Chúng tôi không thể cung cấp một hướng dẫn đầy đủ về tất cả các khía cạnh bảo mật trong mọi tình huống cho tất cả các tổ chức, nhưng hướng dẫn này nhằm mục đích xác định những điểm chính để bạn xem xét.
Các biện pháp tổ chức nào chúng ta cần xem xét?
Thực hiện đánh giá rủi ro thông tin là một ví dụ về biện pháp tổ chức, nhưng bạn cũng cần thực hiện các biện pháp khác. Bạn nên hướng tới việc xây dựng văn hóa nhận thức về bảo mật trong tổ chức của mình. Bạn nên xác định một người chịu trách nhiệm hàng ngày về bảo mật thông tin trong tổ chức của mình và đảm bảo người này có đủ nguồn lực và quyền hạn để thực hiện công việc của họ một cách hiệu quả.
Ví dụ
Giám đốc điều hành của một tổ chức quy mô vừa yêu cầu Giám đốc Nhân sự đảm bảo rằng các biện pháp bảo mật phù hợp được áp dụng và các báo cáo thường xuyên được gửi đến hội đồng quản trị.
Phòng Nhân sự chịu trách nhiệm thiết kế và thực hiện chính sách bảo mật của tổ chức, viết quy trình cho nhân viên tuân theo, tổ chức đào tạo nhân viên, kiểm tra xem các biện pháp bảo mật có thực sự được tuân thủ hay không và điều tra các sự cố bảo mật.
Rõ ràng, trách nhiệm giải trình về bảo mật sẽ đảm bảo rằng bạn không bỏ qua những vấn đề này và tư thế bảo mật tổng thể của bạn không trở nên sai sót hoặc lỗi thời.
Mặc dù chính sách bảo mật thông tin là một ví dụ về biện pháp tổ chức phù hợp, nhưng bạn có thể không cần một tài liệu chính sách “chính thức” hoặc một bộ chính sách liên quan trong các lĩnh vực cụ thể. Nó phụ thuộc vào quy mô của bạn và số lượng cũng như bản chất của dữ liệu cá nhân bạn xử lý và cách bạn sử dụng dữ liệu đó. Tuy nhiên, có một chính sách cho phép bạn chứng minh cách bạn đang thực hiện các bước để tuân thủ nguyên tắc bảo mật.
Cho dù bạn có chính sách như vậy hay không, bạn vẫn cần xem xét bảo mật và các vấn đề liên quan khác như:
- sự phối hợp giữa những người chủ chốt trong tổ chức của bạn (ví dụ: người quản lý bảo mật sẽ cần biết về việc ủy thác và loại bỏ bất kỳ thiết bị CNTT nào);
- quyền truy cập vào cơ sở hoặc thiết bị được cấp cho bất kỳ ai bên ngoài tổ chức của bạn (ví dụ: để bảo trì máy tính) và các cân nhắc bảo mật bổ sung mà điều này sẽ tạo ra;
- các thỏa thuận về tính liên tục trong kinh doanh xác định cách bạn sẽ bảo vệ và khôi phục mọi dữ liệu cá nhân bạn nắm giữ; và
- kiểm tra định kỳ để đảm bảo rằng các biện pháp bảo mật của bạn vẫn phù hợp và cập nhật.
Các biện pháp kỹ thuật nào chúng ta cần xem xét?
Các biện pháp kỹ thuật đôi khi được coi là bảo vệ dữ liệu cá nhân được lưu trữ trong máy tính và mạng. Mặc dù những điều này có tầm quan trọng rõ ràng, nhưng nhiều sự cố bảo mật có thể là do trộm cắp hoặc mất thiết bị, việc bỏ rơi các máy tính cũ hoặc hồ sơ bản cứng bị mất, bị đánh cắp hoặc xử lý không chính xác. Do đó, các biện pháp kỹ thuật bao gồm cả bảo mật vật lý và bảo mật máy tính hoặc CNTT.
Khi xem xét bảo mật vật lý, bạn nên xem xét các yếu tố như:
- chất lượng của cửa và ổ khóa, và việc bảo vệ cơ sở của bạn bằng các phương tiện như báo động, đèn an ninh hoặc CCTV;
- cách bạn kiểm soát quyền truy cập vào cơ sở của mình và cách khách truy cập được giám sát;
- cách bạn xử lý mọi giấy và rác thải điện tử; và
- cách bạn giữ an toàn cho thiết bị CNTT, đặc biệt là các thiết bị di động.
Trong bối cảnh CNTT, các biện pháp kỹ thuật đôi khi có thể được gọi là “an ninh mạng”. Đây là một lĩnh vực kỹ thuật phức tạp liên tục phát triển, với những mối đe dọa và lỗ hổng mới luôn xuất hiện. Do đó, có thể hợp lý khi cho rằng hệ thống của bạn dễ bị tổn thương và thực hiện các bước để bảo vệ chúng.
Khi xem xét an ninh mạng, bạn nên xem xét các yếu tố như:
- bảo mật hệ thống – bảo mật mạng và hệ thống thông tin của bạn, bao gồm cả những hệ thống xử lý dữ liệu cá nhân;
- bảo mật dữ liệu – bảo mật dữ liệu bạn nắm giữ trong hệ thống của mình, ví dụ: đảm bảo các biện pháp kiểm soát truy cập phù hợp được áp dụng và dữ liệu được giữ an toàn;
- bảo mật trực tuyến – ví dụ: bảo mật trang web của bạn và bất kỳ dịch vụ hoặc ứng dụng trực tuyến nào khác mà bạn sử dụng; và
- bảo mật thiết bị – bao gồm các chính sách về Bring-your-own-Device (BYOD) nếu bạn cung cấp nó.
Tùy thuộc vào mức độ tinh vi của hệ thống, yêu cầu sử dụng và chuyên môn kỹ thuật của nhân viên, bạn có thể cần nhận tư vấn bảo mật thông tin chuyên biệt vượt ra ngoài phạm vi của hướng dẫn này. Tuy nhiên, cũng có trường hợp bạn có thể không cần nhiều thời gian và nguồn lực để bảo mật hệ thống và dữ liệu cá nhân mà chúng xử lý.
Dù bạn làm gì, bạn nên nhớ những điều sau:
- các biện pháp an ninh mạng của bạn cần phù hợp với quy mô và việc sử dụng mạng và hệ thống thông tin của bạn;
- bạn nên tính đến trạng thái phát triển công nghệ, nhưng bạn cũng có thể xem xét chi phí thực hiện;
- bảo mật của bạn phải phù hợp với thông lệ kinh doanh của bạn. Ví dụ: nếu bạn cho phép nhân viên làm việc tại nhà, bạn cần thực hiện các biện pháp để đảm bảo rằng điều này không ảnh hưởng đến bảo mật của bạn; và
- các biện pháp của bạn phải phù hợp với bản chất của dữ liệu cá nhân bạn nắm giữ và tác hại có thể xảy ra từ bất kỳ sự xâm phạm nào.
Một điểm khởi đầu tốt là đảm bảo rằng bạn phù hợp với các yêu cầu của Cyber Essentials – một chương trình của chính phủ bao gồm một bộ kiểm soát kỹ thuật cơ bản mà bạn có thể thực hiện tương đối dễ dàng.
Tuy nhiên, bạn nên biết rằng bạn có thể phải vượt ra ngoài các yêu cầu này, tùy thuộc vào các hoạt động xử lý của bạn. Cyber Essentials chỉ nhằm mục đích cung cấp một bộ kiểm soát “cơ bản” và sẽ không giải quyết các trường hợp của mọi tổ chức hoặc rủi ro do mọi hoạt động xử lý gây ra.
Danh sách các nguồn thông tin hữu ích về an ninh mạng được cung cấp bên dưới.
Đọc thêm – Kết quả bảo mật ICO/NCSC
Chúng tôi đã làm việc chặt chẽ với NCSC để phát triển một bộ [kết quả bảo mật]([invalid URL removed]# “Kết quả bảo mật”) mà bạn có thể sử dụng để xác định các biện pháp phù hợp với hoàn cảnh của bạn.
[Khung trách nhiệm giải trình]([invalid URL removed]# “Quản lý hồ sơ và bảo mật”) xem xét các kỳ vọng của ICO liên quan đến bảo mật.
Đọc thêm – Hướng dẫn của ICO
Theo Đạo luật năm 1998, ICO đã xuất bản một số hướng dẫn chi tiết hơn về các khía cạnh khác nhau của bảo mật CNTT. Khi thích hợp, chúng tôi sẽ cập nhật từng hướng dẫn này để phản ánh các yêu cầu của GDPR của Vương quốc Anh trong thời gian thích hợp. Tuy nhiên, cho đến thời điểm đó, chúng vẫn có thể cung cấp cho bạn sự hỗ trợ hoặc những điều cần xem xét.
Các tài nguyên khác
[Trang chủ của chương trình Cyber Essentials]([invalid URL removed])
Điều gì xảy ra nếu chúng ta hoạt động trong một lĩnh vực có các yêu cầu bảo mật riêng?
Một số ngành có các yêu cầu bảo mật cụ thể hoặc yêu cầu bạn tuân thủ các khuôn khổ hoặc tiêu chuẩn nhất định. Chúng có thể được đặt ra một cách tập thể, ví dụ: bởi các cơ quan ngành hoặc hiệp hội thương mại, hoặc có thể được đặt ra bởi các cơ quan quản lý khác. Nếu bạn hoạt động trong các lĩnh vực này, bạn cần nhận thức được các yêu cầu của họ, đặc biệt nếu các biện pháp kỹ thuật cụ thể được chỉ định.
Mặc dù việc tuân theo các yêu cầu này không nhất thiết tương đương với việc tuân thủ nguyên tắc bảo mật của GDPR của Vương quốc Anh, nhưng ICO sẽ xem xét cẩn thận những điều này trong bất kỳ cân nhắc nào về hành động pháp lý. Có thể xảy ra trường hợp họ chỉ định một số biện pháp nhất định mà bạn nên có và những biện pháp đó đóng góp vào tư thế bảo mật tổng thể của bạn.
Ví dụ
Nếu bạn đang xử lý dữ liệu thẻ thanh toán, bạn có nghĩa vụ tuân thủ [Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán]([invalid URL removed]# “Liên kết bên ngoài”). PCI-DSS phác thảo một số biện pháp kỹ thuật và tổ chức cụ thể mà ngành thẻ thanh toán cho là có thể áp dụng bất cứ khi nào dữ liệu đó được xử lý.
Mặc dù việc tuân thủ PCI-DSS không nhất thiết tương đương với việc tuân thủ nguyên tắc bảo mật của GDPR của Vương quốc Anh, nhưng nếu bạn xử lý dữ liệu thẻ và bị vi phạm dữ liệu cá nhân, ICO sẽ xem xét mức độ bạn đã thực hiện các biện pháp mà PCI-DSS yêu cầu, đặc biệt nếu vi phạm liên quan đến việc thiếu một biện pháp kiểm soát hoặc quy trình cụ thể do tiêu chuẩn quy định.
Chúng ta phải làm gì khi có bộ xử lý tham gia?
Nếu một hoặc nhiều tổ chức xử lý dữ liệu cá nhân thay mặt bạn, thì đây là bộ xử lý dữ liệu theo GDPR của Vương quốc Anh. Điều này có thể gây ra các vấn đề bảo mật – với tư cách là người kiểm soát dữ liệu, bạn có trách nhiệm đảm bảo tuân thủ GDPR của Vương quốc Anh và điều này bao gồm cả những gì bộ xử lý làm với dữ liệu. Tuy nhiên, ngoài ra, các yêu cầu bảo mật của GDPR của Vương quốc Anh cũng áp dụng cho bất kỳ bộ xử lý nào bạn sử dụng.
Điều này có nghĩa là:
- bạn phải chọn một bộ xử lý dữ liệu cung cấp đủ đảm bảo về các biện pháp bảo mật của nó;
- hợp đồng bằng văn bản của bạn phải quy định rằng bộ xử lý thực hiện tất cả các biện pháp theo Điều 32 – về cơ bản, hợp đồng phải yêu cầu bộ xử lý thực hiện các biện pháp bảo mật tương tự mà bạn phải thực hiện nếu bạn tự xử lý; và
- bạn nên đảm bảo rằng hợp đồng của bạn bao gồm một yêu cầu rằng bộ xử lý cung cấp tất cả thông tin cần thiết để chứng minh sự tuân thủ. Điều này có thể bao gồm việc cho phép bạn kiểm toán và kiểm tra bộ xử lý, trực tiếp hoặc thông qua bên thứ ba được ủy quyền.
Đồng thời, bộ xử lý của bạn có thể hỗ trợ bạn trong việc đảm bảo tuân thủ các nghĩa vụ bảo mật của bạn. Ví dụ: nếu bạn thiếu nguồn lực hoặc chuyên môn kỹ thuật để thực hiện các biện pháp nhất định, việc thuê một bộ xử lý có các nguồn lực này có thể hỗ trợ bạn đảm bảo dữ liệu cá nhân được xử lý an toàn, miễn là các thỏa thuận hợp đồng của bạn phù hợp.