoạt động của các tổ chức;

* Tài liệu thông tin về đấu thầu của các tổ chức:

  • Nội dung hồ sơ mời thầu thời điểm phát hành theo quy định;
  • Nội dung hồ sơ dự thầu, các sổ tay ghi chép, các biên bản cuộc họp xét thầu, các ý kiến nhận xét, đánh giá của chuyên gia hoặc nhà thầu tư vấn đối với từ hồ sơ dự thầu trước khi công bố kết quả chọn nhà thầu;
  • Kết quả lựa chọn nhà thầu trước khi được công bố theo quyết định;
  • Các tài liệu đấu thầu liên quan khác được đóng dấu bảo mật theo quy định pháp luận về bảo mật.

– Hạn chế: Là những thông tin có mức độ ảnh hưởng trung bình, có nội dung quan trọng, mang tính chuyên môn của phòng, ban, bộ phận hoặc một nhóm người nhằm đáp ứng yêu cầu công việc. Vd: Các kế hoạch dự án, báo cáo dự án nội bộ.

            – Nội bộ: Là những thông tin có mức độ ảnh hưởng thấp, thường không được phép truyền tải ra bên ngoài tổ chức. Khi mất thông tin sẽ gây bất tiện trong hoạt động và quản lý tổ chức, khi tiết lộ trái phép có thể dẫn tới tổn thất tài chính hoặc thiệt hại đến uy tín của tổ chức. Vd: Các quy trình, quy định ban hành toàn hàng.

            – Công khai: Là những thông tin có mức độ ảnh hưởng thấp nhất, có thể được công khai bên ngoài Các tổ chức. Vd: Báo cáo hàng năm, ấn bản, thông báo… được cho phép công khai sử dụng.

 1.3. Cách thức phân loại thông tin

– Thông tin cần phân loại bao gồm: Thông tin chưa được phân loại và thông tin cần điều chỉnh mức thông tin;

– Đánh giá mức độ ảnh hưởng tổng thể của thông tin nhằm mục đích phân loại thông tin (bảng kế bên)

Việc phân loại thông tin cần căn cứ mức độ ảnh hưởng của thông tin tới các hoạt động của các tổ chức, cụ thể:

  • Thực hiện đánh giá mức độ ảnh hưởng về Tài chính;
  • Thực hiện đánh giá mức độ ảnh hưởng về Uy tín;
  • Thực hiện đánh giá mức độ ảnh hưởng về Hoạt động của tổ chức;
  • Thực hiện đánh giá mức độ ảnh hưởng về Pháp lý;
  • Thực hiện đánh giá mức độ ảnh hưởng về Khách hàng.

Từ đó, xác định mức độ ảnh hưởng tổng thể của thông tin: Mức độ tổng thể của thông tin bằng mức độ cao nhất của Tài chính, Uy tín, Hoạt động, Pháp lý và Khách hàng.

Mức phân loại thông tin ứng với mức ảnh hưởng tổng thể:

– Mức độ ảnh hưởng được thể hiện qua 5 cấp độ: Rất cao, Cao, Trung bình, Thấp và Rất thấp theo ma trận ảnh hưởng:

 

Loại ảnh hưởng Mức độ ảnh hưởng Cao-> Thấp
5 (Rất cao) 4 (Cao) 3 (Trung bình) 2 (Thấp) 1 (Rất thấp)
Tài chính > 5 tỷ đồng VND > 1 tỷ đến 5 tỷ VND > 100 triệu đến 1 tỷ VND > 5 triệu đến 100triệu VND < 5 triệu đồng VND
Uy tín –    Gây ảnh hưởng danh tiếng và thương hiệu:

–    Bị phương tiện truyền thông đưa tin kéo dài 7 ngày/ hoặc liên quan đến pháp luật do việc ảnh hưởng từ việc thất thoát thông tin.

–    Sụt giảm thị phần nghiêm trọng hoặc thương hiệu của Các tổ chức .

–    Gây bất tiện nghiêm trọng trong hoạt động của các bên liên quan.

–    Bị đánh mất lòng tin từ khách hàng hoặc công chúng, bên thứ ba.

–    Bị các tờ báo lớn uy tín của quốc tế và trong nước đưa tin.

–    Gây ảnh hưởng danh tiếng và thương hiệu:

–    Bị phương tiện truyền thông đưa tin kéo dài (3 -7 ngày)

–     Giảm thị phần hoặc thiệt hại tạm thời cho thương hiệu Các tổ chức  do thất thoát dữ liệu.

–    Gây bất tiện đáng kể trong hoạt động của các bên liên quan.

–    Giảm lòng tin từ khách hàng hoặc công chúng, bên thứ thứ 3

–    Bị các tờ báo lớn uy tín trong nước đưa tin.

–    Gây ảnh hưởng danh tiếng và thương hiệu:

–    Bị phương tiện truyền thông đưa tin kéo dài (1- 3 ngày)

–    Ảnh hưởng nhỏ đến thị phần hoặc ảnh hưởng thương hiệu của Các tổ chức

–    Gây bất tiện trung bình trong hoạt động của các bên liên quan

–    Giảm lòng tin trong hiệp hội Các tổ chức  hoặc bên thứ ba.

–    Bị các tờ báo lớn uy tín trong nước đưa tin.

–    Gây ảnh hưởng danh tiếng và thương hiệu:

–    Bị phương tiện truyền thông đưa tin.

–    Tác động nhỏ trong nội bộ hoặc thiệt hại trong thời gian ngắn

–    Gây bất tiện nhỏ trong hoạt động của các bên liên quan

–    Vấn đề được đưa tin trên các mẩu báo nhỏ.

–    Danh tiếng và thương hiệu không bị ảnh hưởng.
Hoạt động –    Ảnh hưởng tới hoạt động của toàn bộ hệ thống thống dịch vụ các tổ chức  kéo dài trên 1 ngày.

–    Sụt giảm nghiêm trọng về lợi thế cạnh tranh của tổ chức.

–    Ảnh hưởng tới hoạt động của toàn bộ hệ thống thống dịch vụ Các tổ chức  dưới 1 ngày.

–    Giảm mạnh lợi thế cạnh tranh của tổ chức.

–    Ảnh hưởng tới hoạt động của một vài nghiệp vụ quan trọng của Các tổ chức .

–    Giảm lợi thế cạnh tranh của tổ chức.

–    Ảnh hưởng tới 1 vài hoạt động nghiệp vụ ít quan trọng của Các tổ chức .

–    Có tác động tới lợi thế cạnh tranh của tổ chức một phần nào.

–    Không gây ảnh hưởng tới hoạt động nghiệp vụ của các tổ chức .

 

Pháp lý –    Xảy ra kiện tụng bất lợi cho các tổ chức  do có những vi phạm lớn Hoặc Nguy cơ bị rút một/một số giấy phép hoặc chịu khoản phạt lớn. –    Xảy ra kiện tụng bất lợi cho các tổ chức  hoặc có nguy cơ chịu một khoản phạt lớn.

 

–    Xảy ra kiện tụng bất lợi cho các tổ chức  hoặc có nguy cơ chịu một khoản phạt nhỏ.

 

–    Có ảnh hưởng về pháp lý và có nguy cơ một số quyết định của cơ quan có thẩm quyền được ra chống lại các tổ chức  hoặc những bình luận bằng lời nói và văn bản không có lợi từ cơ quan có thẩm quyền. –    Xuất hiện nguy cơ liên quan đến pháp luật hoặc cơ quan quản lý nhận thấy mức độ tuân thủ của Các tổ chức  lớn.

 

Khách hàng –    Tác động thực tế hoặc tiềm ẩn đến khách hàng:

o  Tác động tài chính hoặc uy tín nghiêm trọng đến tất cả hoặc hầu hết khách hàng.

–    Tác động thực tế hoặc tiềm ẩn đến khách hàng:

o  Tác động tài chính hoặc uy tín vừa phải đến tất cả hoặc hầu hết khách hàng.

–    Tác động thực tế hoặc tiềm ẩn đến khách hàng:

o  Tác động tài chính hoặc uy tín nhỏ đến tất cả hoặc hầu hết khách hàng.

–    Tác động thực tế hoặc tiềm ẩn đến khách hàng:

o  Tác động tài chính hoặc uy tín nhỏ đến một nhóm khách hàng.

–    Không có tác động nào.
  1. Nguyên tắc phân loại và bảo vệ thông tin .

            2.1. Nguyên tắc phân loại

  • Tất cả thông tin phải được phân loại và áp dụng các biện pháp quản lý, bảo vệ phù hợp;
  • Việc truy cập đến các thông tin không thuộc quyền quản lý của cán bộ nhân viên chỉ được cho phép trên cơ sở có lí do chính đáng, phù hợp với yêu cầu công việc được giao, được cấp có thẩm quyền cho phép và có áp dụng biện pháp quản lý phù hợp;
  • Thông tin nhận được hoặc trao đổi với các chủ thể bên ngoài phải áp dụng các biện pháp bảo vệ phù hợp với các yêu cầu pháp lý, quy định nội bộ có liên quan và các quy định của hợp đồng;
  • Cán bộ, nhân viên, người quản lý, người điều hành của Các tổ chức không được tiết lộ các thông tin ra ngoài khi chưa được phép, ngoại trừ mức phân loại Công Khai;
  • Cán bộ, nhân viên được giao nhiệm vụ xử lý, thiết kế, tạo lập, soạn thảo, kiểm soát, ký, đóng dấu, lưu chuyển, quản lý thông tin với các mức độ phân loại khác nhau, có trách nhiệm giữ bí mật, đồng thời không được nhờ người không có nhiệm vụ làm thay các công việc liên quan đến thông tin mật;
  • Thông tin sau khi phân loại phải được áp dụng các biện pháp bảo vệ dựa trên mức phân loại của thông tin, bao gồm các biện pháp sau:
    • Kiểm soát truy cập;
    • Kiểm soát lưu trữ;
    • Kiểm soát in/sao chép;
    • Kiểm soát khi tạo lập mới;
    • Kiểm soát phương thức trao đổi/truyền tải thông tin;
    • Kiểm soát phiên bản;
    • Hủy thông tin.
  • Áp dụng các biện pháp bảo vệ thông tin đối với từng mức thông tin theo ma trận sau:

 

Các biện pháp bảo vệ

thông tin

                                 Loại thông tin  
Tối mật Mật Hạn chế Nội bộ Công khai
1 Kiểm soát truy cập –    Chỉ trong phạm vi những người cần biết. –    Chỉ một số đơn vị nội bộ. –    Toàn bộ Các tổ chức –    Không hạn chế.
2 Lưu trữ Bản mềm –    Lưu trữ trên hệ thống được cách ly, bảo vệ về mặt vật lý/logic;

–    Mã hóa (mã hóa ổ cứng hoặc đặt mật khẩu tài liệu word,excel, pdf…).

–    Mã hóa (mã hóa ổ cứng hoặc đặt mật khẩu tài liệu word, excel, pdf…).  

 

 

 

–    Không hạn chế.

 

 

 

 

 

 

 

 

 

 

 

 

–    Không hạn chế. –    Không hạn chế.
3 In/ sao chép –    Không tự ý in/sao chép (photo, copy…) dưới bất kỳ hình thức nào khi chưa có sự phê duyệt của lãnh đạo cao nhất hoặc người được ủy quyền;

–    Tài liệu in/sao chép được bảo vệ như tài liệu gốc;

–    Tiến hành in/sao chép tại nơi bí mật, an toàn, đúng số bản quy định. Sau khi in/sao chép xong phải kiểm tra lại và hủy ngay bản dư thừa, hỏng.

–    Không tự ý in/sao chép (photo, copy…) dưới bất kỳ hình thức nào khi chưa có sự phê duyệt của lãnh đạo;

–    Tài liệu in/sao chép được bảo vệ như tài liệu gốc;

–    Chỉ in/sao chép đúng số bản quy định. Sau khi in/sao chép xong phải kiểm tra lại và hủy ngay bản dư thừa, hỏng.

–    Không hạn chế – Không hạn chế
4 Kiểm soát khi trao đổi/ truyền tải thông tin Đối tác –    Phải được phê duyệt của lãnh đạo cao nhất hoặc người được ủy quyền;

–    Đối tác cần thực hiện cam kết bảo mật thông tin.

–    Phải được phê duyệt của lãnh đạo hoặc người được ủy quyền;

–    Đối tác cần thực hiện cam kết bảo mật thông tin.

–    Không hạn chế
Khác Trung tâm/ Phòng

ban/ Bộ phận

–    Phải được phê duyệt của lãnh đạo cao nhất hoặc người được ủy quyền. –    Phải được phê duyệt của lãnh đạo hoặc người được ủy quyền. –    Không hạn chế –    Không hạn chế
5 Kiểm soát phương thức trao đổi/

truyền tải

thông tin

Thư tín –    Được đựng trong bao bì, vật liệu chắc chắn, phải được niêm phong, có phương tiện vận chuyển đảm bảo an toàn trong mọi tình huống, trường hợp xét thấy cần thiết thì phải bố trí người bảo vệ vận chuyển các tài liệu đó.

 

–    Ghi đích danh người nhận –  Không hạn chế
Qua mạng (email, send file, upload…) –    Không sử dụng –    Phải đặt mật khẩu và chỉ cung cấp mật khẩu cho người nhận thông tin.

 

–    Hạn chế, xem xét kỹ khi gửi cho đối tác.

 

–    Không hạn chế
Fax –    Không sử dụng. –    Ghi đích danh người nhận ở trang đầu tiên

–    Sau khi fax cần gọi điện thoại xác nhận chắc chắn người nhận đã nhận được tài liệu.

–    Không hạn chế. –    Không hạn chế.
6 Kiểm soát phiên bản Bản mềm – Đặt tên file ghi rõ phiên bản.  
7 Báo cáo thông tin –    Khi có sự cố với thông tin phải thông báo ngay lập tức (trong vòng 1 giờ) cho lãnh đạo cao nhất hoặc người được ủy quyền. –    Khi có sự cố với thông tin phải thông báo ngay lập tức (trong vòng 1 giờ) cho lãnh đạo. –    Khi có sự cố với thông tin phải thông báo ngay lập tức (trong vòng 1 ngày làm việc) cho Lãnh đạo quản lý trực tiếp. –    Không hạn chế
8 Hủy thông tin Bản mềm –    Ghi đè dữ liệu (sử dụng phần mềm hủy dữ liệu);

–    Phá hủy thiết bị, phương tiện lưu trữ.

–    Ghi đè dữ liệu (sử dụng phần mềm hủy dữ liệu). –    Xóa thông thường

 

 
Phê duyệt –    Phải được phê duyệt của cấp cao nhất của tổ chức hoặc người được ủy quyền.  

 

 

Các biện pháp bảo vệ thông tin Loại thông tin
Tối mật Mật Hạn chế Nội bộ Công khai
1 Kiểm soát truy cập –    Chỉ trong phạm vi những người cần biết. –    Chỉ một số đơn vị nội bộ. –    Toàn bộ Các tổ chức . –    Không hạn chế.
2 Lưu trữ Bản mềm –    Lưu trữ trên hệ thống được cách ly, bảo vệ về mặt vật lý/logic;

–    Mã hóa (mã hóa ổ cứng hoặc đặt mật khẩu tài liệu word,excel, pdf…).

–    Mã hóa (mã hóa ổ cứng hoặc đặt mật khẩu tài liệu word, excel, pdf…).  

 

 

 

–    Không hạn chế.

 

 

 

 

 

 

 

 

 

 

 

 

–    Không hạn chế. –    Không hạn chế.
3 In/ sao chép –    Không tự ý in/sao chép (photo, copy…) dưới bất kỳ hình thức nào khi chưa có sự phê duyệt của lãnh đạo cao nhất hoặc người được ủy quyền;

–    Tài liệu in/sao chép được bảo vệ như tài liệu gốc;

–    Tiến hành in/sao chép tại nơi bí mật, an toàn, đúng số bản quy định. Sau khi in/sao chép xong phải kiểm tra lại và hủy ngay bản dư thừa, hỏng.

–    Không tự ý in/sao chép (photo, copy…) dưới bất kỳ hình thức nào khi chưa có sự phê duyệt của lãnh đạo;

–    Tài liệu in/sao chép được bảo vệ như tài liệu gốc;

–    Chỉ in/sao chép đúng số bản quy định. Sau khi in/sao chép xong phải kiểm tra lại và hủy ngay bản dư thừa, hỏng.

–    Không hạn chế – Không hạn chế
4 Kiểm soát khi trao đổi/ truyền tải thông tin Đối tác –    Phải được phê duyệt của lãnh đạo cao nhất hoặc người được ủy quyền;

–    Đối tác cần thực hiện cam kết bảo mật thông tin.

–    Phải được phê duyệt của lãnh đạo hoặc người được ủy quyền;

–    Đối tác cần thực hiện cam kết bảo mật thông tin.

–    Không hạn chế
Khác Trung tâm/ Phòng

ban/ Bộ phận

–    Phải được phê duyệt của lãnh đạo cao nhất hoặc người được ủy quyền. –    Phải được phê duyệt của lãnh đạo hoặc người được ủy quyền. –    Không hạn chế –    Không hạn chế
5 Kiểm soát phương thức trao đổi/

truyền tải

thông tin

Thư tín –    Được đựng trong bao bì, vật liệu chắc chắn, phải được niêm phong, có phương tiện vận chuyển đảm bảo an toàn trong mọi tình huống, trường hợp xét thấy cần thiết thì phải bố trí người bảo vệ vận chuyển các tài liệu đó.

 

–    Ghi đích danh người nhận

 

–    Không hạn chế
Qua mạng (email, send file, upload…) –    Không sử dụng –    Phải đặt mật khẩu và chỉ cung cấp mật khẩu cho người nhận thông tin.

 

–    Hạn chế, xem xét kỹ khi gửi cho đối tác.

 

–    Không hạn chế
Fax –    Không sử dụng –    Ghi đích danh người nhận ở trang đầu tiên

–    Sau khi fax cần gọi điện thoại xác nhận chắc chắn người nhận đã nhận được tài liệu.

–    Không hạn chế. –    Không hạn chế.
6 Kiểm soát phiên bản Bản mềm – Đặt tên file ghi rõ phiên bản.
7 Báo cáo thông tin –    Khi có sự cố với thông tin phải thông báo ngay lập tức (trong vòng 1 giờ) cho lãnh đạo cao nhất hoặc người được ủy quyền. –    Khi có sự cố với thông tin phải thông báo ngay lập tức (trong vòng 1 giờ) cho lãnh đạo. –    Khi có sự cố với thông tin phải thông báo ngay lập tức (trong vòng 1 ngày làm việc) cho Lãnh đạo quản lý trực tiếp. –    Không hạn chế
8 Hủy thông tin Bản mềm –    Ghi đè dữ liệu (sử dụng phần mềm hủy dữ liệu);

–    Phá hủy thiết bị, phương tiện lưu trữ.

–    Ghi đè dữ liệu (sử dụng phần mềm hủy dữ liệu). –    Xóa thông thường

 

Phê duyệt –    Phải được phê duyệt của cấp cao nhất của tổ chức hoặc người được ủy quyền. –    Phải được phê duyệt của lãnh đạo

 

–    Không hạn chế

2.2. Gán nhãn thông tin

Tất cả thông tin dưới dạng tài liệu bản mềm (word, excel, project, visio,…) phải thực hiện gán nhãn, nhãn được gán phải bao gồm thông tin như sau: Tên Khối – Phòng/Bộ phận – Mức thông tin: TUYỆT MẬT, TỐI MẬT, MẬT, NỘI BỘ, HẠN CHẾ, CÔNG KHAI  (in hoa, nét đậm, nghiêng) ở giữa footer của tài liệu dạng bản mềm.

2.3. Phân phối, truyền tải thông tin đã phân loại

  • Phân phối thông tin:
    • Thông tin thuộc mức HẠN CHẾ trở lên chỉ được phân phối tới cá nhân có nhu cầu phục vụ công việc;
    • Phải áp dụng các tiêu chuẩn an toàn thông tin khi phân phối theo các quy định của Các tổ chức và quy định của pháp luật.
  • Truyền tải thông tin ra bên ngoài:
    • Thông tin đã phân loại được di dời hoặc truyền tải tới cá nhân hoặc tổ chức khác, chỉ khi đáp ứng các yêu cầu về an toàn thông tin theo quy định hiện hành của Các tổ chức và pháp luật.
    • Thông tin không được di dời hoặc truyền tải ra ngoài trụ sở của Các tổ chức tới các cá nhân, tổ chức khác khi không có sự cho phép của người có thẩm quyền phê duyệt mức thông tin đó.
    • Quy định trong các cam kết, hợp đồng, thỏa thuận phải bao gồm điều khoản ràng buộc những cá nhân, tổ chức nhận được thông tin đã phân loại từ Các tổ chức không được phép tiết lộ gây tác động xấu tới Các tổ chức  nếu không có sự cho phép của Các tổ chức .
    • Thông tin chỉ được công khai theo Quy chế truyền thông (QC01/MAR).

            Kết luận

Vấn đề lưu trữ, xử lý và truyền dữ liệu thông tin đảm bảo an toàn luôn là vấn đề được mọi tổ chức đặc biệt quan tâm và ưu tiên xử lý. Vì vậy phương triệt để để xử lý dữ liệu thông tin là phân loại tài liệu thông tin để bảo vệ.

Việc phân loại và bảo vệ thông tin là điều tất yếu trong thời kỳ số, đặc biệt quan trọng hơn khi Việt Nam đang theo đuổi công nghệ 4.0 thì các vấn đề an toàn thông tin càng phải được chú trọng./.

Nguyễn Trọng Bình

Chuyên gia bảo mật, phụ trách bảo mật PVCBank

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *